Conficker
Upptäckt: oktober 2008

Conficker, också känd som Downup, Downadup eller Kido, slog till under hösten 2008, och blev snabbt det värsta virus nätet skådat sedan SQL Slammers skövlingståg under 2003.

Masken utnyttjade en svaghet i Windows, sedermera känd genom patchen MS08-067, och sped sig som en löpeld. Conficker beräknas ha smittat mellan nio och femton miljoner datorer.

Varför masken döpts till Conficker är oklart och experterna är inte överens. Microsofts analytiker Joshua Phillips anser att namnet skapats genom omkastningar i domännamnet trafficconverter.biz varifrån de första nedladdningarna av viruset skedde, medan många andra ställer sig bakom teorin att namnet är en sammanslagning av orden ”configure” och tyskans ”ficken”, som betyder ”kopulera”.

Superkomplicerad
Masken smittar via Windows servrar, neutraliserar datorns virusförsvar, öppnar en bakdörr och tvingar de infekterade datorerna att ladda ner en större version av viruset, känd som Conficker D. Conficker D är i sin tur tidsinställd att börja skicka och ta emot ytterligare uppdateringar via ett peer-to-peer-nätverk (fildelningsnätverk) som viruset själv skapar, och aktiverade natten till den 1 april 2009.

Conficker D är ett mästerverk i utstuderad kodning som gjorts medvetet överkomplicerad och hittills inte gått att tyda. I väntan på nedladdningar gör viruset vad virus gör bäst: Sprider sig självt.
– Den förväntade första nedladdningen skulle skett den första april, men ingenting hände. Vi misstänker att virusprogrammeraren fått kalla fötter av den massiva spridningen, säger Johan Jarl, som är säkerhetsexpert hos svenska avdelningen av antivirusföretaget F-Secure.

Ganska snabbt efter att epidemin började tog viruset några tunga skalper: Franska försvarets nätverk Intramar smittades den 15 januari 2009, och man tvingades försätta hela systemet i karantän och stridsplan kunde inte lyfta eftersom det inte längre gick att ladda ner nya flygrutter.

Stora delar av brittiska försvarsmakten utsattes också, och masken spred sig från de administrativa delarna till slagskepp och ubåtar.
– Virusets mest negativa effekter har annars varit att många personliga konton hos diverse företag låst sig, eftersom viruset försökt koppla upp sig gång på gång, berättar Johan Jarl.

"Kan komma från Ukraina"
– När det gäller virusets upphovsman är en teori att han eller hon kommer från Ukraina, eftersom den första varianten var inställd på att inte attackera datorer med ukrainska språkinställningar, säger Johan Jarl.

Microsoft har satt ett pris på hackarens huvud: 250 000 dollar betalas ut till den som lämnar information som leder till att de ansvariga grips.
– Jag är för övrigt lite chockad av att Conficker har fått sådan spridning. Nätverksmaskarnas storhetstid var 2003-2004, trodde vi, säger Johan Jarl uppgivet.


Har vi glömt något virus, eller finns det något annat spännande du vill läsa om? Tipsa oss på pcforalla.webb@idg.se.

Har du frågor om virus och säkerhet? Ställ dina frågor direkt till Johan Jarl från F-Secure i PC för Allas supportform.