Podle bezpečnostních odborníků ze společnosti Microsoft si starší červ Neeris osvojil některé postupy, pomocí kterých Conficker napadl miliony počítačů. Jde o červa z května 2005, který zneužívá stejné zranitelnosti a dokáže se šířit také prostřednictvím vyměnitelných zařízení. Riziko nechvalně proslulého Confickeru se podle odborníků po prvním dubnovém dnu snížilo, ale nevymizelo.

Červ Neeris, který se objevil v roce 2005, byl v nedávné době přepracován a využívá stejnou zranitelnost systému Windows jako Conficker. Microsoft ji označil jako MS08-067 a záplata byla vydána v říjnu minulého roku. Právě skutečnost, že mnoho uživatelů nemělo tuto záplatu nainstalovanou, umožnila červu Conficker, někdy označovanému jako Downadup, rozšířit se na miliony počítačů po celém světě.

Nejčastějším způsobem šíření červa je prostřednictvím přenosných zařízení, jako jsou flash disky. Conficker usídlený v napadeném počítači uloží do kořenového adresáře daného zařízení speciální soubor autorun.ini, který po připojení k jinému počítači automaticky a tiše nakopíruje nový vzorek červa do systému Windows. Charakteristický je také další krok, ve kterém sám aplikuje vlastní verze bezpečnostních záplat Microsoftu, opravující zranitelnost, které sám zneužívá.

Conficker se zatím nepředvedl, riziko však trvá

„Není bez zajímavosti, že se nová varianta červa Neeris objevila na přelomu 31. března a 1. dubna,“ píše se v příspěvku na odborném blogu Microsoftu. Právě první dubnový den se stal pro bezpečnostní firmy velkou neznámou. Měl se totiž radikálně zvýšit počet internetových domén, ze kterých měl červ získat instrukce k další činnosti, a v této souvislosti se očekávaly například masivní útoky na strukturu internetu. Nic se však nepotvrdilo, sledování internetového provozu totiž neprokázalo žádnou významnější aktivitu, kterou by šlo červu Conficker přiřadit.

Velkou roli jistě hrála i docela vysoká informovanost mezi uživateli, kteří ještě před kritickým datem hromadně zapracovali na eliminaci červa. Zprávy o jeho vysokém nebezpečí se totiž dostaly i do hlavních zpravodajských kanálů a výrobci bezpečnostního softwaru vesměs představili nástroje, které dokázaly červa detekovat a odstranit. Čistě za spekulaci se dá považovat tvrzení, že autoři strategicky vyčkávají, až se o Confickeru přestane tolik mluvit a oni budou mít o poznání volnější ruce než nyní.

Rozhodně však nelze říct, že by tato „informační kampaň“ byla zbytečná. Nejenže si mnoho uživatelů uvědomilo důležitost pravidelného záplatování operačního systému, rizika totiž stále přetrvávají. Podle některých odhadů stále existuje přes milion napadených počítačů. Statistiky IBM zase hovoří o tom, že 4 procenta všech infikovaných počítačů jsou nakaženy právě červem Conficker. Ten v současné době ovládá velmi rozsáhlý botnet, který by autoři červa mohli využít například pro hromadné rozesílání nevyžádané pošty nebo k iniciování DDoS útoku.

Neeris následuje úspěšného kolegu

Riziko pak pochopitelně představuje také výše zmiňovaný červ Neeris, který se šíří podobným způsobem a jehož cíle mohou být podobné. Zatím sice nebyla prokázána autorská či jiná spojitost mezi oběma červy, vyloučit to ovšem nelze. Neeris se podobně jako Conficker v operačním systému skrývá a automaticky se spouští při jeho startu. Kromě přenosných zařízení se šíří také prostřednictvím SQL serverů se slabými hesly a také využitím zranitelností MS06-040 a MS08-067. Výzkumníci z Microsoftu tedy kromě instalace příslušných záplat doporučují také vypnutí funkce Autorun.