De Conficker worm die over drie weken zijn eerste verjaardag viert, heeft deze week het zeven miljoenste slachtoffer gemaakt, maar de maker van de worm zou te bang zijn om het gigantische botnet te gebruiken. Op 23 november is het precies een jaar geleden dat de eerste variant van Conficker, ook bekend als Downadup, verscheen. Virusbestrijder Symantec besloot toen de alarmfase voor het internet te verhogen en niet onterecht. De worm verspreidde zich in een hoog tempo via een beveiligingslek in de Windows Server Service, dat Microsoft precies een maand eerder had gepatcht. Het werkelijke aantal besmette computers is lastig vast te stellen, maar de Shadowserver Foundation stelde deze week vast dat er nu 7 miljoen unieke IP-nummers met verschillende varianten geïnfecteerd zijn.

De organisatie houdt zich bezig met het monitoren van botnets en malware-uitbraken. De worm maakt onder andere verbinding met domeinnamen om instructies te ontvangen. Beveiligingsexperts wisten dit algoritme te kraken. Door de domeinnamen zelf te registreren en te kijken hoeveel computers contact maken, kan men ongeveer de omvang van het botnet inschatten. Conficker beschikt ook over een P2P-algoritme voor het versturen van instructies, daarnaast kiest de worm uit vele duizenden domeinnamen enkele waarmee hij verbinding maakt. Het is daardoor ondoenlijk voor de Shadowserver Foundation en de Conficker Working Group, die zich ook met de bestrijding bezighoudt, om alle potentiële domeinnamen te registreren.

Bang
Ondanks alle aandacht raken ongepatchte machines nog steeds besmet. Conficker kan zich daarnaast ook via USB-sticks en gedeelde netwerkmappen met geen of een zwak wachtwoord verspreiden. "De trend is zeker aan het toenemen en het doorbreken van de 7 miljoen is een mijlpaal", zegt Andre DiMino, mede-oprichter van de Shadowserver Foundation. Met name in Brazilië en China is Conficker erg actief, zo blijkt uit zeer recente cijfersvan Microsoft.

Met name illegale versies van Windows lopen tegen een infectie aan, aldus de Conficker Working Group. Het samenwerkingsverband tussen beveiligingsonderzoekers en beveiligingsbedrijven werd een aantal maanden na de uitbraak opgericht. Ondanks de enorme omvang van het botnet, is er nog niet veel mee gedaan. Kortstondig werd het gebruikt voor het installeren van nep-virusscanners en andere malware, maar daar bleef het bij. "Het enige dat ik kan verzinnen, is dat de maker van Conficker bang is", zegt Eric Sites, CTO van Sunbelt Software en lid van werkgroep. "Dit ding heeft zoveel bedrijven en mensen geld gekost om te verhelpen, dat als ze de gasten pakken die dit hebben gedaan, die voor een hele lange tijd worden opgeborgen."