O Conficker possui uma rotina para enganar o PC, fazendo-o acreditar que está seguro e livre da infecção. Essa rotina, entretanto, possui uma "assinatura" peculiar, descoberta esta semana, e que pode ser detectada remotamente, auxiliando na caça ao malware. Vários scanners de vulnerabilidade, como o nmap (insecure.org/nmap) já detectam remotamente se uma máquina possui essa variante do Conficker.
A dupla de especialistas em segurança Felix Leder e Tillmann Werner, ambos da Universidade de Bonn, na Alemanha, divulgou nesta terça-feira um estudo mais aprofundado do worm Conficker.
Segundo o site The H Security, a pesquisa chamada de "Conheça seu Inimigo" explica que o Conficker não é trabalho de programadores amadores que acabou saindo do controle, como acontece com tantas outras pragas. Ao contrário, sua rotina de atualização é minuciosa, garantindo que cada máquina infectada possua uma versão sempre atualizada do verme.
Um software criado pelos pesquisadores simula um sistema já infectado, que engana a praga e faz com que ela acredite que não precise mais invadir o computador da vítima, uma forma de enfraquecer o ataque.
O documento de Leder e Wernet pode ser encontrado pelo atalho tinyurl.com/c2fj2c. A reportagem (em inglês) "Conficker demystified", do site H Online, pode ser lida pelo atalho tinyurl.com/cadqw4 . Outro documento sobre a contenção do Conficker, também útil, foi publicado ontem pelo projeto Honeynet e está disponível em honeynet.org/papers/conficker