Именувајќи го според големината на нападот “amazing”(неверојатен), истражувачите за безбедност од F-Secure Corp. петокот кажаа дека 6,5 милиони Windows PC-a биле инфицирани со “Downadup” црв во минатите 4 дена и дека скоро 9 милиони биле заразени во само 2 недели.

Рано Петокот, Финската фирма ја изработи проценката колку компјутери биле жртви на црвот и објаснаа како дошло до тој чин. „Бројката на Downadup инфекции се вивна во врвот“ вели Тони Коивунен, истражувач во F-Secure, на почетокот на компаниската страна. „Од пресметаните 2,4 милиони инфицирани машини до преку 8,9 милиони за време на последните 4 дена. Тоа е неверојатно.“



Во вторник, Коивунен ја постави бројката од 2,4 инфицирани системи а потоа ја update-ира пресметката со 3,5 милиони во средата, зголемување од 1,1 милион во само 24 часа.

„Ние немаме видено зараза од оваа скала многу години,“ вели Мико Хипонен, главен истражувач во F-Secure, во e-mail како одговор на прашањата.„Ме потсетува на старите Loveletter/Melissa/Sasser/Blaster случаеви по големината,“ тој додаде, спомнувајќи ги едни од најголемите malware напади во историјата.

Downadup – кој истотака оди со името “Conficker” – испраќа bug во Windows сервер сервисот користен од Windows 2000, XP, Vista, Server 2003 и Server 2008. Иако Микрософт го поправи update-от покасно во Октомври, но околу третина од сите PC-а сеуште не се имаат patch-овано, според Qualys Inc., уште една компанија за сигурност. Тие PC-a се тие што се пробиени од овој црв.

Во неговиот блог од Петокот, Коивунен истотака ни обезбеди доказ на проценката од компанијата, во еден дел бидејќи неколку луѓе не веруваат во бројките. Според Коивунен, F-Secure дојде до нејзината бројка од 8,9 милиони машини, шпиунирајќи ја комуникацијата на црвот со помош на хакерско-контролирани сервери.

Кога веќе ќе влезе во PC, Downadup создава листа од можни домени, селектирајќи еден, па потоа користи URL да стигне до специфираниот сервер од кој спушта додатен malware да го инсталира на окупираниот компјутер. F-Secure пак, има регистрирано некои од тие домени и може да го гледа целиот сообраќај преку тие URL-a.

Со испитувањата на дневникот од обидите да се конектира на тие домени, F-Secure откри неколку стотици илјади различни IP адреси – преку 350 000 до денес – како и одбројувач со бројка што укажува колку други PC-a има инфицирано таа машина.

„Оваа бројка ни кажува колку други компјутери оваа машина има експлоатирано откако беше последно рестартирана,“ објаснува Коивунен. Примерок од дневникот обезбеден од F-Secure покажа 12 Downadup – инфицирани PC-a, кое колективно има инфицирано 186 други системи. Само еден од првично-инфицираните компјутери успешно нападнал 116 други машини.

„Ние напишавме програм кој ги разгледува дневниците, ваѓајќи ги најдобро оценетите IP/User Agent парови... потоа ставени заедно ни даваат опис“ рече Коивунен „ Како што гледате сега, тие се многу конзервативни.“

Порано неделава, преголемиот број на Downadup инфекции го натера Микрософт да додаде откривач на црвот во неговиот Malicious Software Removal Tool (MSRT), antimalware компонента која компанијата ја update-ира и редистрибуира секој месец во Windows машините. Микрософт ја пушти најновата верзија од MSRT со anti-Downadup способност минатиот Вторник.

Како и другите истражувачи за сигурност, тие од Микрософт ја фрлија вината на корисниците за бавно patch-ирање на нивните PC-a.„ Или Security Update MS08-067 не бил инсталиран воопшто или не бил инсталиран во никој од компјутерите“ еден пар истражувачи кои работат за Микрософт рекоа Вторникот.

Микрософт препорачува на Windows корисниците да го инсталираат итниот update, да ја run-уваат Јануарската верзија од MSRT да го избришат црвот од заразените компјутери.