A Conficker úgy tűnik, még rengeteg bosszúságot fog számunkra okozni. Egy elemző Ollydebugos visszafejtés közben két újabb érdekességre is felhívja a figyelmet.

Már a hamis antivírusokkal vivott küzdelemben megtapasztalhattuk, egyre nehezebb a mentesítése a fertőzött gépeknek, trükkök tucatjai (megtévesztő szerviz nevek, Registry kulcsok, stb. ) nehezítik a tisztítást. Az utóbbi időben a Conficker nevű kártevő tette tiszteletét sok milliónyi példányban, és sajnos úgy tűnik, a készítői elég alapos munkát végeztek.

Az első érdekesség, amire a SANS-nál felfigyeltek, hogy a kártevő egy RegSetKeySecurity() ADVAPI32.dll függvényhívással kitörli saját szervizénél a SYSTEM kivételével az összes hozzáférést. Ez persze nem egy vadonatúj dolog, erről szó sincs, de jól demonstrálja, hogy az egyszeri vagy egyszerű felhasználó életét igyekeznek alaposan megnehezíteni: ne legyen olyan játci könnyű kitörölni az adott folyamatot. Mondhatjuk persze erre azt is, hogy az eredeti Windows Feladatkezelő / Task Manager helyett mindenki használjon Process Explorert és Process Monitort ;-)

Kapnak persze szurkát a víruslaborok elemzői is, egy további furmánnyal - ez sem újdonság, de azért csak egy nehezítő, lécemelő körülmény - figyeli, valódi vagy virtuális gépen futtatják-e. Ha észleli a SLDT utasításnál (ami a lokális leíró tábla tárolása), ha nem 0-t kap vissza, akkor nem az eredeti kód fut tovább, hanem egyszerűen lefagy.

Biztos mindenki ismeri a másik híres módszert, ami Joanna Rutkowska weblapján szerepel redpill.c néven. Aki egyébként ilyen jellegű agyköszörülésekre vágyik, annak hasznos olvasmány lehet Pavol Cerven Programvédelem fejlesztőknek című könyve a Kiskapu kiadótól, amiben olyan érdekességet is talál, hogy figyeljük, futtatnak-e debuggert a programunk mellett, mit tehetünk ellene, stb.