Por alto, o 1º de abril veio e se foi sem nem um piu do megaworm Conficker. Mas peritos em segurança vêem uma realidade assustadora, uma na qual o Conficker agora está mais perigoso do que nunca.

No primeiro minuto de abril, o Conficker fez exatamente o que todos sabiam que ele faria: ele conseguiu ligar pra casa pra receber uma atualização. E apesar de ser divertido imaginar que quantidade animal de atualizações que ele deve ter incluído (foi divertido, não foi?), o resultado foi grotescamente catastrófico; em vez de um projeto de dominação mundial, a atualização continha instruções em como se aprofundar ainda mais.

“O worm fez exatamente o que todos pensavam que ele faria, que foi se atualizar”, diz o perito em segurança Dan Kaminsky, que ajudou a desenvolver um rastreador bastante usado do Conficker nos dias logo antes do 1º de abril. “O mundo quer que haja fogos de artifício, ou algum evento tipo ebola que explode os computadores de todas as partes do mundo, ou sei lá o que….mas a verdade é que os desenvolvedores do Conficker cimentaram sua capacidade de fazer atualizações através de quaisquer muralhas que os caras do bem tenham conseguido erguer entre fevereiro e março”.

E é por isso que isto é profundamente assustador. Conforme explicamos, o Conficker montou uma infraestrutura zumbi de botnet ao registrar centenas de nomes spam de DNS (askcw.com.ru e coisas do gênero), que então se interliga e usa como nodos para máquinas infectadas entrarem em contato para obter instruções. Em suas formas mais primitivas, o Conficker tentou registrar 250 nomes DNS deste tipo por dia. Mas com a terceira versão do software, a variante Conficker.c que tem rodado por aí nas últimas semanas, o número de registros spam de DNS foi elevado para 50 mil por dia – um número com o qual os profissionais de segurança não podem mais lidar.

O que a atualização de 1º de abril fez foi simples: ela forneceu instruções para interligar-se com milhares, possivelmente dezenas de milhares de novos nodos registrados pela Conficker.c ao longo das últimas semanas, efetivamente ampliando o tamanho da botnet P2P para um ponto onde ele não tem mais como ser impedido.

“Ele não está arregaçando, ele está arregaçando continuamente”, diz Kaminsky, citando um dos seus amigos hackers. “Não estamos falando sobre como entrar na rede, mas sim ‘Como estar [na rede] daqui a um ano?’”. E a resposta é: “você fará um monte das coisas que os desenvolvedores do Conficker estão fazendo”.

“Isto não é um troço que os caras escreveram, lançaram, daí eles largam o computador e vão jogar Nintendo. Eles estão realmente tentando construir algo que seja uma rede sustentável por meses ou anos a fio”, fiz Kaminsky.

Kevin Haley, diretor do Symantec Security Response, levanta outro bom ponto: “O 1º de abril teria sido um dia muito ruim de se escolher [para fazer algo com o Conficker] porque todos estava esperando ver o que aconteceria. Quem quer que esteja por trás disto certamente é muito mais paciente que nós”.

E aí, o que vem depois? Ficamos à espera. Bons métodos agora existem para detectar e limpar o Conficker de máquinas infectadas em uma rede (e, não devemos nos esquecer, um patch de segurança de meses atrás da Microsoft é só o que você precisa para se proteger), mas o tamanho do exército de nodos infectados pelo Conficker espalhados pelo mundo já é grande o suficiente para operar com consequências devastadoras mesmo que a maioria dos PCs esteja segura.

Então vamos ter que continuar esperando pra ver o que isto faz.