Dias antes da data em que o Conficker está programado para entrar em contato com os crackers por novas instruções, pesquisadores de segurança descobriram uma falha no worm que facilita a detecção por parte das vítimas.

Os membros do Honeynet Project, Tillmann Werner e Felix Leder, descobriram que PCs infectados retornam mensagens de erro quando recebem mensagens Remote Procedure Call (RPC).

Saiba mais sobre o Conficker:
> Dicas: saiba se proteger do Conficker
> Links falsos no Google prometem proteger PC
> Conficker será ativado em 1º de abril
> Microsoft oferece US$ 250 mil por criador da praga

PCs infectados com o Conficker.c, terceira versão do worm, estabelecerão um link com servidores para que os crackers responsáveis pelo malware mandem mais códigos maliciosos. O prazo estimado para download é 1º de abril.

"Você pode perguntar a um serviço se está infectado com Conficker, e ele lhe dirá", afirmou Dan Kaminsky, pesquisador de segurança responsável pela falha no Domain Name System, em seu blog.

Após publicada, a tecnologia foi modificada e adicionada a sistemas de detecção corporativos de empresas como McAfee, nCircle e Qualys, que serão atualizados.

O software de código aberto Nmap também deverá incluir a atualização para apontar uma suposta infecção.

Máquinas infectadas respondem a mensagens RPC de maneira diferente já que o worm, que explora uma falha no Windoww corrigida em outubro pela Microsoft, usa um patch próprio para "fechar a porta" após a infecção.

Resolver uma falha de segurança após explorá-la é uma tática comum entre criminosos para prevenir que outros crackers usem o mesmo caminho para roubar informações.

Por corrigir a falha que explora, o Conficker dificulta a detecção de máquinas infectadas por softwares de segurança. A descoberta de Werner e Leder é uma maneira de indicar se a correção no PC é legítima ou não.

O patch aplicado pelo worm, porém, não fecha totalmente a brecha de segurança no Windows, o que faz com que muitos se preocupem que a ferramenta divulgada pelos pesquisadores possa ser usada por criminosos que queiram sequestrar as cerca de 12 milhões de máquinas infectadas com Conficker.

"Não acho que a falha será explorada por qualquer um além dos autores do Conficker", disse ele. "Este é um time esperto, determinado e atualizado".

Werner e Leder publicarão mais informações sobre suas descobertas em um estudo chamado "Know Your Enemy: Containing Conficker -- To Tame a Malware", que será publicado no site da Honeynet Project quando estiver pronto.