Červ Win32/Conficker letí světem!

Všetko o antivírových programoch, firewalloch, víroch, spyware, ostatných aktuálnych hrozbách, názoroch a skúsenostiach, ako sa im vyvarovať...
POZOR: žiadny WAREZ
Brandoo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 5693
Dátum registrácie: Ne 23. Dec, 2007, 08:00
Bydlisko: Banská Bystrica

Červ Win32/Conficker letí světem!

Príspevok od používateľa Brandoo »

Obrázok
V posledních dnech se velice daří červu Win32/Conficker, který zneužívá mimo jiné kritickou bezpečnostní chybu v operačním systému Windows, která je popsána v bulletinu MS08-067. Chyba se motá okolo služby SERVER, která zajišťuje provoz síťově sdílených adresářů. Jde tedy o stěžejní síťovou funkci Windows, která se využívá snad i v té nejmenší firemní síti (v této souvislosti je využito i sdílení ADMIN$, více níže). Novější varianty červa se s radostí pouštějí i do zneužívání chyb popsaných v MS08-068 a MS09-001. Společné mají tyto chyby jedno: umožňují "Remote Code Execution", tedy i spuštění škodlivého programu na PC bez vědomí uživatele. To je tedy hlavní způsob šíření po internetu a taktéž v rámci sítě LAN. Dalším způsobem šíření je klasické použití souboru autorun.inf, který ukládá na přenosné disky (USB klíče - "flešky") a namapované síťové disky. Windows pak standardně při přístupu k takovému disku (v případě "flešky" stačí médium připojit k PC) spustí EXE soubor (v tomto případě infikovaný), který je z tohoto řídícího autorun.inf prolinkován. V neposlední řadě je tu i způsob šíření skrze systémové sdílení ADMIN$. Pokud červ Conficker nalezne funkční uživ. jméno a heslo pro přístup skrze ADMIN$ (používá několik metod včetně slovníkového útoku), získává tak přístup do složky C:\WINDOWS na vzdáleném PC, čehož okamžitě využívá. Do WINDOWS\SYSTEM32 vkládá infikovaný soubor a pomocí nové úlohy v plánovači úloh zajistí jeho brzké spuštění.

Pokud je červ aktivní v počítači, okamžitě zakazuje provoz služeb jako wuauserv (automatické aktualizace Windows), WinDefend (Windows Defender) a brání uživateli v přístupu na domény antivirových společností a servery s bezpečnostní tématikou (včetně domény microsoft.com). Maže i body obnovy v rámci funkce "Obnova systému" (System Restore). V registrech též navyšuje hodnotu TcpNumConnections (HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters), aby navyšil množství současně otevřených spojení a tím i rychlost šíření na další PC v lokální síti i internetu. Pak zahajuje další vlnu šíření (přes chyby popsané v MS08-067, MS08-068, MS09-001, ADMIN$, autorun.inf). Minimálně pro útok ala MS08-067 instaluje HTTP server, přes který hromadně zasílá speciálně upravené pakety (exploit) na další počítače a snaží se je tak napadnout.

Červ Win32/Conficker stihl vytvořit již velice rozsáhlou síť typu botnet, která je tvořena infikovanými počítači. Tato rozsáhlá síť, ve které se podle některých informací nachází již několik miliónů PC, může posloužit útočníkovi pro další operace. Může totiž všem těmto počítačům poslat další "rozkazy" a ty je poslušně vykonají (v minulosti většinou botnet sítě sloužily pro rozesílání spamu - nevyžádané pošty). Infikované počítače si instrukce stahují s různých webových serverů na internetu. Tímto způsobem může postahovat i nové varianty červa, popřípadě další škodlivý kód, který dále rozšiřuje působnost červa.

Domén, ze kterých se červ pokouší stáhnout další instrukce, je několik stovek a jejich seznam se mění každý den. Jak se píše na weblogu F-Secure, červ používá velice komplikovaný algoritmus, který generuje seznam stovek domén, ze kterých se pak stahuje další "bordel". Tento seznam je generován každý den avšak klíčem jsou určité informace z veřejných serverů jako je například google.com. Doménová jména nedávají často žádný smysl (bqxocxhia.net, btdnqyvyzs.net, btplxfqwt.com...), nicméně znalost algoritmu umožňuje odhadnout, na jaká další doménová jména se bude červ pokoušet připojit zítra. Stačí pak, aby útočník takovou doménu včas zaregistroval a umístil na ní další instrukce, případně další vylepšení červa, jenž si infikované stanice stáhnou. Zmiňovaný algoritmus rozlouskla i společnost F-Secure, tudíž sami předem zaregistrovali domény u nichž se očekávalo, že z nich bude v budoucnu červ stahovat další instrukce. Statistiky byly hrozivé a množství přístupů s unikátních IP šlo do statisíců! Pravděpodobně tak máme čest s tou největší botnet sítí na světě (14.1 hlasil F-Secure přes 3 500 000 infikovaných).

Na závěr ještě několik jednorázových utilit na léčení této havěti (je ale nutné NEJPRVE ošetřit výše uvedené "díry" záplatami a nastavit silná hesla k jednotlivým uživatelům s právy administrátora, jinak se infekce může vrátit!!!):
Odstraňování červa Downadup / Conficker
Přímo ze stránek viry.cz lze stáhnout některé "odstraňovače" (remover) červa Downadup / Conficker. Přístup na oficiální stránky antivirových společností může totiž červ blokovat.

Remover :bum: od spoločnosti Symantec: http://download.viry.cz/removers/FixDownadup.exe
Remover :bum: od spoločnosti F-Secure (je nutné ho spustit s parametrem, více v přiloženém souboru readme.txt - trochu komplikovanější obsluha) http://download.viry.cz/removers/f-downadup.zip

Nejprve je ale potřeba nainstalovat veškeré bezpečnostní záplaty společnosti Microsoft a posílit hesla ke všem účtům s právy administrátora! Jinak hrozí, že se infekce vrátí!
Zdroj: http://www.viry.cz
Brandoo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 5693
Dátum registrácie: Ne 23. Dec, 2007, 08:00
Bydlisko: Banská Bystrica

Re: Červ Win32/Conficker letí světem!

Príspevok od používateľa Brandoo »

Deaktivácia automatického spustenia autorun.inf resp. Conficker na USB/CD/DVD...

Existuje možnosť ako zabrániť infikovaniu počítača z prenosného média. Stručný návod: Stačí stiahnuť tento ZIP subor http://download.viry.cz/tools/autorun.zip, rozbaliť ho (2x naň kliknuť myšou) a spustiť autorun.REG subor čo je vo vnútry (2x kliknúť naň myšou a povoliť inport do registrou).
Červ Conficker využíva tento autorun.inf za pomoci ktorého sa dostane do PC, jeho deaktiváciou ho zablokujete. Je to účinné. :bye:
rado3105
Používateľ
Používateľ
Príspevky: 499
Dátum registrácie: St 25. Jún, 2008, 09:09
Bydlisko: Žilina, Bratislava

Re: Červ Win32/Conficker letí světem!

Príspevok od používateľa rado3105 »

Vyznam: Konecne si velke firmy typu Microsoft uvedomia a uz uvedomuju ze ked sa za nieco plati malo by to byt naporiadok. Tento cerv funguje v istom zmysle tak isto ako Windows, clovek nevie co sa na jeho pocitaci presne odohrava a co sa bude(aj s jeho inofrmaciami), kedze windows je uzavrety. Kedze dnes je tymto cervom napadnute mnozstvo pocitacov a cerv ma dokonalu schopnost sirenia, ktora sa este vygraduje, dalo by sa povedat ze je mozne na zaklade povelu autorov daneho cerva vyuzit vypoctovu silu vsetkych napadnutych pocitacov na nejay bruteforce attack nejakej velkej organizacie, na strankach Esetu sa spomina ze by to mohlo viest k padu internetu.(je to dost mozne kedze pod natlakom poziadaviek na servery, servery nebudu schopne robit normalnu napln svojej prace.

Zas dalsi dovod preco by ludia mali pouzivat linux - je to zadarmo, clovek vie co sa robi na jeho systeme, a tento cerv je na linux neucinny. Lenze sila reklamy Microsoftu je az moc velka, ale dnes si serverove firmy a rozne statne organizacie uvedomuju ze ten Windows stoji za hovno a snazia sa prechadzat na linuxove systemy ale nevedno ci uz nie je neskoro. Windows je bezpecny len ked je odpojeny od internetu, takze jediny vyznam je asi len to hranie hier. Popripade ho emulovat na nejakom virtualnom stroji.:D
Desktop:
http://i43.tinypic.com/25ptov8.png" onclick="window.open(this.href);return false;
Používateľov profilový obrázok
Snake
VIP
VIP
Príspevky: 13676
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta

Re: Červ Win32/Conficker letí světem!

Príspevok od používateľa Snake »

nechodíš ty diskutovať na DSL.sk? tam sa zdržujú takýto "zarazený" linuxáci ktorí nevedia prekusnúť existenciu windowsu a myslia si že Linux je ultrasuper bezpečný a so všetkým kompatibilný.

Teba asi nenapadlo že MS už túto vec (Confickera) dávno vyriešil svojím MSRT nástrojom, bohužial, stále sú na svete h*jzli (ups) ktorí keďže majú zwarezený win tak si ho ani neaktualizujú. To je ten problém, nie MS, ale užívateľ, ak je užívateľ neznalý, tým horšie, ja by som zase takýchto ľudí odpájal, pretože oni buď svojou lenivosťou alebo priamo flegmatickým prístupom k veci sú zodpovední za maily o viagre v tvojej mailovej schránke.

o Open Source sa nebudem rozpisovať, používam, je fajn, avšak myslieť si že Closed source programy sú naprd je maximálne scestné a infantilné.

Pekný deň :rolleyes:





.

Návrat na "Bezpečnost a zabezpečenie PC"