Reklama
Novinka
Červ Win32/Conficker letí světem!
16.01.2009 Komentáře (42)
V posledních dnech se velice daří červu Win32/Conficker, který zneužívá mimo jiné kritickou bezpečnostní chybu v operačním systému Windows, která je popsána v bulletinu MS08-067. Chyba se motá okolo služby SERVER, která zajišťuje provoz síťově sdílených adresářů. Jde tedy o stěžejní síťovou funkci Windows, která se využívá snad i v té nejmenší firemní síti (v této souvislosti je využito i sdílení ADMIN$, více níže). Novější varianty červa se s radostí pouštějí i do zneužívání chyb popsaných v MS08-068 a MS09-001. Společné mají tyto chyby jedno: umožňují "Remote Code Execution", tedy i spuštění škodlivého programu na PC bez vědomí uživatele. To je tedy hlavní způsob šíření po internetu a taktéž v rámci sítě LAN. Dalším způsobem šíření je klasické použití souboru autorun.inf, který ukládá na přenosné disky (USB klíče - "flešky") a namapované síťové disky. Windows pak standardně při přístupu k takovému disku (v případě "flešky" stačí médium připojit k PC) spustí EXE soubor (v tomto případě infikovaný), který je z tohoto řídícího autorun.inf prolinkován. V neposlední řadě je tu i způsob šíření skrze systémové sdílení ADMIN$. Pokud červ Conficker nalezne funkční uživ. jméno a heslo pro přístup skrze ADMIN$ (používá několik metod včetně slovníkového útoku), získává tak přístup do složky C:\WINDOWS na vzdáleném PC, čehož okamžitě využívá. Do WINDOWS\SYSTEM32 vkládá infikovaný soubor a pomocí nové úlohy v plánovači úloh zajistí jeho brzké spuštění.
Pokud je červ aktivní v počítači, okamžitě zakazuje provoz služeb jako wuauserv (automatické aktualizace Windows), WinDefend (Windows Defender) a brání uživateli v přístupu na domény antivirových společností a servery s bezpečnostní tématikou (včetně domény microsoft.com). Maže i body obnovy v rámci funkce "Obnova systému" (System Restore). V registrech též navyšuje hodnotu TcpNumConnections (HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters), aby navyšil množství současně otevřených spojení a tím i rychlost šíření na další PC v lokální síti i internetu. Pak zahajuje další vlnu šíření (přes chyby popsané v MS08-067, MS08-068, MS09-001, ADMIN$, autorun.inf). Minimálně pro útok ala MS08-067 instaluje HTTP server, přes který hromadně zasílá speciálně upravené pakety (exploit) na další počítače a snaží se je tak napadnout.
Červ Win32/Conficker stihl vytvořit již velice rozsáhlou síť typu botnet, která je tvořena infikovanými počítači. Tato rozsáhlá síť, ve které se podle některých informací nachází již několik miliónů PC, může posloužit útočníkovi pro další operace. Může totiž všem těmto počítačům poslat další "rozkazy" a ty je poslušně vykonají (v minulosti většinou botnet sítě sloužily pro rozesílání spamu - nevyžádané pošty). Infikované počítače si instrukce stahují s různých webových serverů na internetu. Tímto způsobem může postahovat i nové varianty červa, popřípadě další škodlivý kód, který dále rozšiřuje působnost červa.
Domén, ze kterých se červ pokouší stáhnout další instrukce, je několik stovek a jejich seznam se mění každý den. Jak se píše na weblogu F-Secure, červ používá velice komplikovaný algoritmus, který generuje seznam stovek domén, ze kterých se pak stahuje další "bordel". Tento seznam je generován každý den avšak klíčem jsou určité informace z veřejných serverů jako je například google.com. Doménová jména nedávají často žádný smysl (bqxocxhia.net, btdnqyvyzs.net, btplxfqwt.com...), nicméně znalost algoritmu umožňuje odhadnout, na jaká další doménová jména se bude červ pokoušet připojit zítra. Stačí pak, aby útočník takovou doménu včas zaregistroval a umístil na ní další instrukce, případně další vylepšení červa, jenž si infikované stanice stáhnou. Zmiňovaný algoritmus rozlouskla i společnost F-Secure, tudíž sami předem zaregistrovali domény u nichž se očekávalo, že z nich bude v budoucnu červ stahovat další instrukce. Statistiky byly hrozivé a množství přístupů s unikátních IP šlo do statisíců! Pravděpodobně tak máme čest s tou největší botnet sítí na světě (14.1 hlasil F-Secure přes 3 500 000 infikovaných).
Na závěr ještě několik jednorázových utilit na léčení této havěti (je ale nutné NEJPRVE ošetřit výše uvedené "díry" záplatami a nastavit silná hesla k jednotlivým uživatelům s právy administrátora, jinak se infekce může vrátit!!!):
viry.cz
Diskuzní fórum
Ohromné množství informací lze najít v diskuzním fóru!
| témat | 97571 |
|---|---|
| příspěvků | 853270 |
| uživatelů | 42010 |
Poslední příspěvky viry.cz/forum:
- zamrzanie firefoxu
- Nelze spustit žádný antivir
- spoolvcs.exe<<---- Pomoc :/
- Odinstalování
- Zpomalení internetu
- Kontrola logu - zanedbané PC
- pc zamrza
- prosim o kontrolu logu
- Preventivní kontrola
- vtipy
Dárcovské SMSky
Částka vybraná prostřednictvím dárcovských SMSek, děkujeme za podporu fóra!
| 7 dní | 10 Kč |
|---|---|
| 30 dní | 249 Kč |
Mail info
Pošlete třeba i prázdný e-mail na adresu mailinfo-subscribe@viry.cz a budou vám chodit novinky z VIRY.CZ až do e-mailové schránky!
Tiskovky
- 10.03.2010 - Microsoft Security Essentials na IT Security Workshopu 2010
- 03.03.2010 - Boj s bezpečnostními hrozbami na začátku nového desetiletí
- 23.02.2010 - Konference Security úspěšně za námi
- 22.01.2010 - Počítačový červ ze Slovenska stihl za pár dní poškodit počítače po celém světě
- 22.01.2010 - Řešení Symantec dosáhla výborného hodnocení v testech zabezpečení
- 09.12.2009 - GFI nabízí bezplatnou verzi GFI EndPointSecurity
- 27.10.2009 - ESET varuje před online krádežemi v průběhu Halloweenu
- 26.10.2009 - Nové edice AVG 9.0 pro firemní uživatele
- 14.10.2009 - V Praze se konalo setkání Organizace pro standardizaci testování antimalwarového softwaru
- 13.10.2009 - Společnost Kaspersky Lab odhalila zneužití YouTube pro videospam
