ondraszek
Administrator
Dołączył: 29 Sty 2007
Posty: 1320
Przeczytał: 0 tematów
Pomógł: 394 razy
Ostrzeżeń: 0/3
|
 Wysłany:
Wto 22:44, 31 Mar 2009 |
 |
Conficker zaatakuje 1 kwietnia?
1 kwietnia robak znany jako Conficker lub Downadup rozpocznie proces nawiązywania kontaktu z serwerami kontrolującymi jego działanie. To ostatnia chwila na poznanie szkodnika i upewnienie się, że nasze komputery są odporne na jego ataki. Eksperci nie są bowiem w stanie stwierdzić, jak zachowa się szkodnik po ewentualnym pobraniu aktualizacji.
Robak znany jako Conficker i Downadup to w ostatnich kilku miesiącach bez wątpienia najbardziej popularny i rozpoznawalny szkodnik. Na swą obecność w mediach zapracował infekując miliony pecetów, wśród których znalazły się także komputery niemieckiej armii. O tym na ile poważne jest zagrożenie stwarzane przez robaka świadczy fakt, że Microsoft wyznaczył nagrodę w wysokości 250 tysięcy USD za przekazanie informacji, które umożliwią ujęcie twórcy Confickera. 1 kwietnia robak może stać się zdecydowanie bardziej niebezpieczny. W tym dniu skontaktuje się bowiem z serwerami kontrolującymi jego pracę i może pobrać aktualizacje, które wzbogacą go o nowe, wysoce destrukcyjne funkcje. W obliczu tego wydarzenia sprawdźmy zatem z jakim przeciwnikiem mamy do czynienia, upewnijmy się że nasze komputery są odporne na jego ataki i nauczmy się usuwać szkodnika, w sytuacji, gdy zaatakował naszego peceta.
Czym jest Conficker/Downadup?
Conficker to robak, który wykorzystuje stary błąd w usłudze Windows Server. Stanowi zagrożenie dla użytkowników systemów Windows 2000, XP, Vista, Server 2003 i 2008. Warto podkreślić, że luka umożliwiająca szkodnikowi przeprowadzenie ataku została wyeliminowana przez Microsoft w październiku 2008 roku, ale wielu użytkowników wciąż nie zaktualizowało swoich systemów. Nowa wersja, W32.Downadup.C, wykryta przez firmę Symantec zwraca na siebie uwagę za sprawą agresywnych mechanizmów zwalczających oprogramowanie antywirusowe oraz narzędzia wykorzystywane przez analityków. Usprawniła także mechanizm generowania nazw domen używanych do nadzorowania szkodnika. Obecnie może on stosować do 50 tysięcy domen dziennie.
Czy mój komputer jest zaatakowany?
Szkodnik może zaatakować komputer wykorzystując wspomnianą wcześniej lukę. Próbuje się także rozpowszechniać za pomocą nośników danych podłączanych do portu USB oraz stara się infekować pecety znajdujące się w tej samej sieci. Jednym z najprostszych sposób wykrycia robaka jest próba otwarcia strony Microsoftu lub witryn producentów popularnych programów antywirusowych. Conficker blokuje dostęp do tego typu serwisów, więc jeśli nie będziemy mogli ich otworzyć może to świadczyć o infekcji. Wyłącza także usługę automatycznego pobierania aktualizacji systemu oraz program Windows Defender.
Jak zabezpieczyć system przed atakiem?
Przede wszystkim należy zadbać o zainstalowanie aktualizacji systemu udostępnianych przez Microsoft w ramach usługi Windows Update i mechanizmu automatycznych aktualizacji. Warto także zaktualizować wykorzystywany program antywirusowy i przeprowadzić proces skanowania systemu oraz używanych nośników podłączanych do portu USB.
Co zrobić, gdy szkodnik zaatakował system?
W celu usunięcia szkodnika możemy skorzystać z narzędzi udostępnianych przez producentów programów antywirusowych takich jak na przykład ESET, a także z programu Microsoft Malicious Software Removal Tool.
1 kwietnia robak Conficker ma ponownie zaatakować. Czego można się w związku z tym spodziewać? Jaki rodzaj aktywności szkodnika może wchodzić w grę?
Conficker każdego dnia generuje nowe adresy URL i za każdym razem łączy się z nimi celem sprawdzenia, czy dostępny jest nowy kod do pobrania. Codziennie generowanych jest 500 lub 1000 adresów. Natomiast 1 kwietnia, zamiast 500 czy 1000, ma zostać wygenerowanych 50 tys. nowych adresów URL. Autor robaka zakłada, że wygenerowanie jednego dnia bardzo dużej liczby URL znacznie utrudni pracę producentom systemów zabezpieczeń, którzy na bieżąco blokują nowe, pojawiające się dopiero adresy.
Istnieje możliwość, że jeden z adresów będzie prowadził do strony, na której ukryta jest nowa wersja robaka Conficker. Posłuży ona do zaktualizowania zainfekowanych komputerów. Do aktualizacji dojdzie tylko wtedy, gdy w pliku znajdzie się podpis elektroniczny autora. W przeciwnym wypadku Conficker nie zostanie zaktualizowany.
Nowa aktualizacja może zostać wykorzystana do następujących działań: masowego rozpowszechniania samego robaka, dystrybucji innych złośliwych programów, fałszywych systemów zabezpieczeń, tworzenia botnetów itp.
Autorzy robaka stale udoskonalają jego mechanizmy ukrywania. Wcześniejsze wersje były pakowane z wykorzystaniem prostych systemów, przez co ich rozpakowanie nie sprawiało trudności. Najnowsze odmiany są bardziej skomplikowane. Mamy więc do czynienia z polimorficznym rodzajem złośliwego oprogramowania, ponieważ szkodliwy kod jest ukrywany za pomocą szeregu warstw. Możliwe jest, że ten złośliwy program przejdzie ewolucję, ponieważ obecnie znacznie utrudniamy jego rozprzestrzenianie.
Co sugerowałby Pan użytkownikom komputerów na dzień przed tym wydarzeniem?
Zgodnie z potwierdzonymi informacjami robak próbuje obecnie zainfekować jak największą liczbę komputerów. Autorzy złośliwego kodu wyszukują luki typu "zero day", znajdując kolejne komputery do rozpowszechniania złośliwego oprogramowania. Nie wiemy natomiast, co stanie się z zainfekowanymi komputerami.
Klienci, których komputery są chronione przy użyciu oprogramowania antywirusowego - zaktualizowanego pod kątem tej odmiany zagrożenia, nie mają się czym martwić. Zalecamy wszystkim zainstalowanie poprawek systemu operacyjnego i zaktualizowanie oprogramowania antywirusowego. Ponieważ wirus do rozprzestrzeniania się może wykorzystywać port USB, proponujemy użycie bezpłatnego narzędzia do ochrony pamięci USB.
Czy dysponuje Pan informacjami o tym jaka liczba komputerów została zainfekowana przez Confickera w Polsce i na świecie?
Liczba infekcji tego rodzaju nie jest aż tak znacząca. Zagrożenie nie plasuje się nawet w pierwszej dziesiątce złośliwych programów, jeżeli chodzi o współczynnik infekcji. Ostatnio bezpłatny skaner on-line Panda ActiveScan zarejestrował między 100 a 150 infekcji dziennie, a to bardzo niewielka liczba. |
Post został pochwalony 0 razy
|
|
