Изчистване на Conficker или как да опазим мрежата от червеите за Windows

Категория: Информационна Сигурност
Information Security & Storage
вторник, 9 Юни 2009 12:59ч

Изчистване на Conficker или как да опазим мрежата от червеите за Windows

Напоследък нашумя червеят Conficker, известен още като “Downadup”. Тук сме подбрали основни съвети как да защитите системата си от инфектиране и как да се освободите в случай, че червеят се е промъкнал през защитата ви.


Понастоящем, когато инфекцията с червея Conficker продължава да се разпространява, добрата новина е, че съществуват начини да се защитите от него и да почистите машината си, ако вече е инфектирана.


Сагата с Conficker започва през ноември, когато от Майкрософт съобщават за разновидност на червея, насочена към дупка в услуга на Windows Server, която софтуерната компания патчва през октомври.


Най-многобройният вариант, идентифициран от Майкрософт като Win32/Conficker.B, се разпространява не само през въпросната дупка в Windows, но също и по споделени ресурси в мрежи, където са използвани слаби пароли. Разпространява се и като се самокопира на преносими памети – начин на атака,придобиващ популярност през последната година.


Какво трябва да направят потребителите, за да се предпазят? Съществуват някои отговори на този въпрос. Първият е очевиден – зареждате патча на Майкрософт и се уверявате, че антивирусната ви е обновена. Има и няколко заобиколни начина за тези, които поради някаква причина не могат да инсталират патча. Например потребителят може да забрани услугите Server Browsing и Computer Browsing, както и да блокира TCP портовете 139 и 445 от защитната стена.


Нека допълним, че всички основни разработчици на продукти за сигурност могат да откриват Conficker и да го премахват.


Освен очевидното има още неща, които потребителите могат да направят. Първото е да забранят функцията AutoRun на Windows. Функционалността AutoRun позволява кодът да бъде изпълнен автоматично при свързване на USB устройство към компютъра. Именно нея все по-често използват авторите на зловреден код, за да разпространяват програмите си.


За да се забрани тази функция, потребителите трябва да вкарат следните редове в регистъра:


REGEDIT4


[ H K E Y _ L O C A L _ M A C H I N E \ S O F T W A R E \ Microsoft\Windows NT\CurrentVersion\ IniFileMapping\Autorun.inf]


@=”@SYS:DoesNotExist”


Подробности за това как да изключите AutoRun функцията можете да откриете на адрес: http://www.us-cert.gov/cas/techalerts/TA09-020A.html.


Както споменахме, Conficker се разпространява и като се самокопира в споделеното пространство на ADMIN$ в машината. Според Майкрософт първоначално червеят се опитва да използва правата на потребителя, който е регистриран в системата в момента на заразяването. Това е особено успешно в среди, където се използва един и същ потребителски акаунт за различните компютри в мрежата с пълни административни права. Ако това не стане, червеят използва списъка с потребителите на заразената машина и пробва да се свърже с всяко потребителско име, като ползва списък със слаби пароли.


Решението в случая е да се използват силни пароли за потребителите и за споделяне на файлове в мрежата.


Все още остава въпросът и какво да направят потребителите, за да почистят машините си, ако вече са заразени. Conficker предприема допълнителна стъпка - прекратява всеки процес, чието име напомня на антивирусна програма, и блокира достъпа до сайтовете на производителите на про- дукти за сигурност, както и към центъра за ъпдейт на Windows. Списък с продуктите за сигурност, които червеят разпознава, може да бъде намерен на сайта на Майкрософт (Microsoft Malware Protection Center).


Въпреки това съществуват инструменти, които могат да бъдат свалени от интернет и да премахнат зловредния червей. Един такъв инструмент е сайтът на Panda Security - Active Scan (http://www.pandasecurity.com/activescan/index/), за който от компанията твърдят, че е достъпен и за заразените машини.


Ако машината ви е инфектирана и не се притеснявате да го направите, можете да премахнете зловредния код и ръчно. Инструкции можете да намерите тук:


http://www.symantec.com/security_response/writeup.jspdocid=2008-112203-2408-99&tabid=3


(или на сайта на Symantec, като потърсите W32. Downadup – Removal.)


В същото време специалисти по сигурност все още смятат, че краят на играта е в ръцете на хакерите, които стоят зад червея. Някои спекулират, че може би се планира създаването на масов ботнет, докато други не са толкова убедени.


“Смятаме, че това е масова заблуда, за да се прикрият пробивите към данни - казва Риан Шер-стобитов, специалист от Panda Security. - Засега няма признаци, че вариантите на Conficker изграждат ботнет, но и това не би ни изненадало. Това е атака, каквато не бяхме имали от известно време, и със сигурност е предупреждение за нещо друго, предстоящо в бъдеще.”


От Wikipedia:


Conficker (известен още като Downup, Downadup и Kido) е компютърен червей, който се появява през октомври 2008, насочен към операционната система Windows. Червеят използва известна уязвимост на процес на Windows Server, Windows 2000, Windows XP, Windows Vista, Windows Server 2003 и Windows Server 2008.


Произход на наименованието: Името “Conficker” е игра на думи, която на немски означава “програма, която манипулира конфигурацията”, и се произнася като английската дума “configure”. Обикновено “configuration” се съкращава като “config”, докато краят на името “ficker” е производна от немския глагол “ficken” - жаргонна форма за сексуално сношение.


Действие: Червеят Conficker се разпространява главно чрез уязвимост от тип препълване на буфер на Server Service на машини с Windows. Използва се RPC заявка, за да се изпълни код на машината, която се заразява. При стартирането си на компютър Conficker забранява системни процеси като Windows Automatic Update, Windows Security Center, Windows Defender и Windows Error Reporting. След това се свързва към сървър, от който получава команди за по-нататъшни действия, събира лична информация и сваля и инсталира допълнителни зловредни програми на заразения компютър. Червеят се прикачва към някои процеси на Windows като svchost.exe, explorer.exe и services.exe.


Симптоми: Отключване на създаването на профили (Account lockout); спиране на някои услуги като автоматичните ъпдейти, Background Intelligent Transfer Service (BITS), Windows Defender и Error Reporting; забавяне на отговора при заявки през domain controllers; забавяне на мрежата (може да се провери при графиката за мрежовия трафик на Windows Task Manager); забранен достъп към сайтове на антивирусни продукти. В допълнение червеят стартира brute force dictionary attack, насочена към административната парола, за да се разпространи през споделеното пространство на ADMIN$.


Последствия: Според New York Times до 22 януари 2009 заразените компютри са 9 милиона, докато The Guardian прави оценка за 3.5 милиона PC-та. Антивирусната компания F-Secure дава сведения за 9 милиона компютри с Conficker към 16 януари. Според данни от 26 януари червеят е поразил повече от 15 милиона компютри, правейки инфекцията една от най-мащабните в последно време. Компанията Panda Antivirus обявява, че от 2 милиона компютри, анализирани с онлайн инструмента с ActiveScan, около 115 000 (6%) са били заразени с червея. Около 30% от машините с Windows нямат патча, пуснат от октомври 2008. Министерството на отбраната на Великобритания обявява, че някои от основните им системи и компютри на персонала са инфектирани.


Етикети: Интернет , сигурност , Microsoft , мрежи , софтуер , Intel , Windows , USB , игра , СЕК , НАП , компютър , сайт , IP , HTML , Panda Security , ATI , сървър , Майкрософт , хакери , TV , BI , antivirus , server , panda , windows 2000 , defender , Windows Server 2008 , антивирусна програма , МВР , F-Secure , копир , Windows XP , MAN , Windows Vista , файл , програма , ГИС , онлайн , PC , ИТ , C , Мрежата , SCA , памети , Index , MES , анализ , лична информация , защита , червеи , IT , ICT , информация , Conficker

Четете още:



Последни новини
Джони Деп се завръща на голям екран в емблематичната си ...
 
AOC представя най-бързият геймърски монитор с NVIDIA G-SYNC до момента. ...
 
Още един смартфон от богатото портфолио на Huawei вече е ...
 
Приложенията Word, Excel и Outlook вече могат да бъдат интегрирани ...



Най-четени