Conficker jest nowym robakiem, kt�ry rozprzestrzenia si� z wykorzystaniem luki w zabezpieczeniach systemu Windows. Opr�cz tej luki rozprzestrzenia si� poprzez pami�ci USB. Wed�ug F-Secure zara�ono ju� dziewi�� milion�w komputer�w, co jest ju� do�� spor� liczb�. PandaLabs rozpozna�a 3 warianty robaka (A, B, C). Zara�a on komputery ju� od listopada, lecz dopiero teraz nasili� sw�j atak.
Robak wykorzystuje luk� MS08-067 nieuaktualnianych system�w Windows. Luka ta dotyczy protoko�u RPC, a robak rozprzestrzenia si� dzi�ki jego zmodyfikowanym wywo�aniom. �ci�ga on z sieci z�o�liwy kod, dzi�ki kt�remu przejmowana jest kontrola nad komputerem.
Drug� drog� zara�enia s� pami�ci USB. W pliku autorun.inf mo�na zauwa�y� podobny kod:
[Autorun]
Action=Open folder to view files
Icon=%systemroot%\system32\shell32.dll,4
Shellexecute=.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
|
Powoduje to wy�wietlenie podczas autostartu okienka dialogowego, jakie zawsze Nam towarzyszy podczas wk�adania pami�ci USB do portu komputera. Jest tylko o jeden wpis wi�cej, kt�ry umieszczony na szczycie listy jest domy�lnie zaznaczony. Opcja ta wygl�dem przypomina standardow� opcj� otwarcia folderu.
Robak ten bez przerwy �ci�ga nowe swoje aktualizacje, korzystaj�c z r�nych IP, przez co staje si� on trudny do zablokowania.
Jak twierdz� eksperci PandaLabs mo�e to oznacza�, �e jego autorzy chc� w jak najkr�tszym czasie, zarazi� jak najwi�cej komputer�w, aby m�c przeprowadzi� atak na szersz� skal�. �ci�gni�te nowe trojany mog� tak�e pos�u�y� do wykradania danych bankowych.
Ochron� przed szkodnikiem stanowi aktualizacja systemu o poprawk� MS08-067, aktualizacja program�w antywirusowych oraz zablokowanie funkcji autostartu z urz�dze� USB.
�r�d�o: www.pspolska.pl/
isc.sans.org |
