Conficker jest nowym robakiem, który rozprzestrzenia się z wykorzystaniem luki w zabezpieczeniach systemu Windows. Oprócz tej luki rozprzestrzenia się poprzez pamięci USB. Według F-Secure zarażono już dziewięć milionów komputerów, co jest już dość sporą liczbą. PandaLabs rozpoznała 3 warianty robaka (A, B, C). Zaraża on komputery już od listopada, lecz dopiero teraz nasilił swój atak.
Robak wykorzystuje lukę MS08-067 nieuaktualnianych systemów Windows. Luka ta dotyczy protokołu RPC, a robak rozprzestrzenia się dzięki jego zmodyfikowanym wywołaniom. Ściąga on z sieci złośliwy kod, dzięki któremu przejmowana jest kontrola nad komputerem.
Drugą drogą zarażenia są pamięci USB. W pliku autorun.inf można zauważyć podobny kod:
[Autorun]
Action=Open folder to view files
Icon=%systemroot%\system32\shell32.dll,4
Shellexecute=.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
|
Powoduje to wyświetlenie podczas autostartu okienka dialogowego, jakie zawsze Nam towarzyszy podczas wkładania pamięci USB do portu komputera. Jest tylko o jeden wpis więcej, który umieszczony na szczycie listy jest domyślnie zaznaczony. Opcja ta wyglądem przypomina standardową opcję otwarcia folderu.
Robak ten bez przerwy ściąga nowe swoje aktualizacje, korzystając z różnych IP, przez co staje się on trudny do zablokowania.
Jak twierdzą eksperci PandaLabs może to oznaczać, że jego autorzy chcą w jak najkrótszym czasie, zarazić jak najwięcej komputerów, aby móc przeprowadzić atak na szerszą skalę. Ściągnięte nowe trojany mogą także posłużyć do wykradania danych bankowych.
Ochronę przed szkodnikiem stanowi aktualizacja systemu o poprawkę MS08-067, aktualizacja programów antywirusowych oraz zablokowanie funkcji autostartu z urządzeń USB.
Źródło: www.pspolska.pl/
isc.sans.org |
