Primaaprilisowy robak: są powody do obaw?

31-03-2009, 20:47

Najnowsza odmiana Confickera zaatakuje 1 kwietnia - alarmują media. Obserwatorzy branży spekulują, co się stanie, kiedy szkodnik połączy się z serwerami twórcy. Dziennik Internautów zebrał podstawowe fakty dotyczące robaka i sposobów zabezpieczenia się przed nim.

Odsłona pierwsza

Conficker (znany też jako Downup, Downadup oraz Kido) pojawił się w listopadzie ubiegłego roku. Pierwszy wariant robaka był zdecydowanie najprostszy. Rozprzestrzeniał się, wykorzystując lukę w usłudze RPC systemów Windows, którą Microsoft załatał miesiąc wcześniej. Robak nie infekował komputerów, które były skonfigurowane z ukraińskim układem klawiatury lub miały adresy IP zarejestrowane na Ukrainie (co może wskazywać na jego pochodzenie).

Po zarażeniu komputera robak najpierw generował losowo adresy IP i wykorzystywał je do wyszukiwania kolejnych ofiar, a następnie próbował jednorazowo pobrać fałszywy program antywirusowy. Od tej chwili generował codziennie listę 250 pseudolosowych nazw domen, stosując rozszerzenia z najwyższego poziomu (.com, .net, .org, .info, .biz) i próbował łączyć się z tymi serwerami, aby pobrać dalsze szkodliwe treści.

Odsłona druga

W styczniu br. pojawiła się druga odmiana robaka, która była w znacznym stopniu podobna do pierwszej, ale nie omijała już systemów ukraińskich i nie próbowała pobierać fałszywego antywirusa. Ponadto wykorzystywała kilka dodatkowych mechanizmów rozprzestrzeniania się, zapisując się np. na wszystkich podłączonych do zainfekowanego systemu dyskach wymiennych i współużytkowanych dyskach sieciowych. Umożliwiło to robakowi zainfekowanie 9 mln komputerów w cztery dni.

Robak próbował wyłączać wiele znanych programów antywirusowych i blokować dostęp do serwisów internetowych związanych z bezpieczeństwem. Podobnie jak pierwszy wariant, generował codziennie listę 250 nazw domen, z którymi próbował się łączyć, ale wykorzystywał więcej rozszerzeń z najwyższego poziomu (oprócz .com, .net, .org, .info i .biz dodatkowo .ws, .wn i .cc).

Odsłona trzecia

W marcu pojawiła się trzecia mutacja Confickera. Wygląda na to, że rozprzestrzenia się ona przez aktualizację komputerów zainfekowanych wcześniejszą wersją szkodnika. Nowa odmiana wprowadziła możliwość komunikacji równorzędnej (Peer to Peer) między zainfekowanymi systemami. Prawdopodobnie jest to odpowiedź na próby zamknięcia mechanizmu połączeń HTTP, podejmowane przez internetową branżę zabezpieczeń.

Robak generuje codziennie listę 50 tys. nazw domen internetowych, używa przy tym 110 różnych typów domen. Tylko 500 z wygenerowanych domen jest "wywoływanych" i tylko raz dziennie. Duża liczba nadmiarowych nazw domen ma na celu zablokowanie mechanizmów używanych dotychczas do zwalczania robaka. To ten wariant Confickera ma zaatakować w prima aprilis.

Czy są powody do obaw?

O spekulacjach na temat skutków uaktywnienia się robaka pisaliśmy w DI kilka dni temu. Specjaliści z laboratorium antywirusowego firmy ESET zapowiadali wówczas zmasowany atak na infrastrukturę internetu. Inni producenci antywirusów wykazują wobec tych podejrzeń daleko posunięty sceptycyzm. "Nie spodziewamy się gwałtownego ataku 1 kwietnia, ale warto być czujnym" - twierdzi Zespół Badawczy F-Secure. Istnieje też prawdopodobieństwo, że zapowiadany szumnie atak robaka okaże się primaaprilisowym żartem jego twórców.

Jak się zabezpieczyć?

Podstawową formą zabezpieczenia jest instalacja odpowiednich poprawek dla systemu Windows - to usuwa główną przyczynę infekcji. Na szczególną uwagę zasługują: MS08-067, MS08-068 i MS09-001. Warto też zaktualizować oprogramowanie antywirusowe i przeprowadzić pełne skanowanie systemu.

Jak wykryć infekcję?

Najprostszym sposobem jest próba otwarcia strony Microsoftu lub któregoś dostawcy rozwiązań antywirusowych - robak blokuje do nich dostęp, więc brak połączenia z wskazanymi witrynami może świadczyć o zarażeniu komputera.

Jak oczyścić zainfekowany system?

W pierwszej kolejności należy zainstalować wspomniane wyżej poprawki. Próba oczyszczenia systemu z pominięciem tego kroku doprowadzi jedynie do uruchomienia procedury usuwania robaka, która będzie trwała w nieskończoność. Jeżeli nie ma pod ręką programu, który potrafiłby go usunąć, można skorzystać z darmowych narzędzi:

Bardziej szczegółową instrukcję można znaleźć w artykule pt. Robak zaatakuje w prima aprilis.


Następny artykuł » zamknij

Darmowe MP3 od Google

Źródło: Trend Micro, F-Secure, McAfee
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Wrzesień 2020»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
282930