Jedu si takhle autem a poslouchám rádio. Najednou zaslechnu něco o rychle se šířícím viru. Kouknu pak na Igiho stránky (www.viry.cz) a dozvím se, že se nám tu šiří další havěť. Takhle je docela pěkná, konečně něco nového. Kreativní algorytmus na generování názvu stránek pro stahování dalších instrukcí, rychlost šíření, způsob infikace a co vir zakazuje.
Jistě je to v případě napadení problém, ale i tak chci pochválit tvůrce viru za kreativitu. Ale čímpak to je, že nenapadá ukrajinské stroje? 😉
Už zareagovali i naše zpravodajské servery – jestli chcete další informace o viru, kouknete na:
- Zive.cz
- Technet.cz (i s návodem).
Kopie článku z viry.cz je níže ve článku (také zajímavé technické čtení).
Zkušenosti a názor prosím do komentářů.
(zdroj: viry.cz)
V posledních dnech se velice daří červu Win32/Conficker, který zneužívá mimo jiné kritickou bezpečnostní chybu v operačním systému Windows, která je popsána v bulletinu MS08-067. Chyba se motá okolo služby SERVER, která zajišťuje provoz síťově sdílených adresářů. Jde tedy o stěžejní síťovou funkci Windows, která se využívá snad i v té nejmenší firemní síti (v této souvislosti je využito i sdílení ADMIN$, více níže). Novější varianty červa se s radostí pouštějí i do zneužívání chyb popsaných vMS08-068 a MS09-001. Společné mají tyto chyby jedno: umožňují „Remote Code Execution“, tedy i spuštění škodlivého programu na PC bez vědomí uživatele. To je tedy hlavní způsob šíření po internetu a taktéž v rámci sítě LAN. Dalším způsobem šíření je klasické použití souboru autorun.inf, který ukládá na přenosné disky (USB klíče – „flešky“) a namapované síťové disky. Windows pak standardně při přístupu k takovému disku (v případě „flešky“ stačí médium připojit k PC) spustí EXE soubor (v tomto případě infikovaný), který je z tohoto řídícího autorun.inf prolinkován. V neposlední řadě je tu i způsob šíření skrze systémové sdílení ADMIN$. Pokud červ Conficker nalezne funkční uživ. jméno a heslo pro přístup skrze ADMIN$ (používá několik metod včetně slovníkového útoku), získává tak přístup do složky C:\WINDOWS na vzdáleném PC, čehož okamžitě využívá. Do WINDOWS\SYSTEM32 vkládá infikovaný soubor a pomocí nové úlohy v plánovači úloh zajistí jeho brzké spuštění.
Pokud je červ aktivní v počítači, okamžitě zakazuje provoz služeb jako wuauserv (automatické aktualizace Windows), WinDefend (Windows Defender) a brání uživateli v přístupu na domény antivirových společností a servery s bezpečnostní tématikou (včetně domény microsoft.com). Maže i body obnovy v rámci funkce „Obnova systému“ (System Restore). V registrech též navyšuje hodnotu TcpNumConnections (HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters), aby navyšil množství současně otevřených spojení a tím i rychlost šíření na další PC v lokální síti i internetu. Pak zahajuje další vlnu šíření (přes chyby popsané v MS08-067, MS08-068, MS09-001, ADMIN$, autorun.inf). Minimálně pro útok ala MS08-067 instaluje HTTP server, přes který hromadně zasílá speciálně upravené pakety (exploit) na další počítače a snaží se je tak napadnout.
Červ Win32/Conficker stihl vytvořit již velice rozsáhlou síť typu botnet, která je tvořena infikovanými počítači. Tato rozsáhlá síť, ve které se podle některých informací nachází již několik miliónů PC, může posloužit útočníkovi pro další operace. Může totiž všem těmto počítačům poslat další „rozkazy“ a ty je poslušně vykonají (v minulosti většinou botnet sítě sloužily pro rozesílání spamu – nevyžádané pošty). Infikované počítače si instrukce stahují s různých webových serverů na internetu. Tímto způsobem může postahovat i nové varianty červa, popřípadě další škodlivý kód, který dále rozšiřuje působnost červa.
Domén, ze kterých se červ pokouší stáhnout další instrukce, je několik stovek a jejich seznam se mění každý den. Jak se píše na weblogu F-Secure, červ používá velice komplikovaný algoritmus, který generuje seznam stovek domén, ze kterých se pak stahuje další „bordel“. Tento seznam je generován každý den avšak klíčem jsou určité informace z veřejných serverů jako je například google.com. Doménová jména nedávají často žádný smysl (bqxocxhia.net, btdnqyvyzs.net, btplxfqwt.com…), nicméně znalost algoritmu umožňuje odhadnout, na jaká další doménová jména se bude červ pokoušet připojit zítra. Stačí pak, aby útočník takovou doménu včas zaregistroval a umístil na ní další instrukce, případně další vylepšení červa, jenž si infikované stanice stáhnou. Zmiňovaný algoritmus rozlouskla i společnost F-Secure, tudíž sami předem zaregistrovali domény u nichž se očekávalo, že z nich bude v budoucnu červ stahovat další instrukce. Statistiky byly hrozivé a množství přístupů s unikátních IP šlo do statisíců! Pravděpodobně tak máme čest s tou největší botnet sítí na světě (14.1 hlasil F-Secure přes 3 500 000 infikovaných).
Na závěr ještě několik jednorázových utilit na léčení této havěti (je ale nutné NEJPRVE ošetřit výše uvedené „díry“ záplatami a nastavit silná hesla k jednotlivým uživatelům s právy administrátora, jinak se infekce může vrátit!!!):
Remove bonus:
Přímo ze stránek viry.cz lze stáhnout některé „odstraňovače“ (remover) červa Downadup / Conficker. Přístup na oficiální stránky antivirových společností může totiž červ blokovat.
- Remover od společnosti Symantec
- Remover od společnosti F-Secure (je nutné ho spustit s parametrem, více v přiloženém souboru readme.txt – trochu komplikovanější obsluha)
Nejprve je ale potřeba nainstalovat veškeré bezpečnostní záplaty společnosti Microsoft a posílit hesla ke všem účtům s právy administrátora! Jinak hrozí, že se infekce vrátí!