Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Robak powoli zjada sieć...

Dodany 25 lutego 2009, 12:27 CET
Tagi:

Nie minęło jeszcze nawet pół roku od pierwszych ataków robaka Conficker (znanego także pod nazwami Kido oraz Downadup), a już pojawiła się jego nowa wersja - Conficker B++. Obydwie jego wersje są bardzo groźne. Pierwsza (Conficker, Kido) pojawiła się w październiku 2008 roku. Zarażenie komputera możliwe jest poprzez:

  1. Zainfekowaną pamięć przenośną lub dysk zewnętrzny - robak dodaje plik (X):\autorun.inf (gdzie X to litera dysku), przez co rozpoczyna pracę zaraz po podłączeniu zainfekowanego nośnika.
  2. Drugą, a zarazem najczęstszą opcją zarażenia się tym szkodnikiem jest oczywiście Internet. Poniżej znajdują się bardziej szczegółowe informacje dotyczące tej wariacji infekcji.

Robak wykorzystuje lukę (MS08-067) w systemach Microsoft Windows. W tym celu używa specjalnie spreparowanego żądania RPC (Remote Procedure Call - Zdalne Wykonanie Procedury) do wykonania kodu i przepełnienia bufora. O dziurze tej więcej pisze Microsoft:

Na komputerach z systemami Microsoft Windows 2000, Windows XP i Windows Server 2003 osoba atakująca może wykorzystać tę lukę bez uwierzytelniania w celu uruchomienia dowolnego kodu. Potencjalnie luka umożliwia spreparowanie programu wykorzystującego luki, pełniącego funkcję robaka. (...)osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać pełną kontrolę nad systemem, którego dotyczy luka.

Kiedy robak trafi już na komputer, który nie posiada zainstalowanej aktualizacji, zaczyna swoją destrukcyjną działalność. Jednym z jego priorytetów jest infekowanie kolejnych komputerów. Robak próbuje zarazić kolejne komputery w sieci wykorzystując do tego atak "brute force" w celu złamania hasła. Poniższy obrazek, w prosty sposób prezentuje, kto na infekcję narażony jest najbardziej.

robak_powoli_zjada_siec.png

Na komputerze ofiary uruchamiany jest też serwer http (czyni to jedna z wersji robaka), który wykorzystuje dowolny port z zakresu 1024-10000. Robak pobiera w ten sposób kolejne kopie. Ma on także możliwość aktualizowania samego siebie do nowszych wersji.

Lista czynności , jakie robak może wykonać z zainfekowaną maszyną jest długa:

  • wyłączenie aktualizacji automatycznych (celem uniknięcia instalacji poprawki oraz pobrania narzędzia firmy Microsoft, które usuwa robaka)
  • wyłączenie centrum zabezpieczeń Windows (wyłączony zostaje m.in. Windows Defender)
  • blokowanie stron związanych z bezpieczeństwem i poradami na temat usunięcia robaka
  • wyłączenie przywracania systemu oraz skasowanie punktów przywracania systemu
  • wyłączenie usługi raportowania błędów

Najważniejsze wydają się być jednak:

  • możliwość przyłączenia i wykorzystania komputera w sieci botnet do rozsyłania spamu,
  • wykradanie haseł
  • przechwytywanie numerów kart kredytowych czy loginów bankowych

Problem jak widać jest niemały. Pikanterii sprawie dodaje fakt, że do tej pory trudno było ustalić z jakich stron dokładnie pobierane są nowsze wersje robaka. Dzięki działaniom grupy o nazwie Conficker Cabal, udało się złamać algorytm szkodnika, przez co można było dowiedzieć się skąd pobierane są aktualizacje i blokować wybrane serwery. Jednak wspomniana na samym początku wersja Conficker B++ ma "ulepszony" kod, dzięki czemu metoda grupy Conficker Cabal jest wobec niego nieskuteczna, za to efektywność robaka znacznie się zwiększa... Sam Microsoft wyznaczył 250 tysięcy dolarów nagrody za informację pomocną w ujęciu twórcy robaka.

Aby uniknąć zainfekowania należy przestrzegać kilku reguł:

  • aktualizować swój system na bieżąco
  • posiadać zaktualizowane oprogramowanie antywirusowe oraz firewall
  • na profilach kont systemowych oraz do folderów udostępnionych stosować odpowiednio długie i silne hasło (więcej na ten temat można znaleźć tutaj:
    http://viruslist.pl/weblog.html?weblogid=520)
  • wyłączyć autostart dla urządzeń podłączanych do komputera i każdorazowo je skanować

Osoby, które nie zainstalowały jeszcze poprawki powinny to zrobić jak najszybciej. Jest ona dostępna pod adresem
http://www.microsoft.com/poland/technet/security/bulletin/MS08-067.mspx.

Microsoft udostępnia także narzędzie do zwalczania najgroźniejszych robaków i wirusów, w tym Confickera:
http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=pl.

Szczegółowa procedura usuwania robaka Kido, wraz ze specjalnym bezpłatnym narzędziem jest dostępna tutaj: http://support.kaspersky.com/pl/faq/?qid=208279970.