Wiadomości
Zagrożenia i podatności
W32.Downadup/W32.Conficker
Rośnie liczba infekcji spowodowanych robakiem wykorzystującym lukę w protokole RPC.
Robak rozprzestrzenia się, wykorzystując w tym celu lukę w zabezpieczeniach MS08-067 usługi serwera Microsoft Windows. Specjaliści ostrzegają, że robak powoli staje się już epidemią. Według aktualnych szacunków na całym świecie zarażonych zostało już ponad 9 milionów komputerów (raport F-Secure).
Luka została załatana przez Microsoft w październiku 2008r, dotyczyła ona systemów Windows 2000, Windows XP, Windows Server 2003, Windows Vista i Windows Server 2008. Downadup, znany także jako Conficker po zainstalowaniu się w systemie generuje listę możliwych domen, wybiera jedną z nich, a następnie używa tego URL-a, aby dostać się do serwera na którym przechowywane jest złośliwe oprogramowanie. Z niego pobiera dodatkowe oprogramowanie typu malware, które jest instalowane na komputerze ofiary. Infekcja rozpowszechnia się się nie tylko w Internecie, ale także poprzez urządzenia USB.
Robak propaguje się przez port 445/TCP, co oczywiście objawia się znaczącym wzrostem ruchu na tym porcie. Na podstawie danych pochodzących z systemu wczesnego ostrzegania o zagrożeniach w sieci Internet - ARAKIS-GOV wzrost ruchu jest znaczny, co potwierdzają poniższe wykresy.
Sieci Honeynet
Sieci Darknet
CERT.GOV.PL zaleca:
- administratorzy zasobów IT powinni sprawdzić komputery pod kątem ewentualnych luk w zabezpieczeniach
- należy skorzystać z poprawki dla serwerów i stacji roboczych, udostępnionej w ramach odpowiedniego biuletynu Microsoft
- należy usunąć zagrożenie z zainfekowanych komputerów
- należy wyłączyć opcję automatycznego uruchamiania urządzeń USB
- należy sprawdzić, czy wszystkie posiadane programy antywirusowe i systemy zabezpieczeń zostały zaktualizowane z wykorzystaniem najnowszej bazy sygnatur.
Przykładowe narzędzia do wykrywania i usuwania złośliwego robaka:
- Narzędzie firmy Microsoft - MSRT (Malicious Software Removal Tool )
- Narzędzie F-Secure - f-downadup
- Narzędzie Symantec - FixDownadup
Więcej informacji:
http://www.microsoft.com/security/portal/SearchResults.aspx?query=conficker
http://www.viruslist.pl/encyclopedia.html?cat=13&uid=5325
http://support.microsoft.com/kb/962007
http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=76852
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml
http://research.pandasecurity.com/archive/Warning_3A00_-Conficker-worm-infections-gaining-traction.aspx
http://pl.mcafee.com/virusInfo/default.asp?id=description&virus_k=153710
Najbardziej popularne
-
30.01.2012
Wytyczne w zakresie ochrony portali informacyjnych administracji publicznej wprowadzone przez Ministra Administracji i Cyfryzacji
Zostały opracowane i zatwierdzone Wytyczne Ministra Administracji i Cyfryzacji w zakresie ochrony portali informacyjnych administracji publicznej opracowane przez Zespół zadaniowy do spraw ochrony portali rządowych powołany przez przewodniczącego Komitetu Rady Ministrów do spraw Cyfryzacji Michała Boniego -
21.07.2011
Kradzieże haseł - przypomnienie
W związku z powtarzającymi się incydentami teleinformatycznymi na różnego typu stronach internetowych, w rezultacie których zostają wykradzione hasła użytkowników, zespół CERT.GOV.PL przypomina podstawowe zasady bezpieczeństwa: -
06.04.2011
Nowe zagrożenie w plikach PDF
Dzięki współpracy polskich zespołów bezpieczeństwa, związanych inicjatywa Abuse-Forum udało się wykryć oraz przeanalizować nowe zagrożenie. Od 03.04.2011 do polskich internautów trafia wiadomość e-mail zawierająca w załączniku złośliwy dokument PDF. Z analiz przeprowadzonych przez CERT Polska wynika, że po otwarciu załączonego pliku PDF komputer zostaje zainfekowany złośliwym oprogramowanie SpyEye. -
26.01.2011
Cyberprzestępcy wykorzystują tragedię w Moskwie
Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL informuje, że tragedia związana z atakiem bombowym na lotnisku Domodiedowo w Moskwie wykorzystywana jest między innymi do rozsyłania poczty internetowej zawierającej złośliwe oprogramowanie. -
03.11.2010
Ostrzeżenie o ataku wyłudzającym
W dniu dzisiejszym , Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL uzyskał informacje o masowo rozsyłanych wiadomościach email mających na celu wyłudzenie informacji dostępowych (adres email, hasło) do kont pocztowych instytucji administracji państwowej (domena gov.pl). -
27.08.2010
Poważny błąd w systemach operacyjnych firmy Microsoft Windows
W ostatnim czasie głośno jest o poważnej luce w zabezpieczeniach systemów Windows “DLL Preloading Bug”. Powyższa luka pozwala na podrzucenie dowolnej biblioteki dołączanej dynamicznie DLL do systemu operacyjnego i załadowanie jej przy wykorzystaniu dowolnej aplikacji zainstalowanej na komputerze ofiary. -
07.04.2010
Ostrzeżenie przed atakami ukierunkowanymi
W związku z informacjami o atakach ukierunkowanych na pracowników instytucji administracji publicznej, Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL apeluje o zachowanie środków ostrożności przy przeglądaniu poczty internetowej zatytułowanej „The annual Cybersecurity meeting on April 05-08”. -
19.01.2010
Atak phishingowy na klientów banku PKO BP
W związku z atakiem phishingowym na użytkowników banku PKO BP Rządowy Zespół Reagowania na Incydenty Komputerowe ostrzega przed próbą wyłudzenia wrażliwych danych.
