Jak już pisaliśmy w poprzednim artykule, robak może zainfekować system wykorzystując lukę w systemie Windows lub na podłączeniu zainfekowanego nośnika danych do naszego komputera.
Już od paru miesięcy pojawiają się różne warianty robaka, najnowszym jest Win32/Conficker.D znany również jako Downadup.C czy Kido. Robak ten jest znacznie lepiej skonstruowany niż poprzednie wersje.

Historia Confickera.
Pierwszy wariant robaka był zdecydowanie najprostszy. Rozprzestrzeniał się wykorzystując lukę w zabezpieczeniach (MS08-67), która została usunięta przez Microsoft jeszcze w październiku 2008 r. Po zainfekowaniu komputera, robak generował losowo adresy IP i wykorzystywał je do wyszukiwania kolejnych ofiar. Następnie generował codziennie listę 250 pseudolosowych nazw domen i próbował łączyć się z tymi serwerami, aby pobrać dalsze szkodliwe treści.

W styczniu 2009 r. pojawiła się druga odmiana robaka. Wersja ta działała podobnie do pierwszej. Robak dodatkowo wykorzystywał kilka mechanizmów rozprzestrzeniania się. Oprócz wykorzystywania wspomnianej luki Microsoftu, rozprzestrzeniał się zapisując się na wszystkich podłączonych do zainfekowanego systemu dyskach wymiennych i współużytkowanych dyskach sieciowych. Próbował także wyłączać wiele znanych programów antywirusowych i blokować dostęp do adresów zawierających następujące ciągi znaków np. arcabit, securecomputing, pctools, avast, eset, nod32, kaspersky, f-secure, mcafee, microsoft, virus, cert, symantec, malware. Wyłączał również usługi zabezpieczające o kluczowym znaczeniu, takie jak Windows Automatic Update czy usługę inteligentnego transferu w tle BITS.

W marcu 2009 r. pojawił się trzeci groźny wariant robaka Downad/Conficker. Wygląda na to, że nowa wersja rozprzestrzenia się przez aktualizację złośliwego kodu komputerów zainfekowanych wcześniej drugim wariantem. Szkodnik zdecydowanie dużo bardziej potrafi maskować swoją obecność w systemie operacyjnym. Specjaliści ds. bezpieczeństwa są w trakcie analizowania kodu zmutowanego robaka i wykazują, że 1 kwietnia 2009r. kopie szkodnika zaczną po raz pierwszy nawiązywać połączenie z serwerami kontrolnymi. Analizy wykazują, że robak cyklicznie sprawdza datę. Nie wykorzystuje jednak do tego zegara systemowego - zamiast tego sprawdza dane na wielu popularnych stronach WWW jak na przykład : ask.com, baidu.com, facebook.com, google.com, imageshack.us, rapidshare.com, w3.org, yahoo.com. Jeśli data wskaże 1 kwietnia ( lub po tej dacie) 2009 r. szkodnik wykorzysta datę do stworzenia listy nazw domen z którymi następnie spróbuje się skontaktować w celu pobrania plików na skompromitowaną maszynę. Nie wiadomo co może przynieść wzmożony ruch robaka. Wiadomo jednak, że wirus zacznie generować około 50 tysięcy adresów URL dziennie (wcześniejsze wersje robaka generowały ok. 250 adresów). Wszystko po to, by nie można było się zorientować skąd szkodnik pobierze instrukcje dalszego działania. Nowy wariant wprowadził także możliwość komunikacji równorzędnej (Peer to Peer) między zainfekowanymi systemami.

Co może przynieść 1 kwietnia?
Specjaliści ds. bezpieczeństwa twierdzą, że cyberprzestępcy zamierzają przekształcić zainfekowane komputery w jeden wielki botnet służący do skonstruowania niezwykle rozbudowanej sieci botnet, za pośrednictwem której możliwe będzie zainicjowanie zmasowanego ataku na infrastrukturę samej sieci Internet.
Inni twierdzą że robak posłuży do powstania czegoś w rodzaju "Dark Google", czyli systemu umożliwiającego wyszukiwanie i ściąganie danych przechowywanych na zarażonych komputerach (np. haseł i numerów kart kredytowych). Istnieje też duże prawdopodobieństwo, że stworzona przez robaka sieć zombie będzie wykorzystywana do przeprowadzenia ataku DDoS, używać będzie botnetu jako sieci proxy do ukrycia nielegalnej działalności czy też masowo rozsyłać spam.

Jak uchronić się przed atakiem?

• administratorzy zasobów IT powinni sprawdzić komputery pod kątem ewentualnych luk w zabezpieczeniach
• należy skorzystać z poprawki dla serwerów i stacji roboczych, udostępnionej w ramach odpowiedniego biuletynu MS08-067, MS08-068 i MS09-001
• należy usunąć zagrożenie z zainfekowanych komputerów (odłączając zainfekowany komputer z sieci i dopiero wtedy przeskanowanie narzędziami do usuwania robaka)
• należy wyłączyć opcję automatycznego uruchamiania urządzeń USB
• zaleca się przeskanowanie programem antywirusowym wymiennych nośników danych przed ich użyciem
• należy sprawdzić, czy wszystkie posiadane programy antywirusowe i systemy zabezpieczeń zostały zaktualizowane z wykorzystaniem najnowszej bazy sygnatur
• zaleca się używanie silnych haseł (proste hasła, jak „12345“ lub „admin“ nie gwarantują bezpieczeństwa zabezpieczonych nimi danych, co bezlitośnie wykorzystuje Conficker.)
• należy zachować ostrożność przy poszukiwaniu w sieci informacji o szkodniku - cyberprzestępcy zaczęli bowiem manipulować wynikami wyszukiwania, starając się zwabić jak najwięcej internautów na zainfekowane strony.

Przykładowe narzędzia do wykrywania i usuwania złośliwego robaka:

• Narzędzie firmy Microsoft - MSRT (Malicious Software Removal Tool )
• Narzędzie F-Secure - f-downadup
• Narzędzie Symantec - FixDownadup
• Narzędzie firmy ESET - EConfickerRemover
• Narzędzie firmy BDTOOLS - bdtool
• Narzędzie firmy Kaspersky - KKiller
• Narzędzie firmy McAfee - Stinger
• Narzędzie TrendMicro - sysclean

Więcej informacji:
http://cert.gov.pl/
http://www.confickerworkinggroup.org/wiki/
http://technet.microsoft.com/en-us/security/dd452420.aspx
http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx
http://blogs.technet.com/mmpc/
http://www.symantec.com/security_response/writeup.jsp?docid=2009-030614-5852-99&tabid=2
http://www.symantec.com/the_downadup_codex_ed1.pdf
http://pl.mcafee.com/virusInfo/default.asp?id=description&virus_k=154253
http://www.scmagazineus.com/Is-Conficker-overhyped/article/129599/

SKONTAKTUJ SIĘ Z NAMI