Ściągnij plik w formacie pdf/doc
Transkrypt
Ściągnij plik w formacie pdf/doc
Trend Micro ostrzega – robak Conficker powraca w kolejnej odsłonie Conficker, najgroźniejszy robak 2009 roku, powraca. Obserwatorzy branŜy zastanawiają się, co się stanie, gdy jego najnowsza odmiana zacznie kontaktować się ze swoimi mocodawcami. Odsłona pierwsza Robak Downad/Conficker pojawił się w listopadzie 2008 r. Pierwszy wariant robaka był zdecydowanie najprostszy. Rozprzestrzeniał się wykorzystując lukę w zabezpieczeniach (MS08-67), która została usunięta przez Microsoft jeszcze w październiku 2008 r. Robak unikał infekowania systemów, które były skonfigurowane z ukraińskim układem klawiatury lub miały adresy IP zarejestrowane na Ukrainie (co moŜe wskazywać na jego pochodzenie). Po zainfekowaniu komputera, robak najpierw generował losowo adresy IP i wykorzystywał je do wyszukiwania kolejnych ofiar, a następnie próbował jednorazowo pobrać fałszywy program antywirusowy (scareware). Od tej chwili generował codziennie listę 250 pseudolosowych nazw domen, wykorzystując rozszerzenia z najwyŜszego poziomu (.com, .net, .org, .info, i .biz) i próbował łączyć się z tymi serwerami, aby pobrać dalsze szkodliwe treści. Odsłona druga W styczniu 2009 r. pojawiła się druga odmiana robaka Downad/Conficker, która była w znacznym stopniu podobna do pierwszego, jednakŜe robak nie omijał juŜ systemów ukraińskich i nie próbował pobierać programu scareware. Ponadto wykorzystywał kilka dodatkowych mechanizmów rozprzestrzeniania się. Oprócz wykorzystywania wspomnianej luki Microsoftu, rozprzestrzeniał się takŜe zapisując się na wszystkich podłączonych do zainfekowanego systemu dyskach wymiennych i współuŜytkowanych dyskach sieciowych, a ponadto wyszukiwał w tej samej sieci komputery, na które przypuszczał atak siłowy za pomocą listy 250 najczęściej uŜywanych haseł. Drugi wariat próbował takŜe wyłączać wiele znanych programów antywirusowych i blokować dostęp do serwisów internetowych związanych z bezpieczeństwem oraz wyłączał usługi zabezpieczające o kluczowym znaczeniu, takie jak Windows Automatic Update. Te dodatkowe sposoby rozprzestrzeniania się umoŜliwiły robakowi zainfekowanie duŜej liczby komputerów. Drugi wariant równieŜ generuje codziennie listę 250 nazw domen, z którymi próbuje się łączyć, ale wykorzystuje więcej rozszerzeń z najwyŜszego poziomu (oprócz .com, .net, .org, .info, i .biz dodatkowo .ws, .wn i .cc). Nazwy generowane przez te dwie wersje nie pokrywają się. Odsłona trzecia W marcu 2009 r. pojawił się trzeci groźny wariant robaka Downad/Conficker. Wygląda na to, Ŝe nowa wersja rozprzestrzenia się przez aktualizację komputerów zainfekowanych wcześniej drugim wariantem. Nowa odmiana generuje codziennie listę 50 000 nazw domen internetowych (poprzednio było ich 250) oraz uŜywa 110 róŜnych typów domen (poprzednio było ich 5 lub 8). Tylko 500 z wygenerowanych domen jest „wywoływanych” i tylko raz dziennie. DuŜa liczba nadmiarowych nazw domen ma na celu zablokowanie mechanizmów uŜywanych dotychczas do zwalczania robaka. To właśnie ten mechanizm ma się uruchomić 1 kwietnia. Oprócz tej infrastruktury poleceń i kontroli, opartej na języku HTTP, nowy wariant wprowadził takŜe moŜliwość komunikacji równorzędnej (Peer to Peer) między zainfekowanymi systemami. Prawdopodobnie jest to odpowiedź na próby zamknięcia mechanizmu połączeń HTTP, podejmowane przez internetową branŜę zabezpieczeń. W trzecim wariancie zrezygnowano z metod rozpowszechniania się stosowanych w wariantach pierwszym i drugim, zastępując je bardziej defensywnymi sposobami infekcji. Być moŜe cyberprzestępcy uznali, Ŝe zainfekowali juŜ wystarczającą liczbę komputerów, które zamierzają przekształcić w jeden prosty botnet, słuŜący do dystrybucji szkodliwego kodu według swego uznania. Trzeba jednak brać pod uwagę, Ŝe funkcje propagacji mogą być bardzo łatwo ponownie włączone. Informacje o firmie Trend Micro Trend Micro Incorporated to światowy lider w dziedzinie bezpieczeństwa Internetu, zapewniający bezpieczeństwo wymiany informacji cyfrowej przedsiębiorstw i uŜytkowników indywidualnych. Jako pionier branŜy, Trend Micro opracowuje zintegrowane technologie zabezpieczające działalność przedsiębiorstw, informacje osobiste i majątek przed programami destrukcyjnymi, spamem, wyciekami danych oraz najnowszymi zagroŜeniami internetowymi. Więcej informacji na temat tych zagroŜeń moŜna znaleźć w serwisie internetowym TrendWatch pod adresem www.trendmicro.com/go/trendwatch. Elastyczne rozwiązania Trend Micro są dostępne w róŜnych formach, a całodobowej pomocy technicznej do nich udzielają na całym świecie eksperci z dziedziny badania zagroŜeń. Wiele z tych rozwiązań jest wspieranych przez Trend Micro Smart Protection Network, infrastrukturę bezpieczeństwa nowej generacji opartą na usługach dostępnych poprzez sieć Internet i zaprojektowaną w celu ochrony klientów przed zagroŜeniami internetowymi. Trend Micro jest firmą międzynarodową, a jej centrala mieści się w Tokio. Oferowane przez firmę rozwiązania z zakresu bezpieczeństwa cieszą się zaufaniem i są sprzedawane za pośrednictwem partnerów handlowych na całym świecie. Dodatkowe informacje na temat firmy Trend Micro oraz wersje demo jej produktów i usług moŜna znaleźć w serwisie internetowym pod adresem www.trendmicro.com. ### Trend Micro, logo t-ball, TrendSecure, Venus Spy Trap i PC-cillin są znakami towarowymi lub zastrzeŜonymi znakami towarowymi firmy Trend Micro Incorporated. Wszystkie inne nazwy firm lub produktów są znakami towarowymi lub zastrzeŜonymi znakami towarowymi ich właścicieli. Celem uzyskania dalszych informacji prosimy o kontakt z: Inga Ganowska Fischer&Zubek PR Partners + 48 22 551 54 71 + 48 22 551 54 72 + 48 503 099 795 [email protected]