Ściągnij plik w formacie pdf/doc

Trend Micro ostrzega – robak Conficker powraca w kolejnej odsłonie
Conficker, najgroźniejszy robak 2009 roku, powraca. Obserwatorzy branŜy zastanawiają się, co się stanie,
gdy jego najnowsza odmiana zacznie kontaktować się ze swoimi mocodawcami.
Odsłona pierwsza
Robak Downad/Conficker pojawił się w listopadzie 2008 r. Pierwszy wariant robaka był zdecydowanie
najprostszy. Rozprzestrzeniał się wykorzystując lukę w zabezpieczeniach (MS08-67), która została
usunięta przez Microsoft jeszcze w październiku 2008 r.
Robak unikał infekowania systemów, które były skonfigurowane z ukraińskim układem klawiatury lub
miały adresy IP zarejestrowane na Ukrainie (co moŜe wskazywać na jego pochodzenie). Po
zainfekowaniu komputera, robak najpierw generował losowo adresy IP i wykorzystywał je do
wyszukiwania kolejnych ofiar, a następnie próbował jednorazowo pobrać fałszywy program
antywirusowy (scareware). Od tej chwili generował codziennie listę 250 pseudolosowych nazw domen,
wykorzystując rozszerzenia z najwyŜszego poziomu (.com, .net, .org, .info, i .biz) i próbował łączyć się z
tymi serwerami, aby pobrać dalsze szkodliwe treści.
Odsłona druga
W styczniu 2009 r. pojawiła się druga odmiana robaka Downad/Conficker, która była w znacznym
stopniu podobna do pierwszego, jednakŜe robak nie omijał juŜ systemów ukraińskich i nie próbował
pobierać programu scareware. Ponadto wykorzystywał kilka dodatkowych mechanizmów
rozprzestrzeniania się. Oprócz wykorzystywania wspomnianej luki Microsoftu, rozprzestrzeniał się takŜe
zapisując się na wszystkich podłączonych do zainfekowanego systemu dyskach wymiennych i
współuŜytkowanych dyskach sieciowych, a ponadto wyszukiwał w tej samej sieci komputery, na które
przypuszczał atak siłowy za pomocą listy 250 najczęściej uŜywanych haseł. Drugi wariat próbował takŜe
wyłączać wiele znanych programów antywirusowych i blokować dostęp do serwisów internetowych
związanych z bezpieczeństwem oraz wyłączał usługi zabezpieczające o kluczowym znaczeniu, takie jak
Windows Automatic Update. Te dodatkowe sposoby rozprzestrzeniania się umoŜliwiły robakowi
zainfekowanie duŜej liczby komputerów.
Drugi wariant równieŜ generuje codziennie listę 250 nazw domen, z którymi próbuje się łączyć, ale
wykorzystuje więcej rozszerzeń z najwyŜszego poziomu (oprócz .com, .net, .org, .info, i .biz dodatkowo
.ws, .wn i .cc). Nazwy generowane przez te dwie wersje nie pokrywają się.
Odsłona trzecia
W marcu 2009 r. pojawił się trzeci groźny wariant robaka Downad/Conficker. Wygląda na to, Ŝe nowa
wersja rozprzestrzenia się przez aktualizację komputerów zainfekowanych wcześniej drugim wariantem.
Nowa odmiana generuje codziennie listę 50 000 nazw domen internetowych (poprzednio było ich 250)
oraz uŜywa 110 róŜnych typów domen (poprzednio było ich 5 lub 8). Tylko 500 z wygenerowanych
domen jest „wywoływanych” i tylko raz dziennie. DuŜa liczba nadmiarowych nazw domen ma na celu
zablokowanie mechanizmów uŜywanych dotychczas do zwalczania robaka.
To właśnie ten mechanizm ma się uruchomić 1 kwietnia.
Oprócz tej infrastruktury poleceń i kontroli, opartej na języku HTTP, nowy wariant wprowadził takŜe
moŜliwość komunikacji równorzędnej (Peer to Peer) między zainfekowanymi systemami.
Prawdopodobnie jest to odpowiedź na próby zamknięcia mechanizmu połączeń HTTP, podejmowane
przez internetową branŜę zabezpieczeń.
W trzecim wariancie zrezygnowano z metod rozpowszechniania się stosowanych w wariantach
pierwszym i drugim, zastępując je bardziej defensywnymi sposobami infekcji. Być moŜe cyberprzestępcy
uznali, Ŝe zainfekowali juŜ wystarczającą liczbę komputerów, które zamierzają przekształcić w jeden
prosty botnet, słuŜący do dystrybucji szkodliwego kodu według swego uznania. Trzeba jednak brać pod
uwagę, Ŝe funkcje propagacji mogą być bardzo łatwo ponownie włączone.
Informacje o firmie Trend Micro
Trend Micro Incorporated to światowy lider w dziedzinie bezpieczeństwa Internetu, zapewniający bezpieczeństwo wymiany informacji cyfrowej
przedsiębiorstw i uŜytkowników indywidualnych. Jako pionier branŜy, Trend Micro opracowuje zintegrowane technologie zabezpieczające
działalność przedsiębiorstw, informacje osobiste i majątek przed programami destrukcyjnymi, spamem, wyciekami danych oraz najnowszymi
zagroŜeniami internetowymi. Więcej informacji na temat tych zagroŜeń moŜna znaleźć w serwisie internetowym TrendWatch pod adresem
www.trendmicro.com/go/trendwatch.
Elastyczne rozwiązania Trend Micro są dostępne w róŜnych formach, a całodobowej pomocy technicznej do nich udzielają na całym świecie
eksperci z dziedziny badania zagroŜeń.
Wiele z tych rozwiązań jest wspieranych przez Trend Micro Smart Protection Network, infrastrukturę bezpieczeństwa nowej generacji opartą na
usługach dostępnych poprzez sieć Internet i zaprojektowaną w celu ochrony klientów przed zagroŜeniami internetowymi.
Trend Micro jest firmą międzynarodową, a jej centrala mieści się w Tokio. Oferowane przez firmę rozwiązania z zakresu bezpieczeństwa cieszą
się zaufaniem i są sprzedawane za pośrednictwem partnerów handlowych na całym świecie.
Dodatkowe informacje na temat firmy Trend Micro oraz wersje demo jej produktów i usług moŜna znaleźć w serwisie internetowym pod adresem
www.trendmicro.com.
###
Trend Micro, logo t-ball, TrendSecure, Venus Spy Trap i PC-cillin są znakami towarowymi lub zastrzeŜonymi znakami towarowymi firmy Trend
Micro Incorporated. Wszystkie inne nazwy firm lub produktów są znakami towarowymi lub zastrzeŜonymi znakami towarowymi ich właścicieli.
Celem uzyskania dalszych informacji prosimy o kontakt z:
Inga Ganowska
Fischer&Zubek PR Partners
+ 48 22 551 54 71
+ 48 22 551 54 72
+ 48 503 099 795
[email protected]