W32.Downadup/W32.Conficker

CERT.GOV.PL
Źródło: http://www.cert.gov.pl/cer/wiadomosci/zagrozenia-i-podatnosc/108,W32DownadupW32Conficker.html
Wygenerowano: Sobota, 4 marca 2017, 13:22
W32.Downadup/W32.Conficker
Rośnie liczba infekcji spowodowanych robakiem wykorzystującym lukę w protokole RPC.
Robak rozprzestrzenia się, wykorzystując w tym celu lukę w zabezpieczeniach MS08-067 usługi serwera Microsoft Windows.
Specjaliści ostrzegają, że robak powoli staje się już epidemią. Według aktualnych szacunków na całym świecie zarażonych
zostało już ponad 9 milionów komputerów (raport F-Secure).
Luka została załatana przez Microsoft w październiku 2008r, dotyczyła ona systemów Windows 2000, Windows XP, Windows
Server 2003, Windows Vista i Windows Server 2008. Downadup, znany także jako Conficker po zainstalowaniu się w
systemie generuje listę możliwych domen, wybiera jedną z nich, a następnie używa tego URL-a, aby dostać się do serwera
na którym przechowywane jest złośliwe oprogramowanie. Z niego pobiera dodatkowe oprogramowanie typu malware, które
jest instalowane na komputerze ofiary. Infekcja rozpowszechnia się się nie tylko w Internecie, ale także poprzez urządzenia
USB.
Robak propaguje się przez port 445/TCP, co oczywiście objawia się znaczącym wzrostem ruchu na tym porcie. Na podstawie
danych pochodzących z systemu wczesnego ostrzegania o zagrożeniach w sieci Internet - ARAKIS-GOV wzrost ruchu jest
znaczny, co potwierdzają poniższe wykresy.
Sieci Honeynet
Sieci Darknet
CERT.GOV.PL zaleca:
●
●
●
●
administratorzy zasobów IT powinni sprawdzić komputery pod kątem ewentualnych luk w zabezpieczeniach
należy skorzystać z poprawki dla serwerów i stacji roboczych, udostępnionej w ramach odpowiedniego biuletynu Microsoft
należy usunąć zagrożenie z zainfekowanych komputerów
należy wyłączyć opcję automatycznego uruchamiania urządzeń USB
●
należy sprawdzić, czy wszystkie posiadane programy antywirusowe i systemy zabezpieczeń zostały zaktualizowane z
wykorzystaniem najnowszej bazy sygnatur.
Przykładowe narzędzia do wykrywania i usuwania złośliwego robaka:
●
●
●
Narzędzie firmy Microsoft - MSRT (Malicious Software Removal Tool )
Narzędzie F-Secure - f-downadup
Narzędzie Symantec - FixDownadup
Więcej informacji:
http://www.microsoft.com/security/portal/SearchResults.aspx?query=conficker
http://www.viruslist.pl/encyclopedia.html?cat=13&uid=5325
http://support.microsoft.com/kb/962007
http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=76852
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml
http://research.pandasecurity.com/archive/Warning_3A00_-Conficker-worm-infections-gaining-traction.aspx
http://pl.mcafee.com/virusInfo/default.asp?id=description&virus_k=153710
Ocena: 0/5 (0)
robak, Downadup, darknet, honeynet, RPC, Conficker, USB,
worm, podatność, ARAKIS-GOV
RG