W32.Downadup/W32.Conficker
Transkrypt
W32.Downadup/W32.Conficker
CERT.GOV.PL Źródło: http://www.cert.gov.pl/cer/wiadomosci/zagrozenia-i-podatnosc/108,W32DownadupW32Conficker.html Wygenerowano: Sobota, 4 marca 2017, 13:22 W32.Downadup/W32.Conficker Rośnie liczba infekcji spowodowanych robakiem wykorzystującym lukę w protokole RPC. Robak rozprzestrzenia się, wykorzystując w tym celu lukę w zabezpieczeniach MS08-067 usługi serwera Microsoft Windows. Specjaliści ostrzegają, że robak powoli staje się już epidemią. Według aktualnych szacunków na całym świecie zarażonych zostało już ponad 9 milionów komputerów (raport F-Secure). Luka została załatana przez Microsoft w październiku 2008r, dotyczyła ona systemów Windows 2000, Windows XP, Windows Server 2003, Windows Vista i Windows Server 2008. Downadup, znany także jako Conficker po zainstalowaniu się w systemie generuje listę możliwych domen, wybiera jedną z nich, a następnie używa tego URL-a, aby dostać się do serwera na którym przechowywane jest złośliwe oprogramowanie. Z niego pobiera dodatkowe oprogramowanie typu malware, które jest instalowane na komputerze ofiary. Infekcja rozpowszechnia się się nie tylko w Internecie, ale także poprzez urządzenia USB. Robak propaguje się przez port 445/TCP, co oczywiście objawia się znaczącym wzrostem ruchu na tym porcie. Na podstawie danych pochodzących z systemu wczesnego ostrzegania o zagrożeniach w sieci Internet - ARAKIS-GOV wzrost ruchu jest znaczny, co potwierdzają poniższe wykresy. Sieci Honeynet Sieci Darknet CERT.GOV.PL zaleca: ● ● ● ● administratorzy zasobów IT powinni sprawdzić komputery pod kątem ewentualnych luk w zabezpieczeniach należy skorzystać z poprawki dla serwerów i stacji roboczych, udostępnionej w ramach odpowiedniego biuletynu Microsoft należy usunąć zagrożenie z zainfekowanych komputerów należy wyłączyć opcję automatycznego uruchamiania urządzeń USB ● należy sprawdzić, czy wszystkie posiadane programy antywirusowe i systemy zabezpieczeń zostały zaktualizowane z wykorzystaniem najnowszej bazy sygnatur. Przykładowe narzędzia do wykrywania i usuwania złośliwego robaka: ● ● ● Narzędzie firmy Microsoft - MSRT (Malicious Software Removal Tool ) Narzędzie F-Secure - f-downadup Narzędzie Symantec - FixDownadup Więcej informacji: http://www.microsoft.com/security/portal/SearchResults.aspx?query=conficker http://www.viruslist.pl/encyclopedia.html?cat=13&uid=5325 http://support.microsoft.com/kb/962007 http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=76852 http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml http://research.pandasecurity.com/archive/Warning_3A00_-Conficker-worm-infections-gaining-traction.aspx http://pl.mcafee.com/virusInfo/default.asp?id=description&virus_k=153710 Ocena: 0/5 (0) robak, Downadup, darknet, honeynet, RPC, Conficker, USB, worm, podatność, ARAKIS-GOV RG