|
|
POZOR VIR - Neznámí červ napadl až 9 000 000 počítačů PC s MS Windows. Zálohu dat provádějte prostřednictvím Live Distribucí Linuxu !
Vydáno dne 18. 01. 2009 (7886 přečtení) Zákeřný počítačový virus se závratnou rychlostí šíří světem. V době vydání tohoto článku je Červ Win32/Conficker asi ten nejnebezpečnější! V posledních dnech se velice daří červu Win32/Conficker, který zneužívá mimo jiné kritickou bezpečnostní chybu v operačním systému Windows, která je popsána v bulletinu MS08-067. Chyba se motá okolo služby SERVER, která zajišťuje provoz síťově sdílených adresářů. Jde tedy o stěžejní síťovou funkci Windows, která se využívá snad i v té nejmenší firemní síti (v této souvislosti je využito i sdílení ADMIN$, více níže). Novější varianty červa se s radostí pouštějí i do zneužívání chyb popsaných v MS08-068 a MS09-001. Společné mají tyto chyby jedno: umožňují "Remote Code Execution", tedy i spuštění škodlivého programu na PC bez vědomí uživatele. To je tedy hlavní způsob šíření po internetu a taktéž v rámci sítě LAN. Dalším způsobem šíření je klasické použití souboru autorun.inf, který ukládá na přenosné disky (USB klíče - "flešky") a namapované síťové disky. Windows pak standardně při přístupu k takovému disku (v případě "flešky" stačí médium připojit k PC) spustí EXE soubor (v tomto případě infikovaný), který je z tohoto řídícího autorun.inf prolinkován. V neposlední řadě je tu i způsob šíření skrze systémové sdílení ADMIN$. Pokud červ Conficker nalezne funkční uživ. jméno a heslo pro přístup skrze ADMIN$ (používá několik metod včetně slovníkového útoku), získává tak přístup do složky C:\WINDOWS na vzdáleném PC, čehož okamžitě využívá. Do WINDOWS\SYSTEM32 vkládá infikovaný soubor a pomocí nové úlohy v plánovači úloh zajistí jeho brzké spuštění. Pokud je červ aktivní v počítači, okamžitě zakazuje provoz služeb jako wuauserv (automatické aktualizace Windows), WinDefend (Windows Defender) a brání uživateli v přístupu na domény antivirových společností a servery s bezpečnostní tématikou (včetně domény microsoft.com). Maže i body obnovy v rámci funkce "Obnova systému" (System Restore). V registrech též navyšuje hodnotu TcpNumConnections (HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters), aby navyšil množství současně otevřených spojení a tím i rychlost šíření na další PC v lokální síti i internetu. Pak zahajuje další vlnu šíření (přes chyby popsané v MS08-067, MS08-068, MS09-001, ADMIN$, autorun.inf). Minimálně pro útok ala MS08-067 instaluje HTTP server, přes který hromadně zasílá speciálně upravené pakety (exploit) na další počítače a snaží se je tak napadnout. Červ Win32/Conficker stihl vytvořit již velice rozsáhlou síť typu botnet, která je tvořena infikovanými počítači. Tato rozsáhlá síť, ve které se podle některých informací nachází již několik miliónů PC, může posloužit útočníkovi pro další operace. Může totiž všem těmto počítačům poslat další "rozkazy" a ty je poslušně vykonají (v minulosti většinou botnet sítě sloužily pro rozesílání spamu - nevyžádané pošty). Infikované počítače si instrukce stahují s různých webových serverů na internetu. Tímto způsobem může postahovat i nové varianty červa, popřípadě další škodlivý kód, který dále rozšiřuje působnost červa. Domén, ze kterých se červ pokouší stáhnout další instrukce, je několik stovek a jejich seznam se mění každý den. Jak se píše na weblogu F-Secure, červ používá velice komplikovaný algoritmus, který generuje seznam stovek domén, ze kterých se pak stahuje další "bordel". Tento seznam je generován každý den avšak klíčem jsou určité informace z veřejných serverů jako je například google.com. Doménová jména nedávají často žádný smysl (bqxocxhia.net, btdnqyvyzs.net, btplxfqwt.com...), nicméně znalost algoritmu umožňuje odhadnout, na jaká další doménová jména se bude červ pokoušet připojit zítra. Stačí pak, aby útočník takovou doménu včas zaregistroval a umístil na ní další instrukce, případně další vylepšení červa, jenž si infikované stanice stáhnou. Zmiňovaný algoritmus rozlouskla i společnost F-Secure, tudíž sami předem zaregistrovali domény u nichž se očekávalo, že z nich bude v budoucnu červ stahovat další instrukce. Statistiky byly hrozivé a množství přístupů s unikátních IP šlo do statisíců! Pravděpodobně tak máme čest s tou největší botnet sítí na světě (14.1 hlásil F-Secure přes 3 500 000 infikovaných). Na závěr ještě několik jednorázových utilit na léčení této havěti (je ale nutné NEJPRVE ošetřit výše uvedené "díry" záplatami a nastavit silná hesla k jednotlivým uživatelům s právy administrátora, jinak se infekce může vrátit!!!): Zdroj: http://www.viry.cz/go.php
Související články: Tak takto to fakt neděláme ... :-) ... jo revizák by se divil - fotogalerie s názvem "Hoří má pananko" je doplněna o další zajímavé fotečky (18.06.2012) Bouře kritiky nejen uživatelů Cryptoworks karet v CZ a SK - POZOR, NELIKVIDUJTE KARTY CRYPTOWORKS !!!! Skylink a CS Link už nebudou mít bezplatné služ (03.06.2012) Servisní poplatek ... Vážení zákazníci, ani nám se to nelíbí a s těmito kroky nesouhlasíme! Skylink a CS Link už nebudou mít bezplatné služby (30.05.2012) Aukro.cz Konec obchodování na Aukru? ... tak i já mám negativní zkušenosti! (02.10.2010) DigiTV vymění přístupové karty a tím odřeže CZ pirátům české a slovenské programy (10.02.2010) VYŠŠÍ MOC UDEŘILA - Auta v ledovém aspiku - námrazy nejen na anténách, sněhová kalamita kde se jen člověk podívá. (09.01.2010) Úmorné vedro jako dnes, špatnej den, není nad to, když to opravím sám - úsměvné video z YouTube (Broadcast Yourself) (02.08.2009) Tak takto to fakt neděláme ... :-) ... jo bezpečák by se divil - Práce ve výškách. (30.07.2009) Jak naučit chodit zákazníky do internetových kaváren - skrytá kamera (téměř instruktážní video) (22.07.2009) Tak takto to fakt neděláme ... :-) ... Bezpečnost práce – Vtipné video - Video reality show (21.07.2009) Tak takto to fakt neděláme ... :-) ... Je vedro dusno a jistě se mnohým nechce trávit čas úředničením - Video reality show (21.07.2009) Tak takto to fakt neděláme ... :-) ... jo bezpečák by se divil - Video reality show Cabel transport (21.07.2009) Velký bratr Vás sleduje - Šokování sousedé - Fízl Bardovskij špehuje své okolí z bytu - úsměvné video z YouTube (Broadcast Yourself) (21.07.2009) Internet mají i v Nepálu, aneb od pan táty vedou dráty... (17.07.2009) Tak takto to fakt neděláme ... :-) ... jo revizák by se divil - jak to děláme u nás ve Viña del Mar (Čile) (17.06.2009) Slovenští piráti zakládají pirátskou stranu a rozjíždí web piratskastrana.sk ! (11.06.2009) POZOR VIR - Na internetu se rychle šíří nová, nebezpečnější varianta viru Conficker (23.03.2009) ISP forum na http://forum.routeros.cz/ není dostupné - General Error! (04.11.2008) HOME MADE ŘEŠENÍ - Aktualizoval jste Firefox na 3.0.2 a nebo 3.0.3 a přišli jste o hesla!!! (24.09.2008) Českou televizi zahltily stížnosti na omyly vymahačů poplatků (v mém př. advokátní kancelář JUDr. Dalibora Kalsca) - dostal jsem to i já a další jiní (06.08.2008) Lidi v bytovce ohrožoval internet rozvedený po bleskosvodu (článek zpravy.idnes.cz - 24. července 2008 13:08) (26.07.2008) Tak takto to fakt neděláme ... :-) ... jo revizák by se divil - fotogalerie s názvem "Hoří má pananko" je doplněna o další zajímavé fotečky (24.07.2008) Až neuvěřitelná fotogalerie z reklamačního oddělení - Co jde na reklamace od zákazníků (23.07.2008) Přinesla Vám dcera ze školy čtyřky? I to si zaslouží odměnu! (03.07.2008) Tak takto to fakt neděláme ... :-) ... jo revizák by se divil (20.06.2008) Tak takto to fakt neděláme ... :-) ... jo revizák by se divil (19.06.2008) Varování před novou verzí podvodných e-mailů (s konkrétní ukázkou phishingu) (10.03.2008) Omlouváme se za delší výpadek internetu, způsobený výpadkem el. proudu v celém Kojetíně (10.01.2008) Policie provedla zátah na piráty na strahovských kolejích - myslíte, že to nemusí být u Vás doma? (15.12.2007) Internetové bankovnictví ČSOB (ČSOB Internetbanking 24) opět nedostupné (15.10.2007) Síť Skype v poslední dny jede, ale spíše nejede !!!!! Uživatelé mají problémy se ke službě přihlásit. Když už se jim to podaří, není to na dlouho. (17.08.2007) Vadná série WA-2204A-TX a možná všech zařízení C&CC WA-2204A a i možná C&CC WA-2204B !!! (12.02.2007) Servisní podpora Telefónica O2 Czech Republic, a.s. - POZOR - velmi zajímavé a "příjemné" pro zákazníky (06.02.2007) ČSOB Internetbanking 24 má dnes problémy (05.01.2007) Tak takto to fakt neděláme ... :-) ... jo revizák by se divil (29.12.2006) Pozor na montážní krabice IP55 pro RouterBoard RB532 (venkovní) (04.12.2006) E-mail na Seznam.cz má v poslední době problémy. (04.12.2006) Tak takto to fakt neděláme ... :-) ... jo revizák by se divil (03.12.2006) DŮLEŽITÉ UPOZORNĚNÍ PRO NAŠE ZÁKAZNÍKY !!! Podvodné e-maily obtěžovali zákazníky České spořitelny (12.10.2006) O2 v reklamách neříká ALE... (23.09.2006) Tak takto to fakt neděláme ... :-) ... jo revizák by se divil (22.09.2006) ČSOB internetové bankovnictví (internetbanking) má problémy. (12.09.2006) ... ale fuj, názor necháme na Vás ... Vrácení zboží - neoprávněný administrativní poplatek (24.06.2006) Tak takto to fakt neděláme ... :-) (15.06.2006) Tak takto to fakt neděláme ... :-) ... jo revizák by se divil (02.06.2006) Takto to fakt neděláme - jak se fakt nedají vést kabely :o) (01.06.2006) Návštěva od ČTU? Není důvod se bát - ČTÚ a co Vy? (30.05.2006) Jak to dělá InWifi : Specializovaný WIFI velkoobchod a maloobchod (18.05.2006) Tak takto to fakt neděláme ... :-) (27.04.2006) DSL.cz po smrti ? - Měření rychlosti a jeho spolehlivost u DSL.CZ (29.03.2006) Jak to je s nabídkou dominantního operátora a spokojeností uživatelů se můžete přesvědčit .... (29.03.2006) Tak takto to fakt neděláme ... :-) (05.12.2005) Tak takto to fakt neděláme ... :-) (03.10.2005) Puzzle On-Line - Takto to fakt neděláme (fušeřina) (26.09.2005) ( Celý článek | Vložil: admin WifiMorava.com (Internet k Vám dom | | )
Neručíme za obsah článků jiných
autorů !!! Pokud jste neodsouhlasili, nečetli a nebo nesplňujete podmínky pro naší doménu a stránky této domény podřízené, opusťte okamžitě tyto stránky, které jsou od 18. let a jsou výhradně pro rozumově dospělé jedince!!!
|
Stránky WiFiMorava.com jsou vytvořeny prostřednictvím
phpRS (http://www.supersvet.cz/phprs/).
Pokud byl znám autor daného článku, URL nebo zdroj, je vždy u daného článku uveden.
Na této stránce použité názvy programových produktů, firem apod. mohou být ochrannými známkami,
nebo registrovanými ochrannými známkami příslušných vlastníků.
Všechna práva vyhrazena