POZOR VIR - Neznámí červ napadl až 9 000 000 počítačů PC s MS Windows. Zálohu dat provádějte prostřednictvím Live Distribucí Linuxu !

DŮLEŽITÁ UPOZORNĚNÍ: Tento dokument je z archivu na www.wifimorava.com (+420-776-206200) . Za obsah článků jiných autorů a správnost případných informací v nich obsažených neručíme. Pokud byl znám zdroj článku, byl vždy uveden.



Zákeřný počítačový virus se závratnou rychlostí šíří světem. V době vydání tohoto článku je Červ Win32/Conficker asi ten nejnebezpečnější! V posledních dnech se velice daří červu Win32/Conficker, který zneužívá mimo jiné kritickou bezpečnostní chybu v operačním systému Windows, která je popsána v bulletinu MS08-067. Chyba se motá okolo služby SERVER, která zajišťuje provoz síťově sdílených adresářů. Jde tedy o stěžejní síťovou funkci Windows, která se využívá snad i v té nejmenší firemní síti (v této souvislosti je využito i sdílení ADMIN$, více níže). Novější varianty červa se s radostí pouštějí i do zneužívání chyb popsaných v MS08-068 a MS09-001. Společné mají tyto chyby jedno: umožňují "Remote Code Execution", tedy i spuštění škodlivého programu na PC bez vědomí uživatele. To je tedy hlavní způsob šíření po internetu a taktéž v rámci sítě LAN. Dalším způsobem šíření je klasické použití souboru autorun.inf, který ukládá na přenosné disky (USB klíče - "flešky") a namapované síťové disky. Windows pak standardně při přístupu k takovému disku (v případě "flešky" stačí médium připojit k PC) spustí EXE soubor (v tomto případě infikovaný), který je z tohoto řídícího autorun.inf prolinkován. V neposlední řadě je tu i způsob šíření skrze systémové sdílení ADMIN$. Pokud červ Conficker nalezne funkční uživ. jméno a heslo pro přístup skrze ADMIN$ (používá několik metod včetně slovníkového útoku), získává tak přístup do složky C:\WINDOWS na vzdáleném PC, čehož okamžitě využívá. Do WINDOWS\SYSTEM32 vkládá infikovaný soubor a pomocí nové úlohy v plánovači úloh zajistí jeho brzké spuštění.



Pokud je červ aktivní v počítači, okamžitě zakazuje provoz služeb jako wuauserv (automatické aktualizace Windows), WinDefend (Windows Defender) a brání uživateli v přístupu na domény antivirových společností a servery s bezpečnostní tématikou (včetně domény microsoft.com). Maže i body obnovy v rámci funkce "Obnova systému" (System Restore). V registrech též navyšuje hodnotu TcpNumConnections (HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters), aby navyšil množství současně otevřených spojení a tím i rychlost šíření na další PC v lokální síti i internetu. Pak zahajuje další vlnu šíření (přes chyby popsané v MS08-067, MS08-068, MS09-001, ADMIN$, autorun.inf). Minimálně pro útok ala MS08-067 instaluje HTTP server, přes který hromadně zasílá speciálně upravené pakety (exploit) na další počítače a snaží se je tak napadnout.

Červ Win32/Conficker stihl vytvořit již velice rozsáhlou síť typu botnet, která je tvořena infikovanými počítači. Tato rozsáhlá síť, ve které se podle některých informací nachází již několik miliónů PC, může posloužit útočníkovi pro další operace. Může totiž všem těmto počítačům poslat další "rozkazy" a ty je poslušně vykonají (v minulosti většinou botnet sítě sloužily pro rozesílání spamu - nevyžádané pošty). Infikované počítače si instrukce stahují s různých webových serverů na internetu. Tímto způsobem může postahovat i nové varianty červa, popřípadě další škodlivý kód, který dále rozšiřuje působnost červa.

Domén, ze kterých se červ pokouší stáhnout další instrukce, je několik stovek a jejich seznam se mění každý den. Jak se píše na weblogu F-Secure, červ používá velice komplikovaný algoritmus, který generuje seznam stovek domén, ze kterých se pak stahuje další "bordel". Tento seznam je generován každý den avšak klíčem jsou určité informace z veřejných serverů jako je například google.com. Doménová jména nedávají často žádný smysl (bqxocxhia.net, btdnqyvyzs.net, btplxfqwt.com...), nicméně znalost algoritmu umožňuje odhadnout, na jaká další doménová jména se bude červ pokoušet připojit zítra. Stačí pak, aby útočník takovou doménu včas zaregistroval a umístil na ní další instrukce, případně další vylepšení červa, jenž si infikované stanice stáhnou. Zmiňovaný algoritmus rozlouskla i společnost F-Secure, tudíž sami předem zaregistrovali domény u nichž se očekávalo, že z nich bude v budoucnu červ stahovat další instrukce. Statistiky byly hrozivé a množství přístupů s unikátních IP šlo do statisíců! Pravděpodobně tak máme čest s tou největší botnet sítí na světě (14.1 hlásil F-Secure přes 3 500 000 infikovaných).

Na závěr ještě několik jednorázových utilit na léčení této havěti (je ale nutné NEJPRVE ošetřit výše uvedené "díry" záplatami a nastavit silná hesla k jednotlivým uživatelům s právy administrátora, jinak se infekce může vrátit!!!):

Zdroj: http://www.viry.cz/go.php