Oprac. e-sieci. na podst. studio Prowokacja | 15/01/2009 10:50
Conficker, nowa rodzina robaków komputerowych wykorzystujących do rozprzestrzeniania się lukę w zabezpieczeniach systemu Microsoft Windows, atakuje komputery na całym świecie. Co ważne, rozprzestrzenia się nie tylko w internecie, ale także poprzez urządzenia USB: pamięci masowe czy odtwarzacze MP3. Robaki Conficker pobierają także inne złośliwe kody na zainfekowany komputer, pozwalając na przejęcie nad nim kontroli. Przed atakami tego rodzaju chronieni są posiadacze oprogramowania Panda Security, którzy mogą bezpiecznie korzystać z komputera.
REKLAMA
Conficker, nowa rodzina robaków komputerowych, zdążyła już zainfekować tysiące komputerów na całym świecie. PandaLabs, laboratorium Panda Security specjalizujące się w wykrywaniu i analizie złośliwego oprogramowania, zlokalizowało trzy warianty tego złośliwego kodu: Conficker A, B i C. Pierwsze rozpoznane infekcje miały miejsce pod koniec listopada, lecz gwałtowny wzrost aktywności zaobserwowano dopiero w okresie poświątecznym.
Robak rozprzestrzenia się wykorzystując lukę w zabezpieczeniach MS08-067 serwera Microsoft Windows. Infekcja rozprzestrzenia się z wykorzystaniem zmodyfikowanych wywołań RPC do innych komputerów. Komputery podatne na atak pobierają kopię robaka. RPC, to skrót od Remote Procedure Call (zdalne wywołanie procedury). To właśnie ten protokół robak wykorzystuje w celu wprowadzenia do komputera znajdującego się w sieci kodu, pozwalającego twórcom Confickera na zdalne przejęcie kontroli nad zainfekowanym komputerem.
Robak ten rozprzestrzenia się również za pośrednictwem urządzeń magazynujących USB, czyli np. dysków zewnętrznych lub pamięci przenośnych, a także np. odtwarzaczy MP3. Zagrożenie jest tym poważniejsze, że robak dokonuje stałych aktualizacji, pobierając na zainfekowane komputery nowe wersje, korzystając w tym celu z różnych adresów IP, co utrudnia jego zablokowanie. Jednocześnie powstają kolejne warianty robaka, umożliwiające pobieranie innych złośliwych programów na zainfekowany komputer. Oznacza to, że twórcy robaka, w niedalekiej przyszłości, z pomocą zainfekowanych komputerów, mogą planować przeprowadzenie ataku na dużą skalę.
„Najprawdopodobniej cyberprzestępcy mają zamiar szybko zainfekować ogromną liczbę komputerów” - wyjaśnia Maciej Sobianek, specjalista ds. bezpieczeństwa w Panda Security Polska. „Po przeprowadzeniu wstępnej infekcji, na komputer ofiary bez trudu pobierane będą złośliwe pliki, które docelowo pozwolą uzyskać korzyści finansowe ich twórcom. Mowa tu przykładowo o trojanach zaprojektowanych w celu kradzieży haseł bankowych, ewentualnie o fałszywych programach antywirusowych, które stale wyświetlają okna z komunikatami o zainfekowaniu” – dodaje Sobianek. Produkty Panda Security zapewniają proaktywną ochronę przed opisywaną rodziną robaków, dzięki czemu użytkownicy są stale bezpieczni.
Powrót do przeszłości
Robak ten przypomina zagrożenia sprzed kilku lat odpowiedzialne za epidemie „Melissa” i „I love you”. Podobnie jak one, także Conficker stara się zainfekować możliwie dużą ilość komputerów. Różnica polega na tym, że tamte robaki rozprzestrzeniały się za pośrednictwem dyskietek, podczas gdy Conficker korzysta w tym celu z urządzeń USB.
Jak się bronić?
PandaLabs zaleca następujące kroki, aby sprawdzić, czy komputer został zainfekowany przez jeden z wariantów Confickera:
• administratorzy zasobów IT w firmach powinni sprawdzić komputery pod kątem ewentualnych luk w zabezpieczeniach
• należy skorzystać z poprawki dla serwerów i stacji roboczych udostępnionej w ramach odpowiedniego biuletynu Microsoft, znajdującego się pod adresem: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
• należy usunąć zagrożenie z zainfekowanych komputerów korzystając z narzędzi: Malware Radar (www.malwareradar.com) w przypadku komputerów korporacyjnych lub ActiveScan (http://www.pandasecurity.com/activescan/index/) w przypadku komputerów osobistych
• należy wyłączyć opcję automatycznego uruchamiania urządzeń USB
• należy sprawdzić, czy wszystkie posiadane programy antywirusowe i systemy zabezpieczeń zostały zaktualizowane z wykorzystaniem najnowszej dostępnej wersji produktu oraz pliku sygnatur.