Conficker worm - how to detect, remove, prevent!
Spisu treści:
"Te faceci nie mają planów, jak sądzę, na likwidacji infrastruktury, ponieważ oddzieliłoby to ich od ich ofiar ", powiedział Paul Ferguson, badacz zagrożeń w firmie Trend Micro, producent technologii antywirusowej, nazywając technologię i projekt Conficker.c jako" prawie Najnowocześniejszy stan. "
" Chcą, aby infrastruktura była na miejscu, aby dla dobrych facetów było trudniej kontratakować i łagodzić to, co zorkiestrowali. "
[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]The Worm Stirs
Conficker.c został zaprogramowany, aby ustanowić połączenie z zainfekowanych komputerów hosta z serwerami kontrolnymi o północy czasu GMT 1 kwietnia. Aby dotrzeć do tych serwerów kontrolnych, Conficker.c generuje listę 50 000 nazw domen, a następnie wybiera 500 domen nazwiska do kontaktu. Proces ten rozpoczął się, jak stwierdzili naukowcy.
Dokładnie, ile komputerów jest zainfekowanych przez Conficker.c, nie jest jeszcze znana, ale szacowana liczba systemów zainfekowanych przez wszystkie warianty robaka Conficker przekracza 10 milionów, co czyni ten z największych botnety kiedykolwiek były widziane.
Podczas gdy zainfekowane komputery zaczęły docierać do serwerów poleceń zgodnie z oczekiwaniami, nic się nie stało.
"Zauważyliśmy, że Conficker dociera, ale do tej pory żaden z serwerów, do których próbują dotrzeć serwują nowe złośliwe oprogramowanie lub nowe polecenia "- powiedział Toralv Dirro, strateg ds. bezpieczeństwa w McAfee Avert Labs w Niemczech.
Może to oznaczać, że ludzie kontrolujący Confickera czekają na naukowców i kierowników działów IT rozluźnij ich czujność i załóż, że najgorsze minęło.
"Byłoby głupotą dla facetów używających Confickera do skorzystania z pierwszej możliwej okazji, kiedy wszyscy są bardzo podekscytowani i patrzą na nią bardzo uważnie," powiedział Dirro. "Jeśli coś miało się stać, to prawdopodobnie za kilka dni."
Detekcje, wzrost Innoculations
Czas nie jest po stronie Confickera. Robak może być łatwo wykryty i usunięty przez użytkowników. Na przykład, jeśli komputer nie może uzyskać dostępu do witryn sieci Web, takich jak McAfee.com, Microsoft.com lub Trendmicro.com, co wskazuje, że komputer może być zainfekowany.
Ponadto menedżerowie IT mogą łatwo wykryć ruch przychodzący od nazw domen nieparzystych i blokować dostęp do komputerów w sieciach firmowych. "Im dłużej przestępcy czekają, tym mniej zarażeni są gospodarzami," powiedział Dirro.
Dodatkowa pomoc pochodzi z luźnej koalicji dostawców zabezpieczeń i innych osób zwanych Conficker Working Group, która połączyła się, aby zablokować dostęp do domen, które Conficker próbuje się komunikować. Ale nie jest od razu jasne, czy te starania, które odniosły sukces w blokowaniu wcześniejszych wersji robaka, będą skuteczne przeciwko aktywacji Conficker.c.
"Nie możemy naprawdę powiedzieć, jak skuteczne były próby ich zablokowania lub nie są ich routingiem - powiedział Dirro. "To jest coś, co zobaczymy, kiedy pierwsza domena zacznie obsługiwać złośliwe oprogramowanie, jeśli przynajmniej zacznie to robić."
Mimo niezakłóconego upływu terminu aktywacji, zagrożenie prezentowane przez Conficker pozostaje prawdziwe.
"Te faceci są bardzo wyrafinowani, bardzo profesjonalni, bardzo zdeterminowani i bardzo zdeterminowani w tym, w jaki sposób implementują i wprowadzają zmiany do rzeczy ", powiedział Ferguson, dodając, że Conficker.c jest lepiej broniony i bardziej wytrzymały niż poprzednie wersje robaka. "Ta aktywacja w dniu 1 kwietnia była prawdopodobnie arbitralna i wybrana, by wywołać histerię."
W pewnym momencie ludzie stojący za Conficker.c mogli próbować generować dochody z utworzonego przez siebie botnetu lub mogli mieć inne intencje.
"Wielką tajemnicą jest to, że jest tam ten wielki załadowany pistolet, ta sieć milionów maszyn, która jest pod kontrolą osób nieznanych," powiedział Ferguson. "Nie dali oni żadnego wskazania, jakie są ich motywy, a nie bawią się z ludźmi".
Zdarzenia technologiczne
Definiowanie zbiorów SEC w USA
Microsoft zamyka program zerowy otwór programu PowerPoint
Dzisiejszy wtorek poprawek skupił się wyłącznie na zamknięciu krytycznego, niedozwolonego otworu, a 13 innych w Aplikacja Office.
Identyfikator zdarzenia jądra systemu Windows 41. System został zrestartowany bez uprzedniego całkowitego wyłączenia systemu
Dowiedz się, jak rozwiązać problem z identyfikatorem zdarzenia jądra systemu Windows 41 System został zrestartowany bez czyszczenia systemu. Windows 7 i Windows Server 2008.