Conficker, nowa rodzina robaków komputerowych wykorzystujÄ…cych do rozprzestrzeniania siÄ™ lukÄ™ w zabezpieczeniach systemu Microsoft Windows, atakuje komputery na caÅ‚ym Å›wiecie. Co ważne, rozprzestrzenia siÄ™ nie tylko w Internecie, ale także poprzez urzÄ…dzenia USB: pamiÄ™ci masowe czy odtwarzacze MP3. Robaki Conficker pobierajÄ… także inne zÅ‚oÅ›liwe kody na zainfekowany komputer, pozwalajÄ…c na przejÄ™cie nad nim kontroli.
Conficker ABC
Conficker, nowa rodzina robaków komputerowych, zdążyÅ‚a już zainfekować tysiÄ…ce komputerów na caÅ‚ym Å›wiecie. PandaLabs zlokalizowaÅ‚o trzy warianty tego zÅ‚oÅ›liwego kodu: Conficker A, B i C. Pierwsze infekcje wywoÅ‚ane przez tego robaka miaÅ‚y miejsce pod koniec listopada, lecz gwaÅ‚towny wzrost jego aktywnoÅ›ci zaobserwowano dopiero w okresie poÅ›wiÄ…tecznym.
Wchodzi przez lukÄ™ serwera MS
Robak rozprzestrzenia siÄ™, wykorzystujÄ…c w tym celu lukÄ™ w zabezpieczeniach MS08-067 usÅ‚ugi serwera Microsoft Windows. Infekcja rozprzestrzenia siÄ™ z wykorzystaniem zmodyfikowanych wywoÅ‚aÅ„ RPC do innych komputerów. Komputery podatne na atak pobierajÄ… kopiÄ™ robaka.
RPC, to skrót od Remote Procedure Call (zdalne wywoÅ‚anie procedury). To wÅ‚aÅ›nie ten protokóÅ‚ wykorzystuje robak w celu wprowadzenia do komputera znajdujÄ…cego siÄ™ w sieci kodu, pozwalajÄ…cego twórcom Confickera na zdalne przejÄ™cie kontroli nad zainfekowanym komputerem.
Uwaga – robak samoaktualizujacy siÄ™!
Robak ten rozprzestrzenia siÄ™ również za poÅ›rednictwem urzÄ…dzeÅ„ magazynujÄ…cych USB, w tym dysków USB lub odtwarzaczy MP3. Zagrożenie jest tym poważniejsze, że robak ten dokonuje staÅ‚ych aktualizacji, pobierajÄ…c na zainfekowane komputery nowe wersje, korzystajÄ…c w tym celu z różnych adresów IP, co utrudnia jego zablokowanie. JednoczeÅ›nie powstajÄ… kolejne warianty robaka, umożliwiajÄ…ce pobieranie innych zÅ‚oÅ›liwych programów na zainfekowany komputer. Najprawdopodobniej oznacza to, że twórcy robaka planujÄ… w niedalekiej przyszÅ‚oÅ›ci przeprowadzenie z pomocÄ… zainfekowanych komputerów ataku na dużą skalÄ™.
Powrót do przeszÅ‚oÅ›ci
Robak ten niezwykle przypomina zagrożenia sprzed kilku lat odpowiedzialne za epidemie „Melissa” i „I love you”. Podobnie jak one także Conficker stara siÄ™ zainfekować możliwie dużą ilość komputerów. Różnica polega na tym, że tamte robaki rozprzestrzeniaÅ‚y siÄ™ za poÅ›rednictwem dyskietek, podczas gdy Conficker korzysta w tym celu z urzÄ…dzeÅ„ USB.
Jak się bronić
PandaLabs zaleca nastÄ™pujÄ…ce kroki, aby sprawdzić, czy komputer zostaÅ‚ zainfekowany przez jeden z wariantów Confickera:
- administratorzy zasobów IT powinni sprawdzić komputery pod kÄ…tem ewentualnych luk w zabezpieczeniach
- należy skorzystać z poprawki dla serwerów i stacji roboczych, udostÄ™pnionej w ramach odpowiedniego biuletynu Microsoft, znajdujÄ…cego siÄ™ pod adresem http://www.microsoft.com/technet/security/Bulletin/MS08-067; www.malwareradar.com w przypadku komputerów korporacyjnych lub ActiveScan - www.pandasecurity.com/activescan/index/ - w przypadku komputerów osobistych
- należy wyłączyć opcję automatycznego uruchamiania urządzeń USB
- należy sprawdzić, czy wszystkie posiadane programy antywirusowe i systemy zabezpieczeń zostały zaktualizowane z wykorzystaniem najnowszej dostępnej wersji produktu oraz pliku sygnatur.
Więcej informacji znaleźć można na blogu Panda Research