Форум информационной и технической поддержки пользователей ПК

* Консультации * Обучение * Вопросы - ответы * Что нужно знать пользователю компьютера
Текущее время: 21 дек 2024, 18:37

Часовой пояс: UTC + 3 часа [ Летнее время ]




Начать новую тему Ответить на тему  [ Сообщений: 8 ] 

Автор Сообщение
 Заголовок сообщения: червь Conficker (Downadup и Kido)
Новое сообщениеДобавлено: 02 фев 2009, 19:53 
Еще неделю назад червь Conficker (также известен как Downadup и Kido) заразил 2,4 млн компьютеров, а в пятницу их было уже 9 млн, сообщил производитель антивирусных программ F-Secure. По его оценке, 41% пострадавших ПК находится в Китае (15,1%), России (13,9%) и Бразилии (11,9%). Другой производитель защитного ПО — Symantec считает, что на Россию приходится около 5% случаев заражения этим вирусом (7-е место в мире), а всего их на 20 января было 4 млн.

Впервые этот червь был замечен еще осенью 2008 г.: он внедрялся в компьютеры, используя уязвимость в операционной системе Windows. Conficker использует стандартную для подобных программ схему — попав на ПК, он блокирует доступ к обновлениям всех антивирусов, говорит директор департамента аудита «Информзащиты» Максим Эмм. В результате компьютером можно управлять извне: он может стать одной из сотен тысяч машин, участвующих в DDoS-атаках, *** спама, на него можно установить шпионские программы, ворующие пароли к банковским счетам, и т. п., предупреждает он.

9 млн машин, зараженных Conficker, — крайне сдержанная оценка, считает руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского» Александр Гостев. Столько машин, по его мнению, инфицировано лишь одной из модификаций этого вируса, наиболее распространенной, а всего их сотни. Но наибольший урон Conficker причинил владельцам компьютеров в России, Индии, Бразилии и Китае — странах, где распространено нелицензионное ПО (прежде всего Windows), согласен Гостев с F-Secure. Жертвы — прежде всего компьютеры с нелицензионными копиями Windows, у которых нет доступа к обновлениям Microsoft, подтверждает Эмм.

Главные проблемы впереди, предупреждает Гостев: ведь пока сеть зараженных машин бездействует — она просто растет. Предсказать, что случится, когда авторы червя начнут им управлять, он не берется.


Вернуться наверх
  
 
 Заголовок сообщения: Новый червь Downadup
Новое сообщениеДобавлено: 02 фев 2009, 19:53 
В этот раз вирус как-то нереально хитро и со знанием дела прячется от антивирусов - антивирусные компании в спешке выпускают патчи и апдейты к своим продуктам, чтобы с ним бороться, но как-то пока это не очень хорошо у них получается.

Этот червь использует хитрый алгоритм для генерации каждый день нового имени домена, с которого будут управлять зараженной машиной. Обычно вирусы имеют один домен - его можно закрыть и вирус безопасен. Но этот червь меняет адреса серверов постоянно и закрыть их все невозможно.
Но можно вычислить часть завтрашних адресов и зарегистрировать их на себя, отсечь преступников от части компьютеров. Теоретически можно было бы сделать что-то с такими компьютерами, например, написать им, что они заражены или даже вылечить их. Но этого делать нельзя по закону! Во многих странах есть закон, запрещающий делать что-то с компьютером человека без его согласия.
Поэтому остается только сидеть и отслеживать число таких зараженных "клиентов".

На самом деле оказалось, что этот вирус имеет защиту от такого рода вмешательства. Он кодирует скачиваемые с сервера приложения ключами длиной 4096, так что нет никакой возможности "подсунуть" ему лекарство или еще что-то. Только авторы могут им управлять.

В этой статье есть информация о том, как червь мгновенно распространяется по сети и как он прячется от антивирусов и от удаления.

Самый простой способ узнать, заражен ли ваш компьютер - это попробовать зайти на сайты http://www.f-secure.com или http://www.kaspersky.ru/ и на сайт microsoft. Если эти сайты у вас не открываются - вы заражены.

Главная дыра, позволяющая этому червю так быстро распространяться - это дыра в Server service от Microsoft. При этом Server service на многих компьютерах запущен по умолчанию. И, если у вас или вашего провайдера нет правильно настроенного файрвола - вирус проникает на компьютер сам без вашего участия. Он просто закачивает себя через эту дыру и запускает!
Это был ожидаемый тип вируса, когда Microsoft недавно опубликовала инфу про эту дыру, но никто не ожидал такого серьезного заражения. Да, Microsoft уже сделали и опубликовали Security Update, но не все их еще установили, а у многих Windows Update вообще отключен - это очень глупо!
Установите все апдейты с Windows Update (или хотя бы отсюда) и вы будете в безопасности от заражения этим вирусом через интернет. Но в то же время вы все еще можете заразиться через флешки или через локальную сеть.

Про автозапуск с флешек писали уже все - отключите автозапуск. Это огромная дыра, которой пользуются вирусы. С включенным автозапуском "вставили флешку" равно "заразились". Так что просто отключите его. Как это сделать можно, например, прочитать тут.

Червь оказался сильно умный - он еще и полагается на глупость стандартных пользователей, заражая их через сеть, перебирая их пароли, используя список паролей, который можно найти тут.
Проверьте - нет ли там вашего пароля?
Для того, чтобы заразить этим способом, вирус пробует залезть в admin share (это пути, начинающиеся с $c). Опять же, на многих компьютерах эти admin share есть и либо вообще не защищены паролем, либо пароль 111. Так что ничто не мешает вирусу разгадать этот пароль и записать себя на удаленную машину. Запускается от оттуда вроде как через Windows scheduler, создавая там таск на запуск.
Так что, проверьте свой admin share и отключите его, если он включен.

Для тех, кто не совсем понял, что же делает этот червь, поясню немного. Он может сделать всё, что угодно владельцу этого червя. Идея проста - этот червь скачивает файлы с сервера и запускает их без ведома пользователя. Так что можно написать любой вирус или программу и запустить ее на зараженном компьютере. А значит можно назапускать новых вирусов или провести массированные атаки на какие-то сайты. Можно украсть данные с зараженных компьютеров. Можно удалить всё. Можно сделать всё, что угодно. Классический ботнет.
Другое дело, что сейчас этот червь неактивен. Он просто заражает и распространяется, но пока что не было попыток скачать что-то с управляющих серверов.

В общем, вирусы очевидно прогрессируют и остался только один шаг до попыток прямого противодействия антивирусам, когда вирусы будут блокировать антивирусы, а не наоборот. Уже сейчас вирусы активно и успешно борются с анализом сэмплов, например, отслеживая WMVare и не запускаясь под ним (тем самым сильно усложняя работу аналитиков). А то и проводят массированные атаки из ботнетов на компьютеры аналитиков.

P.S.:
Если вы обнаружили, что заражены, то тут можно скачать removal tool от F-Secure.
При этом, так как этот вирус блокирует сайты антивирусных компаний, то вы не сможете зайти и скачать этот removal tool. Но вроде как вирус блокирует только DNS запросы, то есть, прямая ссылка сработает. Так что попробуйте скачать по этой ссылке: ftp://193.110.109.52/anti-virus/tools/b ... wnadup.zip

UPD:
А по этой ссылкеесть советы от F-Secure как вылечиться от этого вируса и как избежать заражения.
Переведу самое важное оттуда:

Что делать, чтобы избежать заражения:

- Убедитесь, что последние апдейты Microsoft у вас установлены
- Убедитесь, что у вас запущена последняя версия антивируса и он обновлен
- Выключите AUTORUN и AUTOPLAY для USB устройств
- Проверте свои пароли для входа в систему - они должны быть хорошими, а не 1111
- Особенное внимание обратите на пароли администраторов

Что делать, если вы уже заразились:

- Зайдите на сайт своего антивируса и найдите там инструкции по борьбе с вирусом
- Удаление этого вируса - сложный процесс, который может потребовать отключения части вашей сети.
- Запретите использование USB stick и заблокируйте весь ненужный трафик в файрволах.


Вернуться наверх
  
 
 Заголовок сообщения: Re: Новый червь Downadup
Новое сообщениеДобавлено: 16 фев 2009, 10:36 
Не в сети
Продвинутый Эксперт
Аватар пользователя

Зарегистрирован: 01 апр 2008, 10:24
Сообщений: 208
Откуда: Ижевск
Ссылки типа "здесь" и "тут" неживые.

_________________
"У всякой проблемы есть решение - простое, удобное и ошибочное." Генри Луис Менкен


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Новый червь Downadup
Новое сообщениеДобавлено: 02 апр 2009, 11:09 
Не в сети
Опытный Пользователь
Аватар пользователя

Зарегистрирован: 28 авг 2008, 11:12
Сообщений: 49
Цитата:
Как сообщают эксперты, первая атака компьютерного вируса Conficker может произойти уже 1 апреля. Известно, что вредоносной программой заражены от 3 до 6 млн машин.

Вирус стремительно передается по сети новым компьютерам. Червь обнаружен, в частности, в электронных системах ВМС Великобритании и сотнях американских компаний. Пострадавшие компьютеры есть и в России. Специалисты считают эту атаку хакеров крупнейшей за всю историю. "Зараженные компьютеры могут получить команду запустить какие-то программы, или отослать секретную информацию, в том числе, коды кредитных карточек. Никто не может предугадать, что придет в голову киберпреступникам", - заявил эксперт по компьютерной безопасности Грант Гейер.

Как отмечает газета "Взгляд", вероятность вирусной атаки так велика, что о ней предупреждают сразу три антивирусных разработчика - "Лаборатория Касперского", "Доктор Веб" и ESET. "Вредоносная программа Kido, известная также как Conficker и Downadup, представляет на данный момент серьезную угрозу для всего интернет-сообщества. Миллионы компьютеров, зараженных Kido, могут стать самым мощным ресурсом кибепреступников в Интернете", - сообщила "Лаборатория Касперского".

"В созданной авторами Kido гигантской зомби-сети (бот-нете) заложена возможность обновления вредоносного кода, что потенциально может быть использовано для совершения крайне мощных DDoS-атак на любые интернет-ресурсы, кражу конфиденциальных данных с зараженных компьютеров и распространение нежелательного контента (в частности, проведение крупномасштабных спам-рассылок)", - поясняет компания.

"Эксперты предполагают, что 1 апреля станет датой начала широкомасштабных атак на ПК пользователей: это могут быть DDoS-атаки, *** спама, действия, направленные на заражение новых компьютеров и увеличение бот-нета", - согласен ESET. Первые версии червя были обнаружены различными антивирусными разработчиками в конце 2008 года - начале 2009 года.

Как сообщает "Доктор Веб", первое и второе поколения Conficker представляли собой сетевых червей, использовавших уязвимость операционных систем Microsoft Windows. Целью атаки являлось создание широкомасштабной сети зараженных компьютеров (зомби- или бот-сети). Черви, кроме использования уязвимости, предпринимали попытку взломать простые сетевые и локальные пароли и заражали внешние USB-устройства, чтобы достичь максимально быстрого и широкого распространения инфекции.

Также черви этих поколений способны ежедневно генерировать до 300 интернет-адресов (URL), по которым могут находиться инструкции и файлы для зомби-машин. Зараженный компьютер проверяет заданные адреса, откуда сохраняет указанные файлы и впоследствии запускает их на исполнение. В марте было обнаружено третье поколение этого вируса - теперь он способен получать обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тыс. интернет-адресов, предупреждает "Лаборатория Касперского".

_________________
"Если на клетке слона увидишь надпись "буйвол", не верь глазам своим" Козьма Прутков


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Новый червь Downadup
Новое сообщениеДобавлено: 11 апр 2009, 20:16 
Не в сети
Adm

Зарегистрирован: 01 апр 2008, 12:52
Сообщений: 76
Откуда: Ижевск
В 08/04/2009 червь Conficker (Kido) наконец-то подал признаки жизни: он обновился через P2P-сеть заражённых машин, а также установил на них некое новое ПО, функционал которого пока не ясен, сообщает антивирусная компания Trend Micro.

Специалисты сейчас анализируют исходный код новой программы и пытаются определить, что она делает. Есть подозрение, что это кейлоггер, который записывает все нажатия клавиш.

Новая программа представляет собой компонент .sys, и она надёжно зашифрована, что затрудняет анализ исходного кода.

Червь пытается установить соединение с сайтами MySpace.com, MSN.com, eBay.com, CNN.com и AOL.com для проверки наличия интернет-соединения. Он должен удалить все следы своего существования и полностью прекратить саморепликацию 3 мая 2009 года. Однако, сеть заражённых ПК останется открытой для управления и после этой даты.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Новый червь Downadup
Новое сообщениеДобавлено: 28 апр 2009, 14:17 
Не в сети
Опытный Пользователь
Аватар пользователя

Зарегистрирован: 28 авг 2008, 11:12
Сообщений: 49
Из отчетов компании Cisco Systems следует, что 12 млн персональных компьютеров, зараженных Conficker' ом, начали использовать для отправки спама. По словам специалистов компании, каждый зараженный компьютер рассылает 10-20 тыс. рекламных сообщений в день. Раньше зараженные компьютеры начали предлагать своим пользователям приобрести фальшивый антивирус.

_________________
"Если на клетке слона увидишь надпись "буйвол", не верь глазам своим" Козьма Прутков


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Новый червь Downadup
Новое сообщениеДобавлено: 14 май 2009, 11:10 
Не в сети
Опытный Пользователь
Аватар пользователя

Зарегистрирован: 28 авг 2008, 11:12
Сообщений: 49
Downadup начал скачивать на зараженные компьютеры поддельные антивирусы. Заметка о них тут

_________________
"Если на клетке слона увидишь надпись "буйвол", не верь глазам своим" Козьма Прутков


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Новый червь Downadup
Новое сообщениеДобавлено: 22 май 2009, 11:46 
Не в сети
Опытный Пользователь
Аватар пользователя

Зарегистрирован: 28 авг 2008, 11:12
Сообщений: 49
Цитата:
Специалисты компании Symantec заявляют о том, что вредоносная программа Conficker продолжает распространяться с высокой скоростью.

Согласно данным Symantec, в настоящее время червь Conficker ежедневно инфицирует до 50 тысяч компьютеров. Наиболее высокая плотность заражения наблюдается в Соединенных Штатах, Бразилии и Индии. Инфицированные узлы Conficker объединяет в ботнет для *** спама и шпионских модулей. Эксперты полагают, что созданная при помощи червя сеть зомби-компьютеров является одной из самых продуманных и, возможно, самых крупных.

Как показал мониторинг сетевой активности, жертвами Conficker стали многие компании. Эксперты Symantec утверждают, что зараженные Conficker машины есть даже внутри корпорации Microsoft.

_________________
"Если на клетке слона увидишь надпись "буйвол", не верь глазам своим" Козьма Прутков


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 8 ] 

Часовой пояс: UTC + 3 часа [ Летнее время ]


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
POWERED_BY
Русская поддержка phpBB