Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Мировые новости (https://forum.antichat.xyz/forumdisplay.php?f=23)
-   -   PandaLabs сообщает об эпидемии сетевого червя Conficker (https://forum.antichat.xyz/showthread.php?t=101320)

WAR!9G 15.01.2009 15:29
PandaLabs сообщает об эпидемии сетевого червя Conficker
 
Антивирусная лаборатория PandaLabs обнаружила новое семейство червей Conficker, которые распространяются через Интернет и USB-устройства и эксплуатируют уязвимость в Microsoft Windows. Внедряясь на ПК пользователя, червь загружает другие вредоносные коды и позволяет хакерам выполнять на зараженном ПК удаленный код.

Червь Conficker из нового семейства компьютерных червей уже заразил тысячи компьютеров по всему миру. Лаборатория по обнаружению и анализу вредоносных программ PandaLabs выявила три варианта данного червя (Conficker A, B и C). Первые заражения этим кодом были зарегистрированы в конце ноября, но значительный скачок в его распространении произошел после новогодних праздников.

Червь распространяется посредством эксплуатации уязвимости MS08-067 в серверном сервисе Microsoft Windows. Он использует специальные RPC-вызовы к другим машинам. Зараженные компьютеры затем загружают копию червя. RPC – это аббревиатура для обозначения Дистанционного вызова процедур, т.е. протокола, позволяющего внедрение в сетевой компьютер удаленного кода, который, в данном случае, позволяет создателю червя удаленно захватывать контроль над зараженной машиной.

Червь также распространяется посредством USB-устройств, например, флэш-накопителей и MP3-плееров.

К тому же червь постоянно обновляется, загружая свои новые версии на зараженные машины с различных, постоянно изменяющихся IP-адресов, что затрудняет блокирование и еще более увеличивает опасность угрозы. Однако некоторые варианты кода предназначены для загрузки на зараженный компьютер других вредоносных кодов. Это свидетельствует о том, что создатели червей в ближайшем будущем готовятся к запуску широкомасштабной атаки с использованием зараженных машин.

“Вот наиболее вероятный сценарий – кибер-преступники ищут способ быстро заразить большое количество компьютеров. Сразу после заражения можно будет легко загрузить на пораженные машины другие угрозы, предназначенные для получения финансовой прибыли. Например, трояны для кражи паролей к онлайновым банкам или якобы антивредоносные программы, которые генерируют всплывающие окна, постоянно напоминающие пользователю о том, что его компьютер заражен, и практически блокирующие возможность использования компьютера до приобретения «лечения»”, - объясняет Луис Корронс, технический директор PandaLabs.

Данный червь очень похож на варианты, которые много лет назад становились причинами эпидемий – например, "Melissa" и "I love you". Подобно им, Conficker старается заразить максимальное количество компьютеров. Разница заключается в том, что старые варианты распространялись через дискеты, а новые – через USB-устройства.

Для того чтобы проверить, не заражен ли Ваш компьютер червем Conficker, PandaLabs рекомендует для системных администраторов:
- проверить машины на предмет наличия уязвимостей,
- для серверов и рабочих станций необходимо применить патчи в соответствии с бюллетенем Microsoft Bulletin (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx),
- убедиться, что все антивирусные решения и решения безопасности обновлены до последней версии продукта и сигнатурного файла.

Источник: CYBERSECURITY.RU, от 15.01.09

herfleisch 15.01.2009 15:57
Великолепно! Вот это хакеры! Я хлопаю в ладоши! Уважаю создателей таких червей!

k0lbasa 15.01.2009 17:45
ботнет на славу получится у них

PHOEN_i_X 15.01.2009 18:07
через флешки это хорошо ) прям не червь а опарыш )))

vvs777 15.01.2009 18:23
Если честно, червь писали неграмотные (если местные - без обид, ок?)
Мне числа 28 декабря эта гадость влетела через рпц и присосалась к svchost.
svchost стал открывать кучу коннектов, из них большинство висело в состоянии SYN_SENT. Кроме того стал хорошо хавать траффик - это только ламер не заметит.
подключаться стал к https://... какой-то айпишник в Бразилии.

И еще один достаточно тупой признак ламерства аффтара. Аффтары до сих пор не поняли, что ели dll кидаешь в папку system32 то ее ни в коем случае нельзя делать скрытой. Заметьте, в винде нет ни одной скрытой либы =) я так все современные трои палю =)

Называлось это Г vnsglonl.dll
откомпилена на Microsoft Visual C++ 6.0

NeXArmAor 15.01.2009 18:44
Он же Net-Worm.Kido

kezz 16.01.2009 10:28
ещё немного инфы по этому вирусу

Цитата:
Новый интернет-червь заразил 3,5 миллиона компьютеров



Новый интернет-червь Downadup, известный также как Conficker, передал под контроль неизвестных хакеров 3,5 миллиона зараженных компьютеров, говорится на сайте компании F-Secure, занимающейся IT-безопасностью и разработкой антивирусов.

Оценка в 3,5 миллиона компьютеров является, по словам аналитиков F-Secure, консервативной. С 13 по 14 января число зараженных компьютеров выросло более чем на миллион. Для сравнения, именно миллион машин было в знаменитом ботнете Storm во время его расцвета. Россия занимает третье место по числу "зараженных" IP после Китая и Бразилии. За каждым IP может скрываться множество компьютеров.

Для проникновения на компьютер пользователя червю нужно быть загруженным с сайта злоумышленника. Обычно в качестве площадки используется определенный сайт, который борцам с вредоносными программами удается закрыть.

Отличие Downadup в том, что он ежедневно создает множество вариантов новых доменов. На следующий день регистрируется только один из вариантов. F-Secure пытается опередить злоумышленников, регистрируя возможные домены заранее.

Как отмечает в своем блоге русскоязычный сотрудник F-Secure, Downadup использует уязвимость в реализации протокола RPC Microsoft. Проверить, заражен ли компьютер, можно, попытавшись зайти на сайт F-Secure или "Лаборатории Касперского". Червь их блокирует, и на зараженных компьютерах они не открываются. Убрать червя с компьютера можно, скачав специальную программу.
Lenta.ru


Время: 19:29