ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Исследователи из подразделения IBM X-Force создали специальный алгоритм для продукта IBM Proventia Intrusion Prevention System, который помогает выявлять агентов червя Conficker.C и блокировать их соединения. Алгоритм блокирует распространение вредоносной программы, когда она пытается эксплуатировать уязвимость в службе сервера Windows (MS08-067), и обнаруживает её в случае попытки раскрытия паролей методом перебора. Этот алгоритм дополняет уже имеющуюся у клиентов защиту от разновидностей Conficker.A и Conficker.B.

Conficker – сетевой червь, нацеленный на рабочие станции. Червь создает инфраструктуру ботнетов, которая может быть использована злоумышленниками для распространения спама или для кражи конфиденциальной информации с рабочих станций. Заражение рабочей станции приводит к потере рабочего времени пользователя и возможной последующей компрометации других сетевых объектов.

Червь распространяется посредством одного или нескольких перечисленных ниже механизмов:

* Эксплуатация уязвимости в одной из служб Windows (MS08-067).

* Загрузка своей копии в сеть и на съемные накопители.

* Загрузка своей копии в сетевые ресурсы общего пользования со слабыми паролями

Новейший вариант этого червя использует соединения с использованием шифрования. Специалисты X-Force раскрыли и взломали этот алгоритм шифрования, что позволило обеспечить возможность обнаружения. Этот уникальный защитный механизм выявляет текущие варианты червя Conficker, которые используют описанный выше канал для связи. Соответствующие сигнатуры выглядят следующим образом: Conficker_p2p_Detected (для обнаружения бота Conficker.C) и Conficker_P2P_Protection (для блокировки специфического трафика peer-to-peer). Продукты IBM Proventia IPS способны закрыть уязвимость в службе Windows, которую эксплуатирует данный червь. Предупреждение содержит информацию о нужной сигнатуре, необходимой для выявления описываемой уязвимости.