Bezpečnosť > Virusy
Panika menom Conficker
Zachytil som momentálne v médiach mierne panikársku informáciu o Confickeri. Takže uvediem niečo o ňom. Win32/Conficker je červ, ktorý zamedzí prístup k security stránkam, deaktivuje system security services.
Spôsoby infekcie
Pri stiahnutí infektora sa uloží do adresára %System%, a svoje kopie uloží do nasledovných adresárov (respektíve do niektorých z nich:
%Program Files%\Windows NT %Program Files%\Windows Media Player %Program Files%\Internet Explorer %Program Files%\Movie Maker
%document and settings%\user\windows
Win32/Conficker pre niektoré súbory upraví práva a urobí nasledovné veci:
Nastaví práva Read Only, Hidden a Systémovým súborom
Vygeneruje inú časovú pečiatku vytvorenia/prístupu ku "kernel32.dll"
vytvorý access control entries
uzamkne pristupy k svojim súborom
Svoj štart zabezpečí cez register Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\< náhodný string > = "rundll32.exe <worm exe>, <náhodný string>"
Conficker si zaregistruje nasledovné služby:
App Audio DM ER Event help Ias Ir Lanman Net Ntms Ras Remote Sec SR Tapi Trk W32 win Wmdm Wmi wsc wuau xml
access agent auto logon man mgmt mon prov serv Server Service Srv srv svc Svc System Time
Červ si zaregistruje nasledovne záznamy registrov:
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\DisplayName = "Component Task" HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Type = 00000020 HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Start = 00000002 HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ErrorControl = 00000000 HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ImagePath = "%Root%\system32\svchost.exe -k netsvcs" HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ObjectName = "LocalSystem" HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Description = "<náhodne si vygeneruje meno na spustanie>" HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Parameters\ServiceDll = "%System%\<worm exe>"
Win32/Conficker infikuje (pokúsi sa infikovať) "svchost.exe -k NetworkService".
Win32/Conficker vymaže a deaktivuje Windows Security Center notifikácie:
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
Zablokuje spustenie Windows v Safe Mode:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
Deaktivuje "Windows Defender" pri štarte:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows Defender
Vymaže body obnovy.
Deaktivuje nasledovné služby:
wscsvc - Security Center WinDefend - Windows Defender (available in Vista) wuauserv - Automatic Updates BITS - Background Intelligent Transfer Service ERSvc - Error Reporting Service WerSvc - Windows Error Reporting Service (available in Vista)
Obr. Infikované služby
Deaktivuje a odmaže nasledovné služby:
autoruns avenger confick downad filemon gmer hotfix kb890 kb958 kido klwk mbsa. mrt. mrtstub ms08-06 procexp procmon regmon scct_ sysclean tcpview unlocker wireshark
Win32/Conficker hookne APIs a zablokuje nasledovné bezpečnostné stránky a nasledovné služby:
Query_Main DnsQuery_W DnsQuery_UTF8 DnsQuery_A sendto
Zablokuje nasledovné stringy v URL: avg. avp. bit9. ca. cert. gmer. kav. llnw. llnwd. msdn. msft. nai. sans. vet. agnitum ahnlab anti- antivir arcabit avast avgate avira bothunter castlecops ccollomb centralcommand clamav comodo computerassociates conficker cpsecure cyber-ta db networkassociates defender drweb dslreports emsisoft esafe eset etrust ewido f-prot f-secure fortinet free-av freeav gdata grisoft hackerwatch hacksoft hauri ikarus jotti k7computing kaspersky malware mcafee microsoft mirage mitre msftncsi msmvps mtc.sri nod32 norman norton onecare panda pctools prevx ptsecurity quickheal removal rising rootkit safety.live securecomputing secureworks sophos spamhaus spyware sunbelt symantec technet threat threatexpert trendmicro trojan virscan virus wilderssecurity windowsupdate
1. Apríla 2009, worm spraví pokus o prístup na domény s dolu uvedenými a stiahnutie a rozposlanie iného malware:
vn vc us tw to tn tl tj tc su sk sh sg sc ru ro ps pl pk pe no nl nf my mw mu ms mn me md ly lv lu li lc la kz kn is ir in im ie hu ht hn hk gy gs gr gd fr fm es ec dm dk dj cz cx com.ve com.uy com.ua com.tw com.tt com.tr com.sv com.py com.pt com.pr com.pe com.pa com.ni com.ng com.mx com.mt com.lc com.ki com.jm com.hn com.gt com.gl com.gh com.fj com.do com.co com.bs com.br com.bo com.ar com.ai com.ag co.za co.vi co.uk co.ug co.nz co.kr co.ke co.il co.id co.cr cn cl ch cd ca bz bo be at as am ag ae ac
worm pristupuje k týmto stránkam čím si overí dostupnosť internetu:
ask.com baidu.com facebook.com google.com imageshack.us rapidshare.com w3.org yahoo.com
Win32/Conficker si zabezpečí prístup k stránkam ktoré im umožňujú overiť si dátum a čas:
2ch.net 4shared.com 56.com adobe.com adsrevenue.net adultadworld.com adultfriendfinder.com aim.com alice.it allegro.pl ameba.jp ameblo.jp answers.com apple.com ask.com aweber.com awempire.com badongo.com badoo.com baidu.com bbc.co.uk bebo.com biglobe.ne.jp bigpoint.com blogfa.com clicksor.com co.cc comcast.net conduit.com craigslist.org cricinfo.com dell.com depositfiles.com digg.com disney.go.com doubleclick.com download.com ebay.co.uk ebay.com ebay.de ebay.it espn.go.com facebook.com fastclick.com fc2.com files.wordpress.com flickr.com fotolog.net foxnews.com friendster.com geocities.com go.com goo.ne.jp google.com googlesyndication.com gougou.com hi5.com hyves.nl icq.com imageshack.us imagevenue.com imdb.com imeem.com kaixin001.com kooora.com linkbucks.com linkedin.com live.com livedoor.com livejasmin.com livejournal.com mail.ru mapquest.com mediafire.com megaclick.com megaporn.com megaupload.com metacafe.com metroflog.com miniclip.com mininova.org mixi.jp msn.com multiply.com myspace.com mywebsearch.com narod.ru naver.com nba.com netflix.com netlog.com nicovideo.jp ning.com odnoklassniki.ru orange.fr partypoker.com paypopup.com pconline.com.cn pcpop.com perfspot.com photobucket.com pogo.com pornhub.com rambler.ru rapidshare.com rediff.com reference.com sakura.ne.jp seesaa.net seznam.cz skyrock.com sonico.com soso.com sourceforge.net studiverzeichnis.com tagged.com taringa.net terra.com.br thepiratebay.org tianya.cn tinypic.com torrentz.com tribalfusion.com tube8.com tudou.com tuenti.com typepad.com ucoz.ru veoh.com verizon.net vkontakte.ru vnexpress.net wikimedia.org wikipedia.org wordpress.com xhamster.com xiaonei.com xnxx.com xvideos.com yahoo.co.jp yahoo.com yandex.ru youporn.com youtube.com zedo.com ziddu.com zshare.net
Ochrana voči Confickeru je vcelku jednoduchá. Stačí mať aktualizovaný a legálny operačný systém, aktualizovaný antivírusový program, zdravý rozum a rozumné správanie sa na internete.
|