Részletes elemzés a Conficker C-ről

Titkosítás, biztonság, privát szféra

A szakértők szerint a Conficker minden idők egyik legrosszabb (értsd: legtöbb problémát okozó) számítógépes férge, gyakorlatilag csak a Slammer névre hallgató SQL worm-ot helyezik elé a listán. Az MS08-067 biztonsági közlönyben leírt sebezhetőséget kihasználó, a Windows operációs rendszerek széles skáláját érintő Conficker a legóvatosabb becslések szerint 9-10, a bátrabbak szerint 15 millió Windows PC-t fertőzött meg a 2008 októberi felbukkanása óta. A fertőzést megfigyelő és elemző szakértők szerint a worm idén március eleje körül frissítésen esett át amelynek következtében sokkal intelligensebbé, ügyesebbé vált.

A National Science Foundation és a U.S. Army Research Office támogatásával most egy elemzés készült a Conficker C-ről. Az elemzést a Computer Science Laboratory készítette.

A C variáns a Conficker malware család harmadik generációja, amely 2008 november 20-án bukkant fel először az Interneten. A kutatók szerint a C variáns akkora átdolgozáson esett át, hogy a B variáns kódjából talán ha 15%-ot tartottak meg a készítői.

Az elemzés részletesen kitér arra, hogy Conficker készítői milyen technikákat vetnek be annak érdekében, hogy szüleményük túléljen (Windows komponensek, antivírus termékek és weboldalak letiltása, az általa kihasznált sebezhetőség patchelése a saját érdekében, rejtőzködés, stb.) és terjedjen (domain regisztrálások, peer-to-peer logika, brute force password támadás, stb.).

Az érdekes elemzés - amelyből kiderül, hogy a cuccot nem pancserek készítették - forráskódokkal, folyamatábrákkal, stb. elolvasható itt.

( trey | 2009. 03. 21., szo – 17:48 )

Április 1 várhatóan vicces nap lesz.

"The third Conficker malware variant in infected machines is set to activate April 1, says the director of threat research at CA where the malware sample first discovered last week by Symantec is being examined."

--
trey @ gépház

Jó-jó, de manapság egy diskmag min. 650MB/74min CD-korongon kéne, hogy terjedjen... még akkor is, ha 1,474,560 byte alatt van. :)
- hol kap már az ember olcsó, 3.5" DS-HD-és floppy-kat, pláne 5 1/4"-os SS-SD-és darabokat... :D :)

+jöhet mellé egy live rendszer és egyéb nyalánkságok.

Támogatom +1 :D

Szerk.: Amúgy én is föl tudok ajánlani egy rakás 5 1/4 meg 3.5-es lemezt. :D

OFF:
Ha már bizonyos termékeken feleslegesen csücsülő pénzekről van szó:
Ha veszel egy 300 forintos bort, akkor eszedbe jut, hogy a parafadugó 40 forint? Hogy az üveg 25 forint? Plusz cimke elől, néha hátán is, esetleg nyakcimke és zsugorfólia a dugón?
--
unix -- több, mint kód. filozófia.
Life is feudal

C= plus/4re, de nem flamelni, elmúltak már azok az idők ;-)

Vagy indíthatnánk egy topicot a régi szép idők emlékére, melyik a jobb, 64 vagy a plus4?

Itt van mellettem a polcon, szigorúan eltéve, működőképes állapotban, legyen mivel riogatni az unokákat :-))

--
http://csuhai.hu

( dejo v | 2009. 03. 21., szo – 19:18 )

A legtöbb nagy vírusirtó cég ilyenkor készít egyedi vírusirtót a konkrét problémára, amit letölthetővé tesz az oldalán. Nos a cikk csattanója lehetett volna néhány ilyen link.
Én gyűjtöttem néhányat:
http://download.eset.com/special/EConfickerRemover.exe http://www.eset.hu/segitseg/sysinspector
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeu… http://www.symantec.com/business/security_response/writeup.jsp?docid=20…

--
не закурить! (Ne gyújts rá!) не куриться! (Ne dohányozz! Ne füstölögj!)

( ricsip v | 2009. 03. 21., szo – 23:25 )

A nimda anno nem okozott nagyobb felfordulást?

Honnan tudhatnánk ezt, hiszen a Conficker eddig azon kívül, hogy terjesztette és frissítette önmagát még "semmit" sem csinált. Most azt találgatják, hogy mi lesz (lesz-e valami) április 1-én, amikorra - állítólag - időzítve van az "aktiválása".

Mivel 12 millió PC-n csak gyakorlatilag parancsra vár a Conficker, nehéz megjósolni, hogy mi lesz ha egyszer a készítők elhatározzák, hogy most csinálnak valamit. Egyesek egy illegális hálózat létrejöttéről, mások a "Dark Google" megszületéséről beszélnek. Az utóbbi olyan lenne mint a Google, csak azzal a különbséggel, hogy a fertőzött gépek dokumentumai, fájljai közt tudnál keresni :)

Persze ezek egyelőre csak találgatások.

--
trey @ gépház

Valaki még hónapokkal ezelőtt írta, hogy bizonyosan Linux vallásúak sátáni szervezete, és a gépek egyszercsak meg fognak semmisülni. Hogy az emberek megtanulják, hogy tessék áttérni linux-ra. mi több, elképzelhetőnek tartotta, hogy a következő verzió már magasabb színvonalú mesterséges intelligenciával műküdik, és valójában ezeken a gépeken soha nem is okoz majd kárt, csak egyszerűen "betör" a rendszerbe, és tanul. ha egy biztonsági rendszert valahogyan kijátszott, akkor azt elküldi az "agy"-nak, és ha legközelebb egy másik gépem találkozik ugyanazzal, vagy nagyon hasonlóval, akkor ne okozzon már fejtörést. és a végső cél pedig egyértelmű: milyet elég intelligens lesz (ja egyébként természetesen "futás közben képes módosítani a saját kódját"), akkor egyszerre megtámadja mondjuk az FBI, a CIA, a Nasa, a Pentagon szerverét, és lőn világosság. :D

Keresem, keresem, de nem találom... ha meglesz, adom a linket.

:: by BRI.
:: config :: Acer TravelMate // Ubuntu Intrepid
:: tothab [a] gmail [pötty] kom
:: black rose immortal's weblog

( balintdavid | 2009. 03. 22., v – 22:20 )

Lassan több gép futtat Confickert mint valamilyen Linux disztibúciót :D

( bitvadasz | 2009. 04. 02., cs – 18:35 )

XP-re is betámadott:

2009. 04. 02. 12:44:59 - A IMON - internetes vedelem program a kovetkezo virusriasztast kuldte:
gépneve: http://192,168,100,57:4088/bvvctm fertozes: Win32/Conficker.AA fereg.

2009. 04. 02. 12:44:59 - A AMON - fajlrendszer vedelem program a kovetkezo virusriasztast kuldte:
gépneve: C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\ISBCSZ04\bvvctm[1].png fertozes: Win32/Conficker.AA fereg.

Feljemény:

pendrive-on hozták, amin elindult a kis 60 kB-os(!!!) AUTORUN.INF
az egyik zseni laptopján, aki este újra telepítette a windowst vírusirtó nélkül. (sajna gyárilag rá volt ragasztva a gépre a COA matrica!)