Conficker: mi lesz holnap?

Titkosítás, biztonság, privát szféra

A Win32/Conficker.C-t (a Microsoft szerint Conficker.D-t) megfigyelő szakértők már korábban is azt valószínűsítették, hogy a worm április 1-én aktivizálja magát a fertőzött hostokon és újabb algoritmust élesít. Ettől a hírtől úgy tűnik, hogy egyes vállalatok és szolgáltatók pánikba estek. Az Index szerint a Magyar Posta annyira óvatos üzemmódba kapcsolt, hogy különleges intézkedéseket vezet be. Hogy igaz-e vagy sem, azt egyelőre nem lehet tudni, de mindenesetre a pánik kezd terjedni.

A nap folyamán (az Index hírére hivatkozva) több cégtől is kerestek a várható eseményekkel kapcsolatban. Több helyen több félét lehet olvasni a Conficker.D-vel kapcsolatban. Mielőtt azonban valakin eluralkodna a pánik, érdemes első kézből származó információforrásból (Microsoft) tájékozódni.

A Microsoft Security Response Center munkatársai itt írnak a témában arról, hogy mi várható. A Conficker.D-ről részletesen ír a Microsoft Malware Protection Center is.

Szóval mi várható holnap? A Microsoft szerint:

"A Conficer.D-vel fertőzött gépek relatíve alacsony száma alapján úgy hisszük, hogy kétséges, hogy valami szokatlant tapasztalunk április 1-én. [...] Hogy továbbra is védettek maradjanak, kérjük győződjenek meg arról, hogy a rendszereik foltozva vannak az MS08-067-tel, tartsák frissen a biztonsági szoftver [vírus- és malware definíciós] adatbázisaikat és tisztítsák meg az összes olyan rendszerüket, amelyen észlelték, hogy az a Conficker bármely variánsával megfertőződött."

A részletek itt olvashatók. További részletek a Conficker.D-ről itt.

( BaT | 2009. 03. 31., k – 18:53 )

Szerintem meg összeáll a botnet és feltöri a HUP-ot. :)

( uid_14867 | 2009. 03. 31., k – 18:59 )

hogy mi lesz holnap?
nem lepődnék meg, ha a féreg frissítené a verzióját és egy új foltozatlan MS sebezhetőséget használna ki a terjedéshez.

( kikke | 2009. 03. 31., k – 19:11 )

Megjelent egy új vírus, szakértők szerint multiplatformos, futásához számítógépre sincs szükség, emiatt annyira hatékony, hogy egészen nagy informatikai rendszereket zár el a külvilágtól napokra!

A vírus neve: Worm.Raczne.H.K.

( sandras74 | 2009. 03. 31., k – 19:25 )

a: Ez a Conficker hajthatja a UNIX/Linux irányába a nagy cégeket és kormányzatokat? Mert ugye senki se szeret nagyot cumizni.
b: Van-e olyan biztonságos az UNIX/Linux, hogy ha tömegével állnak át rá, akkor kiállja-e a hasonló próbálkozásokat? Mert akkor ugye már megéri vele foglalkozni a kevésbé jófiúknak. Az OsX-ről már tudjuk... De a Red Hat balhé is elég tanulságos volt.

( Solusa | 2009. 03. 31., k – 19:38 )

"Conficker: mi lesz holnap?": Szinte meg voltam győződve róla, hogy ez valami szavazás lesz... :)

( balintdavid | 2009. 03. 31., k – 19:59 )

Szerintem leformattálja a fertőzött Windowst, és felrak helyette egy Slackwaret :D

( gd | 2009. 03. 31., k – 20:18 )

Jó muri lesz holnap, ha jönnek a hírek, hogy mit csinál a worm, nem fogjuk tudni, hogy mi poén, és mi igazni :)

( prygme | 2009. 03. 31., k – 20:30 )

egy tv kamerákat kedvelő közgazdász szavaival élve,
Kedves barátaim, Armageddon ismétlem Armageddon következik!:)

( csuhi | 2009. 03. 31., k – 20:45 )

Hmm... Erre a Conficker témára már olyan szinten ráizzították a fél emberiséget, hogy nekem már az a gyanúm hogy ez egy mezei április elsejei tréfa, és semmi nem fog történni holnap... Persze a vírus ettől még létezik, és biztos csinál / fog csinálni valamit valamikor, de nem lepődnék meg ha holnap nem történne semmi extra...

--
http://csuhai.hu

( willy v | 2009. 03. 31., k – 21:27 )

Nov 21 2008 – Worm:Win32/Conficker.A was discovered. Notable behavior includes:

* MS08-067 vulnerability exploitation.
* DNS hooking to prevent access to popular security sites.
.....

Feb 20 2009 – Worm:Win32/Conficker.C was discovered (53 days since Conficker.B). Notable differences with Conficker.B includes:

* Peer-to-peer communication using the MS08-067 vulnerability.

Értem én pecskedd. Nade évente hányszor?

( tomsolo | 2009. 03. 31., k – 22:18 )

én ma végigcsekkoltam a céges wineket hogy wtf,
de még tiszták -.-

(bár egy wigont.b-t azért találtam)

No rainbow, no sugar

( cvk v | 2009. 03. 31., k – 23:14 )

[off]
Holnap aktiválódik a conflicker a conspiracy (c&c) vírussal, és trey lemond és/vagy eladják a hupot a 4-es metró megsegítésére. Megint. :-)
[/off]
________________
Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz, 4 Gb ram, x86_64 2.6.29-gentoo

Ahogy néztem reggel a központi AV menedzsmentet, semmi.

Azonban 2 napja mást sem csinálok, mint vállalatokkal beszélek Conficker ügyben. Kedvenceim:

- "Tényleg igaz, hogy olyan levél jön majd, amiben Osama Bin Laden felakasztva látható és ha megnyitom akkor leég a számító?"

a másik:

- "Az elkövetkező napokban bárkitől,legyen az ismerős,rokon vagy barát, a *******-on keresztül kaptok képeslapot ne nyissátok meg!!!!!!!Megnyitáskor a C merevlemezt égeti le. A CNN tette közzé a felhivást,maga a virus nagyon agressziv és a MIKROSOFT is roppant veszélyesnek nyilvánitotta.Tegnap fedezték fel és még nem találják a megfelelő
virusírtot."

Most nem tudom, hogy sírjak vagy nevessek.

--
trey @ gépház

( tepsi | 2009. 04. 01., sze – 12:54 )

Reggel behalt a céges szerver... "Összeomlottak a diszkek." Bár lehet, hogy ez a csak a német kollégák áprilisi tréfája volt.

JAT

( Jason v | 2009. 04. 01., sze – 13:23 )

Vírus. Mert megérdemlitek.

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

( horvatha | 2009. 04. 01., sze – 13:36 )

Bocs, hülye kérdéseim lesznek.

Minden gépemen csak Linux van, de a múltkor kénytelen voltam egy Sun-féle VirtualBox-ot (jó ez így?) feltenni, hogy rátegyek egy WinXP-t, mert muszáj volt Word-öt használni. Ez a virtuális gép csak ritkán van bekapcsolva, és nem is értek a témához, így egy AVG free-t töltöttem le rá. A múlt héten 4 vagy 5 alkalommal alkalmanként 2-3 órát volt aktív a virtuális gép.

Veszélyben lehet a virtuális gépem? Hogy lehetne ellenőrizni? Nincs ilyen virtuális diszkeket kívülről olvasó, ellenőrző progi? (Ha már ott van lefagyasztva, akkor így nem tud bujkálni. Ha elindítom, megpróbálhat rejtőzködni, de így nem.)

Mire számítsak, ha a gépem átalussza az április 1-et és mondjuk májusban bekapcsolom és a vírus észreveszi, hogy lekéste a nagy napot?

Bocs, ha túl kezdők a kérdéseim, de csak igen-igen ritkán használok Win*-t.

Szerintem VirtualBox-ban érdemes az XP-t úgy telepíteni, hogy ki van kapcsolva a hálókártya, majd mindent felpakolni rá, aztán a ~/.VirtualBox/VDI/windows.vdi fájból másolni egy backup-ot.

Utána engedélyezni a hálót, aztán időnként nyomni neki egy visszamásolást. De ezt is csak akkor, ha kell a net. Virtuális gépet nem lassítanék vírusírtóval ha nem szükséges. De persze előfordulhat.

Mondjuk nem kell itt kézzel backupolni, meg másolgatni, kell csinálni snapshoot-ot (virtualboxnál nem tudom, hogy van, de vmware fusion tud megadott időnként magától is csinálni), aztán időnként visszaállítani.
Nekem is néha tökön szúrja magát a fusion-ban futó xp (csak egy banki terminál miatt kell), ilyenkor nem idegeskedik az ember, megnyomom a Rollback gombot, pár másodperc, és kész.

bocs, pontatlan voltam, azt hittem cégnév nélkül is köztudott
(mivel a hup nem a reklám helye) hogy OTP Elektra.

Cib internet bank telepítős java appletje működik linuxon,
a bank oldalán lévő hivatalos info szerint win/lin/mac támogatott.
-
"Attempting to crack SpeedLock can damage your sanity"

"Ha küldesz egy linket a terminál-telepítő hollétéről,"

Egy CD-n kaptuk, egy iKey hardverkulcs-csal együtt (bár ez csak az aláírásra kell), a CD a cég nevére felcímkézve, a feltelepített program alapból tartalmazta a cég bankszámlaszámait, azónosítókódjait, a terminál egyedi azonosítóját - szóval szerintem ezt nem lehet külön letölteni, gondolom minden cégnek egyedileg rakják össze és adják oda CD-n.

Ja, és mindenképp kijött egy faszi feltelepíteni, hiába kértük, hogy csak a CD-t küldjék ki, azt nem lehetett.
(Persze azóta már újra lett húzva a virtuális gépbe migráláskor.)

( artifex | 2009. 04. 01., sze – 16:41 )

Ahogy eddig elnézem, inkább a róla szóló levelek, doksik, értekezések és weboldalak letöltése okozza a legnagyobb terhelést. Lehet ez az újfajta kizárólag írott információn alapuló vírus első példánya?