Megmozdult a Conficker hálózat

Titkosítás, biztonság, privát szféra

Az antivírus termékeket gyártó Trend Micro szerint a vártnál (április elseje) durván egy héttel később megmozdult a hírhedt Conficker hálózat és a fertőzött gépek most peer-to-peer hálózaton keresztül új payload-ot próbálnak letölteni.

Frissítés: A Kaspersky Lab további infói itt.

A Trend Micro az új verziót WORM DOWNAD.E néven detektálja.

Paul Ferguson - a vállalat szakértője - szerint úgy tűnik, hogy a letöltésre kerülő új komponones rendelkezik "némi rootkit képességekkel", de erről bővebbet egyelőre nem tud mondani, mert az elemzés még folyik.

A szakember érdekességként megemlíti, hogy a komponens tartalmaz egy "untrigger" dátumot - május 3-át - amely dátum után a komponenss leállítja saját futását és kapcsolódik az olyan oldalakhoz, mint például a MySpace.com, MSN.com, eBay.com, CNN.com és AOL.com.

A részletek itt olvashatók.

--

A hálózati adminisztrátoroknak több fegyvere is lehet Conficker elleni harcban. A megelőzés legfontosabb lépése az MS08-067 sérülékenység befoltozása és a hordozható adattárolók (memóriakártyák, USB pendrive-ok) fokozott védelme (autorun.inf). Ha már történt fertőzés, akkor használhatók a nagy gyártók antivírus szoftverei, amelyek detektálják és hatástalanítják a Conficker ismert variánsait, de a felderítéshez rendelkezésre állnak nyílt forrású eszközök is, például az Nmap.

A H Security pedig egy olyan végfelhasználók által is könnyen elvégezhető tesztet készített a Conficker fertőzés megállapítására, amelyet a teljesen laikus felhasználóval is végre tudunk hajtatni távolról:

A fenti teszt lényege az, hogy a Conficker a fertőzött gépeken blokkol számos biztonsággal foglalkozó weboldalt, köztük a nagyobb antivírus gyártók oldalait. Ezért a teszt készítői egy olyan HTML kódot készítettek, amelybe - egyebek mellett - egyes antivírus gyártók weboldalán található logókat ágyaztak be. Ha a tesztoldalt meglátogató látja az összes képet, akkor a gépe valószínűleg nem fertőzött. Ha a 6 kép közül nem látszik mindegyik, akkor az egyes hiányzó képek arra utalhatnak, hogy a gép a Conficker valamelyik variánsával fertőződött meg.

Az eredeti teszt táblázat és annnak értelmezése itt.

( Hevi v | 2009. 04. 09., cs – 12:39 )

Komolyan mondom, ez jobb mint bármelyik, hasonló témájú film. Megvan a feszültségkeltés, húzza, vár, nem fedi fel, tiszta Hitchcock.

Szerintem bosszubol a confickerek nekiesnek a Av gyártók weboldalainak, illetve az MS update-et is legyozik. Aztan megalakitjak a sajat Darknet halozatukat.. majd johet a NASDAQ lebenitasa, hogy fokozzuk a kaoszt, vegul, de nem utolso sorban pedig egy teljesen uj, ismeretlen conficker varianst telepitenek a gepre, ami egy ujonnan felfedezett 0day Windows sebezhetoseget hasznal ki, olyan conficker2-kent, ami tanulva az eddigekbol orzi a posztjat es elszigeteli a usereket minden nemu segitsegtol.

Aztan Amerika kitalalja hogy az egesz Oroszorszag es vagy Kina muve, ezert a Mac-jeikkel (amit a katonasagnak vettek) es az egyeb gepeivel letamadjak az "ellenseg" fontosabb csomopontjait. Ezt a helyzetet haborus cselekedetnek ertekelik, ezert elkezdenek egy katonasagot szervezni, mikozben amerika meg mukodo halozatat teszik tonkre..

Mire mindket fel eszbekap, addigra uton vannak a B-54-esek Amerikabol Moszkva es Tokio fele. Udovozoljük a III. vilaghaboruban!

Na jo abbahagyom :)

"csak hogy gyorsabban győzzenek"
Ember, egy évek óta tartó háborúban? Amikor a te embereidet minden nap ronggyá lövik?

Miért hívod őket bűnözőnek? Mit kellett volna mondaniuk?
"Bocsi, Mrs. James, nem dobálunk atombombát. Hát, ja, könnyen lehet, hogy így lelövik a fiát, de hát gondoljon szegény japán gyerekekre. Igazán lehetne magában egy kis belátás."

Azé' tegyünk már különbséget civilek és katonák között. Az atombomba meg különben is nukleáris fegyver, nem olyan, mint mondjuk London bombázása. Ráadásul ha jól tudom, a legnagyobb titokban dobták le, olyan magasságból, ahova japán gép nem tudott felmenni. A féregség csúcsa.

Ha van ra lehetosegem, en is olyan magasra repulok es szerintem szinte mindenki, akinek van esze (es megfelelo gepe)..
A ket bomba kb. 220 ezer ember eletet oltotta ki, ami szinte elkelpzelhetetlenul sok. Azt hiszem, sose lattam ennyi embert egy helyen. 220 ezer ember elete, tudasa, almai, ezresei... Ezt mind megsemmisitettek csupan ket bomba ledobasaval. Ha van isten, biztosan megbunhodnek ezert, akik ezt tettek. A masik oldalon ket bomba ledobasa megrettentette mindazokat, akiknek rendelkezesere allt a technologia, hogy ilyet epitsenek. Lehet, hogy ez volt a legnagyobb visszatarto ero, azota nem merik hasznalni. Mennyi ember eletet oltotta volna ki az elso ket kezdetleges bomba, ha nem 1945-ben robbannak, hanem sokkal ujabbak ugy 1970 kornyeken? Biztos, hogy csak ketto robant volna?

Hogy beszáljak én is, azt is végig lehet gondolni, hogy ha nem dobják le a két bombát, és tovább húzodik a háború a Csendes-óceáni hadszintéren, az mennyi emberi áldozatot/időt/pénzt emésztet volna fel. Természetesen mindkét oldalról. A már szinte fanatikus japán hadsereget nem lehett volna másképp belátható időn belül térdre kényszeríteni.
Ha az emerikai hadseregnek tovább kellet volna folytatni a szigetről szigetre haladó taktikát, és úgy elfoglalni a Japán - szigeteket, az sokkal több áldozatott követelt volna mindkét oldalról.
Azzal viszont egyet értek, hogy nem volt túl szép dolog civil emberek százezreit megölni.
De ez már itt nagyon OFF!

Ezek sosem egyszeru dontesek, de ez esetben egyszeruve tettek a korulmenyek: ket japan varos vagy meg kb. fel-egy millio amerikai elete, ennyire becsultek a tovabbi vesztesegeket. Lehet tippelni melyik ert kevesebbet, teszem hozza teljesen erthetoen. Kemeny ellenfelek voltak a japanok. Olyannyira, h az elso bomba ledobasa utan osszessegeben eszukbe sem jutott kapitulalni, es ennek hangot is adtak. Akkor kaptak az arcukba a masikat.

Amugy igen, ez a ket bomba volt az ami atom haboru helyett a hideg haborut eredmenyezett annak osszes pozitiv (pl. elunk) es negativ hatasaival egyutt. Ugyanis anno olyan fergeteges otleteik voltak egyeseknek, h ihaj. A Szovjetunioban vizszabalyozas foldmunkait akartak megoldani atomtoltetekkel (aztan rajottek, h a gulagon fogva tartottak olcsobbak), Amerika pedig idezem: "ha kell naponta robbantunk egy bombat az ellenseg feje felet, amig meg nem adja magat". Ha jol emlekszem a koreai haboru idejen hangzott ez el.

---
pontscho / fresh!mindworkz

nana, nem ugyanarról bezsélünk. a 2. vh.ban nem voltak szövetségesek. Most azok, és igen, volt hogy az öböl háborúban meg irakban és afganisztánban amerikaiak véletlenül baráti egységeket bombáztak. De egy várost nem lehet véletlenül bombázni.
---
/* No comment */
Ketchup elementál megidézése a sajt síkra

Ezzel az utolsó kommenttel hagyom is a politikát, de:
1. A talibánt az USA emberei képezték ki és látták el feygverrel, mert SZÖVETSÉGESEK voltak
2. Szaddam legfőbb támogatója az USA volt, mert SZÖVETSÉGESEK voltak
3. Irán urándúsításra alkalmas centrifugáinak első darabjait az USA-tól kapta ajándékba, mert SZÖVETSÉGESEK voltak.

Szóval ennyit arról, hogy ha szövetségesek, akkor nem dobnak bombát. Persze mind csúnya rossz fiúvá változott azóta és így kénytelen az ember odacsapni na. :)

( Proci85 v | 2009. 04. 09., cs – 13:31 )

Valami tényleg megmozdult, mert az elmúlt hét során 5(!) percenként történik login próbálkozás a szervereim ssh, ftp portjaira. Legutóbb egyiken az ircet is megtalálták. Érdekesség, hogy ritka a 2 egyforma ip. Többszáz próbálkozásból is alig akad 2 egyforma (fail2ban mail jön, gmail tárgy szerint csoportosítja).

( Boobek | 2009. 04. 09., cs – 14:30 )

Vicces lett volna csak 1 öt logót tartalmazó képet kirakni!:D

( balintdavid | 2009. 04. 09., cs – 18:05 )

Nyugi, csak a ziwiw fiókomat akarom feltörni a Confickerrel, mert elfelejtettem a kódom... :D
------------------
lúzer Ubuntu júzer

( bri | 2009. 04. 09., cs – 20:15 )

Gonosz dolog ilyet mondani, tudom, de használjuk ki a lehetőséget. A conficker és a vele együtt járó vírusok több ismerősöm gépét is hazavágták, és az adatvesztésen kívüli nyűg stb. pont elég volt nekik ahhoz, hogy megfogadják a tanácsomat, és áttérjenek linuxra.

:: by BRI.
:: config :: Acer TravelMate // Ubuntu Intrepid
:: tothab [a] gmail [pötty] kom
:: black rose immortal's weblog

zvsz az Ubuntu féle patch-elési módszer még jó is mert 2 klikk, a ringyoz eseten meg kulon szenvedesek vannak

Érdekes ezt olvasni az Ubuntu módszeréről, ami a Windowsénak egy-az-egyben koppintása................ amúgy mostanra a warez telepítők nagy része is "valid", nézz körül az erre szakosodott oldalakon.

Gondolom te is szembesültél már azzal, hogy adtak neked egy eredeti XP Cd-t még az SP nélküli kiadásból. Azt végig frissíteni egy délelőtt simán van és csak optimális esetben, mert volt már hogy a frissítés elpiszkált ezt-azt és alig győztem kijavítani. Aláírom, hogy a régebbi Ubuntu verziók is sok anyagot szívnak le a netről, de erre vannak a kiadás .x verziók.

Persze, ez a Vista+ -ra nem érvényes, ott végre rendesen meg van oldva a dolog. Igazad van, ezt elfelejtettem.

Aláírom, hogy a régebbi Ubuntu verziók is sok anyagot szívnak le a netről, de erre vannak a kiadás .x verziók.

anyám... Windowsban meg erre vannak az SP1, SP2, SP3 telepítőlemezek... eredeti telepítőkészletből meg a SP telepítővel kb 10 perc alatt csinálsz sajátot.
ha a hozzászólásod vicc volt (SP nélküli -8 éves- windows vs legfrissebb ubuntu) akkor elég gyenge, ha komolyan gondoltad, akkor meg elég szomorú.

Igen, ott az SP-vel frissített lemez, oké. De ha mész valahova és SP nélkülit nyomnak a kezedbe és sürgős lenne helyben megcsinálni rendszert akkor hogy frissíted legálisan (és nincs nálad laptop)?

Ugyanez, ugyanígy érvényes az Ubuntu-ra is. Egyszer mentem valahova gépet csinálni és egy 6.06-ot nyomtak a kezembe hogy a szomszédban látta és nagyon megtetszett. Összesen annyival volt más a dolog, hogy ott legalább le tudtam tölteni a legfrissebb verziót live lemezről.

A Conficker főleg nagyobb helyi hálózatokon terjed (főleg ahol a Windows tűzfalat a klienseken valami okból kikapcsolták és még el is felejtettek pacthelni), ezért sokkal inkább vállalati probléma mint otthoni felhasználóé. A terjedése során jelszavakat próbál feltörni, hogy azzal az MS08-067-ben leírt sérülékenység kihasználása mellett hagyományos és adminisztratív share-eken keresztül propagálja magát, stb.

--
trey @ gépház

Abból indult az egész hogy valaki ismerőse bekapta a wormöt (tehát valahogy nem került fel a megfelelő patch, valószínűleg nem tudja mire jó a winupdate) ezért "megoldásként" felerőszakolták neki a Linuxot.
A történetből az következik hogy a Linux updateket is a Windowséhoz hasonlóan kezeli az ilyen user.... erre nem megoldás a Linux (és még az orrodat se tisztíccsa).
Inkább az a megoldás, hogy ha máshogy nem lehet a fejébe verni, ráírod alkoholos filccel a monitorára, hogy "TELEPÍTSD AZ UPDATEKET HA NEM AKARSZ VÍRUST KAPNI BAROM".

Ippeg tegnap kapott a szomszéd egy Ubuntut az ősi vasára, amin az XP betegeskedett. (Persze később kiderült, miért volt az az XP beteg. Rapidshare downloader vagy mifene szerepelt az "erre is szükségem van" alkalmazások listáján...)
Első kérdése az volt, AutoCAD fog-e futni? Meggyőzött, de annyit sikerült elérnem, hogy tegye az XP-t egy mobil rackben lévő diskre és dual-bootoljon. A család netezzen csak Ubuntu alól.

Ave, Saabi.
ps: azért van egy olyan érzésem, hogy ennek az Ubuntunak nem lesz hosszú élete ezen a gépen.

ps: azért van egy olyan érzésem, hogy ennek az Ubuntunak nem lesz hosszú élete ezen a gépen.

Én az ilyeneknek elvből nem telepítek Linuxot, ha kérik akkor elmagyarázom a különbséget, ha nem látom az értelem szikráját marad a zixpé.

--
Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van.