Подписаться на RSS

плюс

Получать обновления на email:



Мои любимые книги:

М. Руссинович, Д. Соломон. Внутреннее устройство Microsoft Windows

Майкл К. Физерс. Эффективная работа с унаследованным кодом:

Стив Макконнелл. Совершенный код

Мартин Фаулер Рефакторинг. Улучшение существующего кода

Бьерн Страуструп. Язык программирования С++.

Андрей Александреску Современное проектирование на С++. Серия С++ In-Depth

Том Демарко, Тимоти Листер Человеческий фактор: успешные проекты и команды

Посмотреть весь список книг для программистов...

Новый червь Downadup


Расскажу-ка я вам немного про сегодняшнюю угрозу номер 1 в мире вирусов.
Это безусловно червь Downadup (другие имена: Conficker, Kido). Если вы хоть немного разбираетесь в компьютерах или администрируете что-то - обязательно прочитайте про него всё, что сможете.
Например в статье How Big is Downadup есть вчерашняя глобальная всемирная статистика заражения этим вирусом. Уже миллионы компьютеров и каждую секунду регистрируются новые заражения.
Upd от 15 января - за вчера был заражен еще минимум 1 млн. компьютеров!
Upd2 от 7 февраля - число уникальных зараженных IP уже почти 2 млн. Россия на третьем месте по числу заражений!

В этот раз вирус как-то нереально хитро и со знанием дела прячется от антивирусов - антивирусные компании в спешке выпускают патчи и апдейты к своим продуктам, чтобы с ним бороться, но как-то пока это не очень хорошо у них получается. Из-за NDA я не имею права рассказывать, как мы в F-Secure с этим сейчас боремся, но масштабы усилий сильно впечатляют.

Например, в блоге наш главный антивирусный гуру пишет (мой вольный пересказ):

Этот червь использует хитрый алгоритм для генерации каждый день нового имени домена, с которого будут управлять зараженной машиной. Обычно вирусы имеют один домен - его можно закрыть и вирус безопасен. Но этот червь меняет адреса серверов постоянно и закрыть их все невозможно.
Но можно вычислить часть завтрашних адресов и зарегистрировать их на себя, отсечь преступников от части компьютеров. Теоретически можно было бы сделать что-то с такими компьютерами, например, написать им, что они заражены или даже вылечить их. Но этого делать нельзя по закону! Во многих странах есть закон, запрещающий делать что-то с компьютером человека без его согласия.
Поэтому остается только сидеть и отслеживать число таких зараженных "клиентов".

Upd:
На самом деле оказалось, что этот вирус имеет защиту от такого рода вмешательства. Он кодирует скачиваемые с сервера приложения ключами длиной 4096, так что нет никакой возможности "подсунуть" ему лекарство или еще что-то. Только авторы могут им управлять.

В этой статье есть информация о том, как червь мгновенно распространяется по сети и как он прячется от антивирусов и от удаления.

Самый простой способ узнать, заражен ли ваш компьютер - это попробовать зайти на сайты www.f-secure.com или http://www.kaspersky.ru/ и на сайт microsoft. Если эти сайты у вас не открываются - вы заражены. Учтите, что разные версии червя блокируют разные сайты, так что у вас может открываться F-Secure.com, но не открываться Kaspersky.ru и microsoft.com - вы заражены.

В комментариях мне предложили еще более простой способ. Если вы под этой строкой сейчас не видите логотипов F-Secure и microsoft, то вы заражены! Зато, если видите - это не доказывает, что вы не заражены этим вирусом! Ваша модификация вируса может не блокировать эти сайты.

Главная дыра, позволяющая этому червю так быстро распространяться - это дыра в Server service от Microsoft. При этом Server service на многих компьютерах запущен по умолчанию. И, если у вас или вашего провайдера нет правильно настроенного файрвола - вирус проникает на компьютер сам без вашего участия. Он просто закачивает себя через эту дыру и запускает!
Это был ожидаемый тип вируса, когда Microsoft недавно опубликовала инфу про эту дыру, но никто не ожидал такого серьезного заражения. Да, Microsoft уже сделали и опубликовали Security Update, но не все их еще установили, а у многих Windows Update вообще отключен - это очень глупо!

Установите все апдейты с Windows Update (или хотя бы отсюда) и вы будете в безопасности от заражения этим вирусом через интернет. Но в то же время вы все еще можете заразиться через флешки или через локальную сеть.

Про автозапуск с флешек писали уже все - отключите автозапуск. Это огромная дыра, которой пользуются вирусы. С включенным автозапуском "вставили флешку" равно "заразились". Так что просто отключите его. Как это сделать можно, например, прочитать тут.

Червь оказался сильно умный - он еще и полагается на глупость стандартных пользователей, заражая их через сеть, перебирая их пароли, используя список паролей, который можно найти тут.
Проверьте - нет ли там вашего пароля?

Для того, чтобы заразить этим способом, вирус пробует залезть в admin share (это пути, начинающиеся с $c). Опять же, на многих компьютерах эти admin share есть и либо вообще не защищены паролем, либо пароль 111. Так что ничто не мешает вирусу разгадать этот пароль и записать себя на удаленную машину. Запускается от оттуда вроде как через Windows scheduler, создавая там таск на запуск.
Так что, проверьте свой admin share и отключите его, если он включен.

Для тех, кто не совсем понял, что же делает этот червь, поясню немного. Он может сделать всё, что угодно владельцу этого червя. Идея проста - этот червь скачивает файлы с сервера и запускает их без ведома пользователя. Так что можно написать любой вирус или программу и запустить ее на зараженном компьютере. А значит можно назапускать новых вирусов или провести массированные атаки на какие-то сайты. Можно украсть данные с зараженных компьютеров. Можно удалить всё. Можно сделать всё, что угодно. Классический ботнет.
Другое дело, что сейчас этот червь неактивен. Он просто заражает и распространяется, но пока что не было попыток скачать что-то с управляющих серверов.

В общем, вирусы очевидно прогрессируют и остался только один шаг до попыток прямого противодействия антивирусам, когда вирусы будут блокировать антивирусы, а не наоборот. Уже сейчас вирусы активно и успешно борются с анализом сэмплов, например, отслеживая WMVare и не запускаясь под ним (тем самым сильно усложняя работу аналитиков). А то и проводят массированные атаки из ботнетов на компьютеры аналитиков.

P.S.:
Если вы обнаружили, что заражены, то тут можно скачать removal tool от F-Secure. При этом, так как этот вирус блокирует сайты антивирусных компаний, то вы не сможете зайти и скачать этот removal tool. Но вроде как вирус блокирует только DNS запросы, то есть, прямая ссылка сработает. Так что попробуйте скачать по этой ссылке: ftp://193.110.109.52/anti-virus/tools/beta/f-downadup.zip
А вот тут в комментариях подсказывают еще один способ ручного удаления вируса: http://bishop3000.livejournal.com/105424.html?thread=2020304

UPD:
А по этой ссылке есть советы от F-Secure как вылечиться от этого вируса и как избежать заражения.
Переведу самое важное оттуда:

Что делать, чтобы избежать заражения:
- Убедитесь, что последние апдейты Microsoft у вас установлены
- Убедитесь, что у вас запущена последняя версия антивируса и он обновлен
- Выключите AUTORUN и AUTOPLAY для USB устройств
- Проверте свои пароли для входа в систему - они должны быть хорошими, а не 1111
- Особенное внимание обратите на пароли администраторов
Что делать, если вы уже заразились:
- Зайдите на сайт своего антивируса и найдите там инструкции по борьбе с вирусом
- Удаление этого вируса - сложный процесс, который может потребовать отключения части вашей сети.
- Запретите использование USB stick и заблокируйте весь ненужный трафик в файрволах.

Оригинал и куча комментариев

 Понравилась статья? Подпишись на RSS!

14 комментариев к Новый червь Downadup

  • Vladislav Artukov

    ** http://support.microsoft.com/kb/958644
    On Microsoft Windows 2000-based, Windows XP-based, and Windows Server 2003-based systems, an attacker could exploit this vulnerability over RPC without authentication and could run arbitrary code.
    **

    То есть, вирусу даже и пароль не нужно подбирать. Так ли это?

  • ch3

    Господа, а рабочий ремувер для зверя есть? пробовались трендовский и дядиЖенины кидокиллеры, результата ноль, а в рукопашную их отстреливать довольно утомительно, да и надоело уже, полтора месяца все-таки.

  • Hawk

    КИС 8.0.0.506 с новыми базами давит Кидо на корню. Так что имхо, не так страшен вируснячек, как его малюют.

  • Swanwhite

    а что же тогда с linux???

  • Taz

    да ребят, страшно вам. я с линуксом своим могу сидеть с отключенным файерволлом неделю, если не больше и меня никто не заразит. а вапще, лидер рынка один, поэтому пусть лидер и справляется )) чем больше вирусов на винде, тем больше пользователей линукс в итоге ) а там где информация важна обычно работают люди с прямыми руками и службу сервер отключают хотя б )

  • Devil

    Да уж))) поймал я его ) бесит блин ( на 50% сайтов не заходит((
    что делать?? ремуверы не помогли((

    • Вот сайт рабочей группы по противодействию конфикеру: http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/RepairTools

      Там есть все ремуверы и все возможные советы, как удалить его с компа.

  • Vladislav

    У меня не нашла тулза вообще ничего

  • Yurii

    Vladislav
    С учетом того, что Вы не написали какая тулза, возможно просто она не берет какой-то вариант червя? Попробуйте другую тулзу от другого производителя (Касперского например или Symantec).

  • Nail

    Узнал о том что заразился только когда заметил что каспер не обновляецца, начал искать выход, нашел этот сайт =) http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/RepairTools - это уже блокирует тоже)) Шустрый вирус. В комментарии по “удалению ручками” нашел все полезные ссылки.

  • Champ

    Только что вставил в комп чужую флешку, мой НОД 32 выявил Konficker”a и в последствии удалил

  • lawer23

    Каждому Доброго времени суток! В жизни каждого из нас бывают ситуации, когда не обойтись без помощи юриста. Приглашаем посетить наш сайт Юрист в Челябинске.

Ответить

 

 

 

Вы можете использовать эти HTML тэги

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>