Conficker il Worm più pericoloso del momento ha fatto la sua prima comparsa verso Ottobre 2008 e si è diffuso in tutto il mondo creando danni e problemi sfruttando le vulnerabilità di Windows ha infettato migliaia di computer si parla addirittura di 7-8 milioni di computer infetti da questo worm. Per prima cosa dobbiamo scaricare una patch rilasciata dalla Microsoft possiamo scaricarla cliccando Qui la stessa Microsoft ha messo una taglia sui creatori di questo worm di circa 250.000 dollari, sembra che si tratti di autori di Ucraini in quanto non sono stati sfruttati IP ucraini. Ci sono diverse varianti di Worm Conficker come possiamo vedere in tabella:
Variante | Spreads Via ... | Payload | Ulteriori informazioni |
21 nov 2008 Trigger Payload Data: 25 novembre 2008 e successive | -Sfruttare le vulnerabilità descritte nel Security Bulletin MS08-067. | Genera-250 URL al giorno che i controlli per gli aggiornamenti Reimposta-Punto di Ripristino configurazione di sistema | Il nome di questa famiglia è stato ottenuto selezionando frammenti da 'trafficconverter.biz', una stringa trovata in questa variante. |
Date Discovered: 29 dic 2008 Trigger Payload Data: 1 ° gennaio 2009 e successivamente | Oltre al metodo utilizzato dal. Una variante (sopra): -Parti di rete con password deboli -Mappate e unità rimovibili -Usi una operazionepianificata per eseguire una copia del worm sul targeting per macchine | In aggiunta alle. Una variante del carico utile (in precedenza - anche se. B utilizza un metodo differente per generare gli URL): - Blocca l'accesso a molti siti web in materia di sicurezza Modifica impostazioni di sistema - Termina-sistema e dei servizi di sicurezza | Questa variante costruita sulla funzionalità del. Una variante con l'aggiunta di nuovi meccanismi di diffusione della stessa e rendendo più difficile da rimuovere. |
Date Discovered: 20 Feb 2009 Trigger Payload Data: 1 ° gennaio 2009 e successivamente | Utilizza gli stessi metodi di cui sopra per l'. Variante B. | In aggiunta ai carichi di cui sopra per. A. B: - Utilizza il metodo aggiuntivo per scaricare i file che utilizza il peer-to-peer di comunicazione - Aggiunta di controlli per verificare l'autenticità, la validità dei contenuti mirati per il download | Molto simile al. B variante in funzione (anche questa variante è stata descritta come la variante. B + +). |
Date Discovered: 4 Mar 2009 Trigger Payload Data: 1o aprile 2009 e successive | N. diffusione funzionalità per sé.Distribuito come un aggiornamento di macchine già infette con il. B e. C varianti. | In aggiunta ai carichi di cui sopra per. A. B, con alcune variazioni: - Genera 50.000 URL per scaricare i file da. Questa variante solo visite 500 del URL generati entro un periodo di 24 ore. - Espande sugli sforzi per ostacolare la sua rimozione da una macchina colpita. | Diffondere la funzionalità è stato rimosso da questa variante. Si continua ad espandere il suo file di download di carico utile e gli obiettivi di una più ampia gamma di processi di porre fine (sembra essere il targeting pulizia utilità progettato appositamente per rimuovere Conficker).Si blocca l'accesso anche ad altri siti web relativi alla sicurezza. |
Date Discovered: 8 apr 2009 Trigger Payload Data: 1o aprile 2009 e successive | N. diffusione funzionalità per sé.Utilizzati per aggiornare le macchine già infettati con il. B e. C. D varianti. | - Blocca l'accesso a molti siti web in materia di sicurezza Modifica impostazioni di sistema - Termina-sistema e dei servizi di sicurezza Termina-sé, il 3 maggio | Maggio è stato distribuito attraverso il Conficker peer-to-peer della rete. |
La diffusione avviene tramite la navigazione sul Web sui siti non sicuri,download da canali P2P e Pen drive, una volta infettato il pc il worm inizia la diffusione tramite il servizio RPC (Remote Procedure Call)inviando una copia di se stesso sotto forma di jpeg o mp3 rinominata successivamente con estensione .dll in modo da infettare e diffondersi tramite la lan.Inoltre il Worm crea un Backdoor tramite il quale apre una porta di comunicazione per trasmettere dati password ecc al suo ideatore. Vediamo qualche foto qui di seguito per capire la diffusione del worm:
Naturalmente il Worm ha il compito anche di eliminare i più recenti punti di ripristino e disattiva l'antivirus, dopo aver scaricata ed installata la patch KB958644 disattiviamo la rete installiamola e poi ricolleghiamo la rete, aggiorniamo l'antivirus risistemiamo i punti di ripristino l'autoplay ecc..e......incrociamo le dita!!!
Nessun commento:
Posta un commento