Эпидемии возобновляются - под ударом пользователи пиратов
19-01-2009 15:56
к комментариям - к полной версии
- понравилось!
Новый год начался с эпидемии нового червя. Она может стать самой массовой за всю историю вредоносной активности. По данным компании F-Secure, которая именует вредоноса как Downadup, в пятницу червь заразил около 9 млн. компьютеров по всему миру. Специалисты компании Panda Security, которые называют этого же червя Conficker, отметили, что эпидемию вызвала третья модификация вредоноса. Первые заражения этим вредоносным кодом были зафиксированы в конце ноября прошлого года. Однако в базе данных "Лаборатории Касперского", где данный червь значиться как Kido.bt, запись датирована 2 января 2009 года. Компания Dr. Web, антивирус которого определяет данного червя как Shadow или Autorunner.5555, утверждает, что червь использует сложный полиморфный механизм для скрытия своего присутствия в системе.
Червь распространяется на съемных носителях и прописывает свой автозапуск в файле autorun.inf в том числе и на жестких дисках. Кроме того, он использует для проникновения на компьютеры уязвимость в протоколе RPC, которая описана Microsoft в бюллетене MS08-067 и имеет соответствующие исправления. Червь также навпространяется по сети с помощью протокола SMB, пытаясь подобрать пароли для открытых каталогов.
После проникновения на компьютер червь пытается заразить процессы rundll32.exe, svchost.exe и explorer.exe, перехватывая работу с DNS-системой для блокировки доступа к сайтам антивирусных компаний, а кроме того, прячется в папке RECYCLER, куда операционная система складывает удаленные документы. По оценкам экспертов основная цель нового червя - создать зомби-сеть для дальнейшей перепродажи.
Компания F-Secure контролирует распространение червя. Так 13 января было зафиксировано 2,5 млн. зараженных компьютеров, 14 января - 3,5, а уже 16 января - 9 млн. Правда, по статистике компании Panda Security количество заражений червем в пятницу и субботу было примерно одинаковым, а уже в воскресенье наметилась тенденция к снижению числа обнаруженных вредоносов. При этом F-Secure проанализировала IP-адреса зараженных компьютеров и обнаружила, что лидерами в данной эпидемии являются страны Китай (38277 зараженных IP), Бразилия (34814 заражений), Россия (24,526) и Индия (16,497), то есть под ударом оказались страны БРИК.
Вообще создается ощущение, что таблица заражения вирусом скорее является таблицей уровня пиратства в странах. Похоже, заражаются только компьютеры, на которых установлены пиратские версии ОС и антивирусов. Вот комментарий, который оставил в форуме "Лаборатории Касперского" пользователь под именем juma:
вверх^
к полной версии
понравилось!
в evernote
Новый год начался с эпидемии нового червя. Она может стать самой массовой за всю историю вредоносной активности. По данным компании F-Secure, которая именует вредоноса как Downadup, в пятницу червь заразил около 9 млн. компьютеров по всему миру. Специалисты компании Panda Security, которые называют этого же червя Conficker, отметили, что эпидемию вызвала третья модификация вредоноса. Первые заражения этим вредоносным кодом были зафиксированы в конце ноября прошлого года. Однако в базе данных "Лаборатории Касперского", где данный червь значиться как Kido.bt, запись датирована 2 января 2009 года. Компания Dr. Web, антивирус которого определяет данного червя как Shadow или Autorunner.5555, утверждает, что червь использует сложный полиморфный механизм для скрытия своего присутствия в системе.
Червь распространяется на съемных носителях и прописывает свой автозапуск в файле autorun.inf в том числе и на жестких дисках. Кроме того, он использует для проникновения на компьютеры уязвимость в протоколе RPC, которая описана Microsoft в бюллетене MS08-067 и имеет соответствующие исправления. Червь также навпространяется по сети с помощью протокола SMB, пытаясь подобрать пароли для открытых каталогов.
После проникновения на компьютер червь пытается заразить процессы rundll32.exe, svchost.exe и explorer.exe, перехватывая работу с DNS-системой для блокировки доступа к сайтам антивирусных компаний, а кроме того, прячется в папке RECYCLER, куда операционная система складывает удаленные документы. По оценкам экспертов основная цель нового червя - создать зомби-сеть для дальнейшей перепродажи.
Компания F-Secure контролирует распространение червя. Так 13 января было зафиксировано 2,5 млн. зараженных компьютеров, 14 января - 3,5, а уже 16 января - 9 млн. Правда, по статистике компании Panda Security количество заражений червем в пятницу и субботу было примерно одинаковым, а уже в воскресенье наметилась тенденция к снижению числа обнаруженных вредоносов. При этом F-Secure проанализировала IP-адреса зараженных компьютеров и обнаружила, что лидерами в данной эпидемии являются страны Китай (38277 зараженных IP), Бразилия (34814 заражений), Россия (24,526) и Индия (16,497), то есть под ударом оказались страны БРИК.
Вообще создается ощущение, что таблица заражения вирусом скорее является таблицей уровня пиратства в странах. Похоже, заражаются только компьютеры, на которых установлены пиратские версии ОС и антивирусов. Вот комментарий, который оставил в форуме "Лаборатории Касперского" пользователь под именем juma:
Слушай, вот предсталяешь у меня 5 сеток то есть 5 совершенно разных кантор, в четырех из них настроено все просто идиально: лицензионная ОС Windows на каждой рабочей станции с включенных автообновлением, "Касперский" корпаративная лицензия как на станциях так и на серваках с тем же лицензионным 2003 сервером, железобетонный фаервол. Автозагрузка с флэшек не отключена, так как считаю это бесполезным. В итоге в этих 4х конторах из пяти вирусов нет и не было, только юзеры приносили на флешках, но каспер их тут же удалял. У юзеров права ограничены. ВИРУСОВ НЕТ и НЕ БУДЕТ. А вот с пятой конторой я сам накосячил и признаю это - каспер стоял только на половине машин, в общей сложности их там 50 штук, как следствие вирус проник туда без особого труда, да и то смог распростаниться только лишь на половину рабочих мест потому как на все остальные машины касперский с легкостью предотвращал атаки. Не было качественного фаервола там была бы катастрофа, а так вирь просто посидел денек, поперегружал сетку, да я его за выходные выкурили и заплатки накатил, да и лицензии касперского прикупил...
Комментарии (4):
Вот комментарий, который прислал Сергей Гордейчик, технический директор Positive Technologies:
Еще Сергей Гордейчик заметил, что у компании есть утилита для проверки машин на предмет установки патча для уязвимостей MS08-065 и MS08-067 - эти ошибки по мнению компании также опасны как дыры в LSASS и DCOM, которые активно использовались "эпидемическими" вирусами в прошлом. Утилиту можно найти здесь.
Типичный пользователь «домашней» сети действительно попадает в группу риска. Как правило, на компьютерах установлена «пиратская» версия Windows XP Service Pack 1, обновлять которою ему строго-настрого запретил «компьютерный мастер», чтобы «не слетела активация». Кроме того, из-за особенностей работы встроенного «Брандмауэра Windows», весь диапазон адресов «домашней» сети в некоторых ситуациях может попадать в адресное «корпоративное» пространство с более мягкими настройками фильтрации, что позволяет червю соединиться с уязвимой службой
Еще Сергей Гордейчик заметил, что у компании есть утилита для проверки машин на предмет установки патча для уязвимостей MS08-065 и MS08-067 - эти ошибки по мнению компании также опасны как дыры в LSASS и DCOM, которые активно использовались "эпидемическими" вирусами в прошлом. Утилиту можно найти здесь.
Ещё один комментарий был получен от Григория Васильева, технического директора ESET:
В комментарии объясняется почему под атакой оказались страны БРИК - оказывается это целенаправленная атака против ОС Windows с национальными кодировками. Правда приведённый пример с украинским языком не совсем состоятельный - Украина в списке F-Secure находится на пятом месте после БРИК. Задал уточняющий вопрос, но пока ответа не дождался.
Данный червь использует критическую уязвимость MS08-67 операционных систем Windows, подсистемы удаленного вызова процедур Remote Call Procedure (RPC), предоставляющую злоумышленнику возможность атаковать удаленные компьютеры без подтверждения прав доступа к системе. Conficker пытается скачать дополнительно рекламное ПО или вредоносные программы, обычно это варианты FakeAlert, Wigon. Интересная особенность червя заключается в том, что он имеет механизм проверки языков, установленных в системе и не заражает компьютеры в которых используется украинская раскладка. Обычно подобные трюки используются для того, чтобы избежать юридического преследования в определенных странах. К тому же, червь отключает брандмауэр Windows и запускает http-сервер на случайном порту.
Продукты ESET эффективно противостоят Conficker и удаляют червя с уже зараженного компьютера. Однако чтобы обезопасить себя от других угроз, использующих ту же уязвимость Microsoft, что и Conficker, необходимо установить обновление операционной системы, доступное с октября 2008. Подробную информацию о уязвимости можно найти на сайте Microsoft
В комментарии объясняется почему под атакой оказались страны БРИК - оказывается это целенаправленная атака против ОС Windows с национальными кодировками. Правда приведённый пример с украинским языком не совсем состоятельный - Украина в списке F-Secure находится на пятом месте после БРИК. Задал уточняющий вопрос, но пока ответа не дождался.
Ответ на комментарий cZerro #
Получен комментарий на комментарий от Eset:
Старая версия червя - Conficker.А - не заражала компьютеры с украинской раскладкой. Новая версия заражает все подряд.
Получен комментарий от Сергея Голованова, старшего вирусного аналитика "Лаборатории Касперского":
Как мне кажется особенность нынешней эпидемии не в том, что он использует три метода распространения - были черви, которые используют и больше методов распространения. Особенность нового червя в том, что в нем нет механизма контроля эпидемий, который был встроен практически во все черви последних нескольких лет. Это и говорит о начале передела рынка вредоносного ПО.
Все три способа распространения червя Kido, такие как автозапуск, перебор паролей и уязвимость ms08-067, давно известны специалистам антивирусной индустрии. Предотвратить заражение компьютера Kido можно, запретив автозапуск программ со сменных носителей и используя сложные пароли, а также автоматическое обновление ОС Windows. Червь постоянно обновляется и заражает все больше и больше число компьютеров по всему миру. Первая версия была зарегистрирована 28 ноября прошлого года.
Несмотря на то, что подобные контрмеры можно отнести к разряду элементарных, вредоносные программы, применяющие хотя бы одну из названных схем распространения, всегда входят в список многочисленных и долго живущих (с рейтингом вредоносного ПО за декабрь 2008 года можно ознакомиться, пройдя по ссылке: http://www.viruslist.com/ru/viruses/analysis?pubid=204007641).
Описываемую ситуацию спровоцировало одновременное использование злоумышленниками всех трех упомянутых методов распространения Kido.
На мой взгляд, в данном случае заслуживает внимания не количество зараженных пользователей и даже не способы распространения зловреда, а инфраструктура, созданная злоумышленниками для поддержания работы строящегося ботнета и обслуживания миллионов своих "пользователей". Именно инфраструктура - вот настоящее достижение создателей Kido, отточенное на ботнетах, которые были построены такими червями, как Bagle, Warezov и Zhelatin (Storm worm).
Как мне кажется особенность нынешней эпидемии не в том, что он использует три метода распространения - были черви, которые используют и больше методов распространения. Особенность нового червя в том, что в нем нет механизма контроля эпидемий, который был встроен практически во все черви последних нескольких лет. Это и говорит о начале передела рынка вредоносного ПО.
Комментарии (4):
вверх^
Вы сейчас не можете прокомментировать это сообщение.
Дневник Эпидемии возобновляются - под ударом пользователи пиратов | cZerro - Дуршлаг |
Лента друзей cZerro
/ Полная версия
Добавить в друзья
Страницы:
раньше»