Nová verzia červa Conficker odolná proti blokovaniu domén

DSL.sk, 9.3.2009

Červ Conficker, najviac sa šíriaci červ za posledných šesť rokov, má novú štvrtú verziu označovanú ako verzia C.

Podľa informácií antivírusovej spoločnosti Symantec autori zmenili verziu C oproti predchádzajúcim verziám najmä v dvoch smeroch.

Nová verzia je viac odolná proti antivírusom, keď ukončuje automaticky každý proces, ktorý by mohol byť nástrojom na detekciu a odstránenie červa. Procesy sú odstraňované podľa mena svojho spustiteľného súboru, filtrovaných je viac ako dvadsať masiek.

Druhou a podstatnejšou zmenou je nový spôsob kontaktovania serverov použiteľných autormi červa na zasielanie ďalších inštrukcií, inštaláciu nového škodlivého kódu alebo aktualizáciu červa.

Doteraz červ generoval denne na základe dátumu a určeného algoritmu zoznam 250 domén, z ktorých infikované PC kontaktovalo 32 náhodne vybraných. Domény boli doménami druhého rádu, použité boli domény .com, .net., .org, .info., .biz, .cn, .cc, .ws.

V polovici februára koalícia bezpečnostných spoločností a prevádzkovateľov týchto používaných domén najvyššej úrovne, oznámila spoluprácu, v rámci ktorej sa blokuje registrovanie domén využívaných červom.

Nová verzia C ale generuje a môže využívať podľa Symantecu denne až 50 tisíc domén v 116 rozličných doménach najvyššej úrovne, TLD. Nie je známe, koľko z týcho domén každé infikované PC skúša kontaktovať.

Doterajšia spolupráca bezpečnostných spoločností a prevádzkovateľov domén najvyššej úrovne tak nie je proti novej verzii účinná a zároveň pravdepodobne nemôže byť jednoducho rozšírená, keď by vyžadovala spoluprácu viac ako stovky prevádzkovateľov domén najvyššej úrovne a technický systém blokovania červom generovaných a využívaných domén v každej z týchto TLD.

Iniciatíva ale v súčasnosti aspoň pomáha brzdiť rozširovanie novej verzie, keď doterajšie verzie červa jeho autori už pre blokovanie doteraz používaných domén nemôžu aktualizovať cez niektorú z kontaktovaných domén. Na už infikované počítače musia novú verziu červa nahrávať priamo kontaktovaním každého infikovaného PC alebo opätovným rozšírením červa podobne ako pri prvej infekcii.


Najnovšie články:



Diskusia:

co dodat Od: 3><O | Pridané: 9.3.2009 8:25 vidno ze sa majstri snazia :) Odpovedať Známka: 8.6 Hodnotiť:

Re: co dodat Od: rms | Pridané: 9.3.2009 11:17 mna by zaujimalo ako specialne ukoncuje beh antivirov, pretoze ked vacsina pouziva procesy ktore sa nedaju vypnut manualne Odpovedať Známka: 3.3 Hodnotiť:

Re: co dodat Od: TTTT | Pridané: 9.3.2009 11:26 pretoze je to rootkit Odpovedať Známka: 10.0 Hodnotiť:

Re: co dodat Od: conficker | Pridané: 9.3.2009 16:13 vypnut sa daju pod uctom system Odpovedať Známka: 10.0 Hodnotiť:

????? Od: LuckyMan | Pridané: 9.3.2009 8:30 Kam toto všetko speje? Zlaty dobry One Half :-( Odpovedať Známka: 6.7 Hodnotiť:

Re: ????? Od: mamickavesiapradlo | Pridané: 9.3.2009 8:41 myslim,ze onehalf predbehol dobu a nebol chudak spravne pochopeny, dnes uz predsa vieme, ze je mozne zvysit rychlost HDD za cenu znizenia kapacity, co bolo mozno zamerom :) Odpovedať Známka: 10.0 Hodnotiť:

Re: ????? Od reg.: -nikto- | Pridané: 9.3.2009 11:06 lol Odpovedať Známka: 10.0 Hodnotiť:

pekne Od reg.: _Kozec_ | Pridané: 9.3.2009 9:17 Len do toho, Conficker :D Odpovedať Známka: 4.3 Hodnotiť:

Re: pekne Od reg.: -nikto- | Pridané: 9.3.2009 11:07 pravda, aspon je o com citat :) Odpovedať Známka: 7.8 Hodnotiť:

Firewall Od reg.: Mr.Henky | Pridané: 9.3.2009 9:21 A potom že načo má firewall blokovať odchádzajúce spojenia... Odpovedať Hodnotiť:

Conficker Od: Cpx | Pridané: 9.3.2009 10:40 Obesit autorov toho cerva, verejna poprava by stacila, takto ku*vit internet. Odpovedať Známka: -2.7 Hodnotiť:

Re: Conficker Od: quix- | Pridané: 9.3.2009 12:19 a co tak ist dalej? do redmontu napriklad:P Odpovedať Známka: 7.8 Hodnotiť:

Re: Conficker Od: alah | Pridané: 9.3.2009 14:49 nebyt redmondu browsujes cez konzolu... ale hlavne ze mas open source OS Odpovedať Známka: -6.0 Hodnotiť:

Re: Conficker Od: Ja. | Pridané: 9.3.2009 20:08 Máš pocit, že IE je alebo bol niekedy nejak inovatívny alebo prvý? Ak áno, tak to je len pocit. Odpovedať Známka: 6.0 Hodnotiť:

Re: Conficker Od: el nino | Pridané: 9.3.2009 15:22 A čo tak radšej do Redmondu ?? Odpovedať Známka: -3.3 Hodnotiť:

Re: Conficker Od: el nino | Pridané: 9.3.2009 15:24 A čo tak radšej do Redmondu ?? Odpovedať Známka: -6.7 Hodnotiť:

dnes má meniny Františka Od: dnes má meniny Františka | Pridané: 9.3.2009 10:56 Fakt ich obdivujem. Jednu verziu z casti zablokuju a hned vzapeti vydaju dalsiu. naozaj su to majstri. Odpovedať Známka: 6.0 Hodnotiť:

f*ckery Od: MARCELLO  | Pridané: 9.3.2009 11:35 KUA - nova aktualizacia ale musi zatazit spojenie PC zo sietou, ked ziada vecsinu pripojeni zo servermi. To uz by bol fakt nenapadny cerv. Spojenia IP adries by som nestacil rolovat,. Odpovedať Hodnotiť:

haluz Od: weeeee | Pridané: 9.3.2009 12:21 no neviem maju v tom gulas :) 4ta verzia sa vola C ? 1, A 2, B 3, C 4, ???? wtf ? :))) Odpovedať Známka: 0.0 Hodnotiť:

Re: haluz Od reg.: Redakcia DSL.sk | Pridané: 9.3.2009 14:20 Treťou verziou bola B++, modifikovaná verzia B uľahčujúca priamu aktualizáciu. Odpovedať Známka: 8.0 Hodnotiť:

pridaleko Od: pridaleko | Pridané: 9.3.2009 12:28 zavana to uz pomaly ale isto terorizmom a ako teroristi zrejme su motivovani nejakymi cielmi. Ktovie o co im vlastne ide, ale v kazdom pripade si myslim ze uz aj teraz zasli prilis daleko a podla ich postupu ktory naznacuje istu odhodlanost si myslim ze budu pokracovat. co bude asi nasledovat? co chcu dosiahnut? nech je to cokolvek idu nato dost z ostra. Odpovedať Hodnotiť:

Re: pridaleko Od: iknow im blocked | Pridané: 9.3.2009 12:51 o co im ide? priklad ludia z phonographic bla bla stojaci za sudom s TPB chcu zautocit na mininovu a tak si na chvilu prenajmu botnet Conficteru kto plati viac, melie alebo ako sa to vravi? Odpovedať Známka: 10.0 Hodnotiť:

riesenie Od: riesenie | Pridané: 9.3.2009 12:35 ako kazde vycinanie virusov aj toto ma svoje riesenie, avsak treba hladat. Autori su iste poisteni proti napadnutiu vlastnych pocitacov tymto virusom a prosim nechytajte ma za slovicko ked toto pisem pretoze ako sa v clanku pise, nova verzia dokaze zneskodnit väcsie mnozstvo antivirusovych ochran, cim si virus zabezpeci bezproblemovy chod v napadnutom pocitaci, treba sa zamerat na to cim sa chrania autori proti tomu viru a to treba vyuzit pri jeho zastaveni. Odpoved moze poskytovat aj samotny kod virusu. Myslim ze kazdy mi da za pravdu ked poviem ze v tomto pripade reverzne inzinierstvo aplikovane na tento virus za ucelom jeho zneskodnenia je celkom akceptovatelne. Odpovedať Známka: 0.0 Hodnotiť:

Re: riesenie Od: riesenie 2 | Pridané: 9.3.2009 12:47 A ty si myslis, ze av spolocnosti nepouzivaju reverzne inzinierstvo? Odpovedať Hodnotiť:

Re: riesenie Od: ..... | Pridané: 9.3.2009 13:03 samozrejme ze pouzivaju, len skoda ze vedia vsetky podrobnosti, ako virus pracuje presne ale jedine co nevedia je ako ho zastavit :-) Odpovedať Známka: 10.0 Hodnotiť:

Re: riesenie Od: xxxxxxxxxxl530000 | Pridané: 9.3.2009 15:06 Akceptovateľné? Ja myslím že pre AV spoločnosti je reverz štandard. Alebo si pýtajú od autorov červov zdrojáky? lol Odpovedať Známka: 10.0 Hodnotiť:

Re: riesenie Od: Ultrabombastik | Pridané: 9.3.2009 16:03 Mail pre tvorcu virusov:D Dobry den, v mene antivirusovej spolocnosi xyz Vas ziadame o poskytnutie zdrojovych kodov od virusu xyz, vo veci vytvorenia patricnych definicii proti sireniu Vasho virusu. Dakujem, s pozdravom Bill Gates :D Odpovedať Známka: 6.0 Hodnotiť:

Re: riesenie Od: informacia | Pridané: 9.3.2009 16:44 pre Vasu informaciu, mili, mladi, nevzdelani, reverzne inzinierstvo ako take je v otazkach legalnosti velmi sporne a to z toho dovodu, ze nieje vyuzivane len antivirovymi spolocnostami ale rovnako sa tesi oblube aj u hackerov a crackerov ktori vdaka tomu vedia obchadzat rozne bezpecnostne bariery deliace ich od ich ciela takze pokial kolega vyssie spomina slovicko akceptovatelne, netreba mu to zazlievat pretoze je myslim jasne ze to bolo myslene tak ze na zastavenie sirenia virusu vyuzitie takejto techniky plne akceptuje ako legalny prostriedok. Inymi slovami - ako sa hovori: ucel svati prostriedky. Odpovedať Hodnotiť:

Re: riesenie Od: xxxxxxxxxl530000 | Pridané: 9.3.2009 20:40 panebože, tvorci AV si na vírusy dávajú copyrighty? lol Každá AV spoločnosť používa reverse-engineering, inak by snad ani nemohli vyrobiť poriadny AV, vole. Samozrejme reversing komerčných aplikácii je sporný, je to uvedené už v EULE toho-ktorého programu, že je zakázané debugovať, editovať, analyzovať bla bla program alebo hociktorú jeho časť. ešte som nevidel červa - škodlivý kód, ktorý by niekdo zakázal debugovať... Odpovedať Hodnotiť:

Re: riesenie Od: xxxxxxxxxl530000 | Pridané: 9.3.2009 20:43 ..teda myslel som "tvorci vírusov", nie tvorci AV.. Odpovedať Hodnotiť:

Re: riesenie Od: 4319857 | Pridané: 9.3.2009 20:52 poznas skype? a to ani cerv nie je... a kym odpovies nejak prije***** odpovedou tak si o tom nieco precitaj.. o tom "zakazanom" debugovani Odpovedať Hodnotiť:

Re: riesenie Od: xxxxxxxxxl530000 | Pridané: 9.3.2009 20:57 čo skype? skype mám u prdele. aj tým chceš niečo rozumné povedať? Odpovedať Hodnotiť:

aktualizacia Od: .em | Pridané: 9.3.2009 16:08 Tym, co maju starsiu verziu konfikera a neda sa aktualizovat automaticky by mala prist ponuka na manualnu aktualizaciu... ;) Odpovedať Známka: 10.0 Hodnotiť:

Re: aktualizacia Od: ---- | Pridané: 9.3.2009 21:15 Vasa verzia virusu Conficker je zastarala, prajete si aktualizovat teraz ? :) Odpovedať Známka: 10.0 Hodnotiť:

......... Od: xxxxxxxxxxl530000 | Pridané: 9.3.2009 16:21 alebo cez Windows Update... Odpovedať Známka: 10.0 Hodnotiť:

conficker Od: conficker | Pridané: 9.3.2009 16:52 pokial tu niekto spominal obdivovanie autorov za ich "majstrovstvo" vo vytvarani pocitacoveho virusu, da sa predpokladat ze aj oni tak ako aj vsetci ich predchodcovia skor ci neskor skoncia za mrezami takze to je ich ciel kde to ich "majstrovstvo" povedie takze ja osobne si myslim ze ich nieje preco obdivovat a ked tak len za tie zatial pevne nervy. Rozhodne ide o ludi ktori netrpia ziadnymi uzkostami, depresiami, krizami ani ziadnymi inymi stavmi ktore su charakteristicke pre sucasne obdobie globalneho zhonu. Tito maju nervy z ocele a Microsoft by mozno mal ponuknut vyssiu odmenu na ich dolapenie nez tych 250 tisic dolarov :-) Odpovedať Známka: 0.0 Hodnotiť:

linux? Od: otazocnik | Pridané: 9.3.2009 18:27 takze pokial rozumiem stale autori pokracuju vyvojom virusu len na systemy od MS ?? Takze ked ficim na ubuntu nemam sa obavat tohoto virusu?? Odpovedať Hodnotiť:

Re: linux? Od: linux | Pridané: 9.3.2009 19:10 no ked sa chces pretvarovat ze bezis na linuxe tak sa aspon nepytaj take samozrejme veci lebo inak to potom vyzera napadne :-) Odpovedať Známka: 10.0 Hodnotiť:

Re: linux? Od: .em | Pridané: 10.3.2009 14:35 Ak ti nebezi pod rootom confickerd, tak sa obavat nemusis.. :) Odpovedať Hodnotiť:

linux Od: otazocka | Pridané: 9.3.2009 19:17 Nepretvarujem sa len som si chcel byt isty ze ked pocuvam od spoluziakov ze linux je blbost a ze mi na tom nic nemoze ist mozem povedat ze maju pravdu naozaj si nemozem vyskusat cnofickera v praxi :-) Odpovedať Hodnotiť:

Re: linux Od reg.: _Kozec_ | Pridané: 10.3.2009 10:53 Ale mozes, da sa pod Wine rozbehat. Ale treba mu trocha pomoct... Holt, Linux a jeho kompatibilita :p Odpovedať Hodnotiť:

fakt. Od: ...... | Pridané: 9.3.2009 19:43 fakt ma tesia posmesne reakcie ludi ktori sa smeju inym ze maju confickera a ze maju slabo zabezpeceny pocitac, ze by pre nich mali autori davat volne na stiahnutie novu verziu confickera ale pritom niektori z tychto "expertov" nemaju v pocitaci ani poriadny antivirus, cest vynimkam :-) Odpovedať Hodnotiť:

Re: fakt. Od: ..... | Pridané: 9.3.2009 19:45 ...a myslia si ze mat firewall v pocitaci znamena mat ten zlty zamocek na ikonke sietoveho pripojenia :D Odpovedať Hodnotiť:

conficker Od: Ja. | Pridané: 9.3.2009 20:24 A kde sa to dá stiahnuť? Odpovedať Hodnotiť:

Re: conficker Od: conficker | Pridané: 9.3.2009 20:43 na www.comefucker.net Odpovedať Hodnotiť:

Re: conficker Od: dodatok | Pridané: 9.3.2009 20:46 ak ti prehliadac napise ze stranka nebola najdena, tak sa nelakaj to uz sa ti automaticky virus stiahol a zmenil ti adresu dns servera na vlastny aby ta nasledne mohol presmerovat na neexistujucu stranku vies aby sa nestalo ze by autorov niekto mohol vystopovat prostrednictvom tvojho pocitaca musia sa predsa chranit a svoj genialny virus tiez ;-) Odpovedať Hodnotiť:

Re: riesenie Od: ... | Pridané: 10.3.2009 10:21 ... musim sa mi smiat ... :-D naco z toho robite taku hlavu ... AV vam to nezastavi nikdy ... pretoze AV je AV a odstranovac spywreov je to co si musite prehnat systemom. Aj ked sa AV uz zaoberaju odstranenim spywareov neni to hlavny dovod co robi z AV dobry AV ... Odpovedať Hodnotiť:

Pridať komentár