PC infikované Confickerom je možné detekovať na diaľku

DSL.sk, 30.3.2009

Bezpečnostní experti na čele s Danom Kaminskym, ktorý v minulom roku odhalil vážnu zraniteľnosť DNS infraštruktúry, dnes informovali o nájdení postupu, ktorý umožňuje na diaľku identifikovať počítač infikovaný červom Conficker.

Conficker podľa zistení expertov mení implementáciu Windows služby Server zabezpečujúcej zdieľanie súborov a tlačiarní. Zmenu je možné detekovať komunikáciou s daným PC a tak je možné na diaľku jednoznačne zistiť, či dané PC je červom Conficker infikované alebo nie.

Nástroj je mimoriadne dôležitý najmä pre správcov siete, ktorí už nemusia monitorovať sieťovú prevádzku pre odhalenie červa ani testovať každé PC spúšťaním antivírusových nástrojov.

Conficker mení implementáciu funkcie NetpwPathCanonicalize, detailné technické informácie zverejnia experti neskôr tento týždeň.

Už v súčasnosti je ale k dispozícii skener v jazyku Python hľadajúci všetky červom infikované PC v danom rozsahu IP adries. Skenovať je samozrejme možné len IP adresy, u ktorých môže skener zasielať pakety na port 445. Sťahovať skener je možné zo stránky Kaminského, skener bude v najbližších dňoch doimplementovaný aj do štandardných skenovacích nástrojov nmap, ncircle, Nessus, Foundstone a Qualys.

Pozornosť bezpečnostných expertov sa v súčasnosti v súvislosti s červom Conficker sústreďuje na stredu 1. apríla. Posledná verzia červa vtedy začne kontaktovať pre svoju aktualizáciu alebo sťahovanie nového škodlivého kódu domény generované novým spôsobom, keď denne bude od tohto dátumu generovať až 50 tisíc rozličných kontaktných domén.

Ochrana proti aktualizácii červa realizovaná doteraz blokovaním kontaktných domén spoluprácou bezpečnostných spoločností a správcov všetkých používaných domén najvyššej úrovne tak nebude účinná, keď nový algoritmus používa domény v až 116 doménach najvyššej úrovne a veľký počet z nich je už v súčasnosti obsadený.

Nový spôsob aktualizácie červa je zrejme reakciou jeho autorov na doterajšiu ochranu. Či bude najnovšia verzia červa aktualizovaná novým kódom hneď v stredu, akým kódom, ako sa prejaví a na akom percente infikovaných počítačov je inštalovaná najnovšia verzia Confickera nie je zatiaľ známe.


Najnovšie články:



Diskusia:

Prispievajte do diskusií Od: loler | Pridané: 30.3.2009 16:15 Skynet do teho! :) Odpovedať Známka: 5.0 Hodnotiť:

Re: Prispievajte do diskusií Od: compal | Pridané: 30.3.2009 19:08 a co ak to bude len vtip ved prvy april je den blaznov nie? Odpovedať Známka: 4.3 Hodnotiť:

dpc kua Od reg.: DeeerDance | Pridané: 30.3.2009 16:18 prave som nasiel klasiku winword.exe u mna... Odpovedať Známka: 5.6 Hodnotiť:

Re: dpc kua Od: vlastozasto | Pridané: 30.3.2009 17:12 vacsi pruser by bol keby si nasiel winworm.exe ;) osobne si myslim, ze confickera porazi iba iny cerv, trojan etc., zavadzany do infikovanych pocitacov podobnym sposobom (infikovanim), ktory ak ho detekuje, tak eliminuje a potom aj sam seba. Stare zname anglicke: Fight fire with fire. Odpovedať Známka: 6.4 Hodnotiť:

Re: dpc kua Od reg.: Gyrxiur | Pridané: 30.3.2009 18:14 No ja tiez zapalovacom okrem zapalovania aj zhasinam sviecky, na to je finta ;c) Odpovedať Známka: 10.0 Hodnotiť:

Re: dpc kua Od: Stock | Pridané: 31.3.2009 8:35 Takze antibiotiká:-))) Odpovedať Známka: 10.0 Hodnotiť:

Markiza Od reg.: lubos679679 | Pridané: 30.3.2009 17:08 Chcete vediet nieco viac o Confickerovi? navstivte markiza.sk a v archive (televizne noviny) zo vcera (29.3.2009) o tom hovoria. Super. Ide utok na pocitace! Takze bacha. :D Odpovedať Známka: 4.0 Hodnotiť:

Re: Markiza Od: svetlan | Pridané: 30.3.2009 17:22 nemozes dat rovno link, nejak tam vidim iba z 27.3.09 v archive Odpovedať Hodnotiť:

Re: Markiza Od reg.: lubos679679 | Pridané: 30.3.2009 17:25 http://video.markiza.sk /archiv-tv-markiza/televizne-noviny/26108 Odpovedať Hodnotiť:

Re: Markiza Od reg.: HeckreN | Pridané: 30.3.2009 18:27 Oh noes ! Odpovedať Hodnotiť:

Re: Markiza Od reg.: Uhlik | Pridané: 30.3.2009 18:28 bulvarne strasenie ... ani len nespomenuli, ze by si ludia mali zaplatat systemy aktualizaciami a nepouzivat nelegalne instalacie Windows, co je v podstate prava pricina ... preto nepozeram televiziu, spravodajstvo uz davno nie je objektivne ... Odpovedať Známka: 8.0 Hodnotiť:

Re: Markiza Od reg.: lubos679679 | Pridané: 30.3.2009 18:37 Presne tak. Strasenie, a kazdy je potom z toho "paf" a vypytuje sa, ci je ohrozeny a tak dalej. Tiez sa ludia hrozne boja BSA, ked sa nieco o tej slavnej organizacii objavi v telke. Spravy v TV su proste o hovne, a ani tie vcerajsie, na ktore som hodil link, som nepozeral. Len som sa dopocul, ze tam o tom nieco bolo. Ale priznam sa, vynimocne si spravy pozriem (nie na markize). Inak sa mi pacila ta veta, ze ludia, co nepouzivaju Windows, su v suchu. :D To sa len tak nestava. Spravy doteraz vzdy zili iba vo "Windows Only" svete. Odpovedať Známka: 8.2 Hodnotiť:

Re: Markiza Od: hehehe | Pridané: 30.3.2009 19:37 a aj tak ta veta nemusi byt vobec pravdiva... pokial Conficker dostane prikazy na DDoS a vyradi tym z prevadzky infrastrukturu ISP, tak nasledky sa dotknu aj linuxakov... Odpovedať Známka: 3.3 Hodnotiť:

Re: Markiza Od: vlastozasto | Pridané: 30.3.2009 20:39 suhlas s Uhlikom, ale zas tipek z ESETU hadam nieje uplny magor. A tiez nechapem, perco by linuxove systemy nemali byt v obavach, mozno proti infikovaniu su odolne, ale proti utoku? Odpovedať Hodnotiť:

Re: Markiza Od: sledujem spravy na ct | Pridané: 30.3.2009 22:10 treba pozerat spravy na nejakej normalnej stanici, z ceskoslovenskych sa mi najviac pacia na ct, tam sa aj clovek nieco dozvie, nie jak inde same kraviny co maju prilakat divakov... Odpovedať Hodnotiť:

Re: Markiza Od: el nino | Pridané: 30.3.2009 23:55 Thank you for using Comodo to help build trust online! Odpovedať Hodnotiť:

Re: Markiza Od: mariooo | Pridané: 1.4.2009 7:24 co cakas od spravodajstva z markizy... nejake fakty? Cisy bulvar! Odpovedať Hodnotiť:

Re: Markiza Od: Accuphose+ | Pridané: 31.3.2009 0:44 Tohle mě dostalo: Nikto nevie čo bude robit :-D Jinak ty samičky na ulici jsou hezčí jak v televizi a mluvili tam o Rusovcích by mě zajímalo, jestli tam ještě funguje ta nudapláž jak před 20 lety jojo.. Hm nevím co je ta madarská karta, co mluvila Riadičová, to je nějaký povolení pro Maďary? :-D Odpovedať Hodnotiť:

Re: Markiza Od: dnes má meniny Vieroslava, | Pridané: 30.3.2009 19:17 No waw pozajtra zacne podla esetu velky tazko odhalitelny utok. Inak ta mapa co tam bola tak europa bola skoro cela cervena. Dufam ze tiez nejsom cerveny :) Odpovedať Známka: 7.1 Hodnotiť:

Re: Markiza Od: emre | Pridané: 30.3.2009 19:51 čože? komanči útočia po Európe? wtf Odpovedať Známka: 8.2 Hodnotiť:

never ever Od reg.: userKO | Pridané: 30.3.2009 17:41 ...takze ked uz vedia ako na to, ms ho moze s aktualizaciach odstranit. a nakolko vieme, ze windows kontaktuje MS aj ked su aktualizacie zakazane, tak ms moze kontaktovat vsetky windowsy a problem je vyrieseny zo dna na den. ok, tak si ho skrtam a myslim, ze sa 1.4 nedozije :) Odpovedať Známka: 7.5 Hodnotiť:

A co tak Microsoft??? Od: L000L | Pridané: 30.3.2009 21:10 Tak mi napadlo, čo ak ho vyvinul Microsoft, ako spôsob overovania Windows-ov. Je to dobrý spôsob ako prinútiť ľudí s nelegálnym OS zakúpiť si legálny OS a mať k nemu podporu a zabezpečenie. A odmenu si Microsoft vypísal len tak, aby vyzeral, že je v tom nevinne :-) . Odpovedať Známka: 6.0 Hodnotiť:

Re: A co tak Microsoft??? Od: Lerz | Pridané: 30.3.2009 22:08 Pekne povedané :-) Odpovedať Známka: 10.0 Hodnotiť:

Re: A co tak Microsoft??? Od: b2un0 | Pridané: 30.3.2009 23:18 Až na to, že uvedená aktualizácia sa dá stiahnúť aj na nelegálnom systéme. Ale inak naozaj dobrý strašiak pre BFUs. Odpovedať Známka: 10.0 Hodnotiť:

chcem confickera Od: mikaso | Pridané: 31.3.2009 0:12 poslite link kde si svoj book nainfikujem chcem to skusit :) to bude haluz... Odpovedať Známka: 6.7 Hodnotiť:

Re: chcem confickera Od reg.: mylanko | Pridané: 31.3.2009 1:59 Uz si dva mesiace infikovany ;) Odpovedať Známka: 10.0 Hodnotiť:

nie detekovat!! Od: jose-- | Pridané: 31.3.2009 10:00 ale deteGovat (http://tinyurl.com/c4orp2) uz sa to skuste naucit (alebo Vasho korektora) Odpovedať Známka: 3.3 Hodnotiť:

Re: nie detekovat!! Od reg.: hogo1 | Pridané: 31.3.2009 10:20 mas pravdu, ale musis uznat ze to "g" tam vyzera strasne :) Odpovedať Hodnotiť:

Re: nie detekovat!! Od: mabrik | Pridané: 31.3.2009 10:56 Slex99 hovori deteKovat, od slova deteKcia (nepoznam slovo deteGcia). DeteGovat je chory vymysel. Odpovedať Hodnotiť:

Re: nie detekovat!! Od: jose-- | Pridané: 31.3.2009 16:32 Sloveso detegovať je zdomácnená podoba latinského slovesa detegere, ktoré znamená "odkryť, obnažiť, prezradiť". Keďže sa v latinčine píše s písmenom g, rešpektovala sa takáto podoba aj pri preberaní slovesa do slovenčiny. Termín detekcia slovotvorne síce súvisí so slovesom detegere, ale nie je utvorený od neurčitkového, lež od tzv. supínového kmeňa, ktorý má v latinčine podobu detectum. Po oddelení koncového ‐um sa k tomuto kmeňu pridala prípona ‐io, čím vzniklo latinské podstatné meno detectio adaptované do slovenčiny v podobe detekcia. Pri slovách detegovať, detekcia nejde o chybu v ich pravopisnej kodifikácii, lež o rešpektovanie stavu v odovzdávajúcom jazyku, teda v latinčine. Ešte raz: v spisovnej slovenčine máme sloveso detegovať so spoluhláskou, resp. písmenom g, ale podstatné meno detekcia so spoluhláskou, resp. písmenom k"!!! Odpovedať Hodnotiť:

Re: nie detekovat!! Od: korektor | Pridané: 31.3.2009 16:44 latinské sloveso "detego -tegere -texi -tectum". Slovenské "detegovať" je prispôsobený latinský neurčitok "detegere". Slovenské pojmy "detekčný" a "detekcia" sú odvodené z príslušných gramatických tvarov latinského originálu (viď napr. príčastie "detectum"). Anglické "to detect" asi vzniklo z nemožnosti prevziať latinský neurčitok v pôvodnom tvare kvôli chabým možnostiam angličtiny v oblasti skloňovania a výslovnosti - tak si zrejme vypomohli slovným kmeňom príčastia "detectum" Slovenčina má viac dvojtvárnych cudzích slov, ktoré majú základ v skupine okolo latinského slovesa "ago agere egi actum" (agere = konať, actum = [vy]konané) - nie všetky sa ale často používajú... Odpovedať Hodnotiť:

Download Od: Download | Pridané: 31.3.2009 14:16 Kde sa da stiahnut ten skener. Nikde to tam nevidim.. Odpovedať Hodnotiť:

Muhehehe Od reg.: Gizmof | Pridané: 31.3.2009 14:46 Only one day to blackout :D... bude sranda až sa na 5 mega pc po celom svete zajtra zobrazí niečo v zmysle 1. apríl :D. Odpovedať Známka: 10.0 Hodnotiť:

vcxvx Od: vcxvc | Pridané: 31.3.2009 23:47 Gramatická chyba v nadpise ? To je moc... Viem, že je to proti srsti, ale správne by sa malo písať DETEGOVAŤ Odpovedať Hodnotiť:

Re: vcxvx Od: 123111 | Pridané: 1.4.2009 1:01 no vidis, lenze na detegovat by bolo isto omnoho viac pripomienok ako ked je to teraz. Zvolili dobru cestu bez kopy blbych komentarov Odpovedať Hodnotiť:

Conficker Od: Conficker | Pridané: 1.4.2009 0:55 Mame 1.4.2009 a nic sa nedeje.. Odpovedať Hodnotiť:

Re: Conficker Od reg.: Gizmof | Pridané: 1.4.2009 6:55 Ale čo by nie, aj soom.cz my poslal upozornenie :D :D ! POZOR ! Po Internetu se rychle íří nebezpečný počítačový virus, který zatím jako jediný doká e infikovat i samotné u ivatele počítače. Virus má na svědomí ji několik prvních obětí a proto e je vývoj protilátky stále v začátcích, očekává se brzké vypuknutí epidemie. Proti viru se dá úspě ně bránit prověřeným firewallem a zkrácením času ztráveného u počítače. Jako první o tom dnes informovala televize NOVA v této reportá i na tv.nova.cz. Buďte ve střehu a vzhledem k záva nosti situace raději informujte o této skutečnosti v echny své známé. Odpovedať Hodnotiť:

Re: Conficker Od: mariooo | Pridané: 1.4.2009 7:30 HOAX Odpovedať Hodnotiť:

------ Od: Rofler | Pridané: 1.4.2009 10:21 Pomooooooc !!!! vybuchol mi pocitac!! Moze to mat na svedomi conficker new version???? Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár