Červ zneužívajúci kritickú chybu Windows vytvoril už polmiliónový botnet

Červ zneužívajúci extrémne kritickú chybu vo Windows opravenú mimoriadnou aktualizáciou MS08-067 vydanou na konci októbra, ktorý sa objavil na Internete pred týždňom a pol, stihol už vytvoriť podľa IT-bezpečnostnej spoločnosti Trend Micro nový botnet s odhadovaným počtom pol milióna infikovaných počítačov.

DSL.sk, 2.12.2008

Nový červ, ktorý zneužíva extrémne kritickú chybu vo Windows opravenú mimoriadnou aktualizáciou MS08-067 vydanou na konci októbra, už stihol vytvoriť nový botnet s 500 tisíc zapojenými počítačmi.

Tvrdí to IT-bezpečnostná spoločnosť Trend Micro.

Červ vo forme spustiteľného PE súboru s veľkosťou 62 976 bajtov známy pod označením Conficker.A alebo Downad.A začali antivírusové spoločnosti pridávať do svojich definičných súborov medzi 21. a 24. novembrom.

Červ zneužíva extrémne kritickú chybu vo Windows službe Server zabezpečujúcej sieťové zdieľanie súborov a tlačiarní. Chyba umožňuje na Windows XP, Windows 2000 a Windows Server 2003 útočníkovi iba s prístupom na TCP porty 139 alebo 445 spustiť na napádanom PC ľubovoľný zvolený kód s právami systému a získať tak kompletnú kontrolu nad systémom.

O detailoch chyby, ktorá je typu pretečenia buffera v zásobníku, sme detailne informovali v tomto článku.

Užívateľ Windows XP s inštalovaným minimálne SP2 pri zapnutom Windows Firewalle so štandardnými nastaveniami je pred zneužitím chyby chránený, keďže Windows Firewall v štandardnej konfigurácii nepovoľuje zdieľanie súborov a prístup na porty 139 alebo 445. Chránení pred priamymi útokmi z Internetu sú aj užívatelia na lokálnych sieťach pripojených cez NAT.

Práve pre vysoké rozšírenie Windows XP s minimálne inštalovaným SP2 a zároveň NAT-om sa pri oznámení chyby predpokladalo, že chyba nemá dostatočný potenciál na masové rozšírenie sa červa. Prvý červ Gimmiv.A zneužívajúci túto chybu bol tzv. lokálnym červom, teda snažil sa po infikovaní niektorého PC útočiť cez chybu len na počítače na rovnakej LAN s vyššou pravdepodobnosťou úspechu a do nových LAN sa šíril primárne inými spôsobmi.

Podobne aj nový červ Conficker.A sa šíri aj priamym sťahovaním prípadne inštalovaním iným škodlivým kódom, primárnym spôsobom šírenia je ale podľa informácií antivírusových spoločností priame napádanie iných PC a snaha o zneužitie extrémne kritickej chyby opravenej aktualizáciou MS08-067.

Po úspešnom získaní kontroly nad PC a nainštalovaní červ spustí na náhodnom porte medzi 1024 a 10000 jednoduchý webserver a pridá výnimky pre tento port do Windows firewallu a zároveň na routeri cez protokol UPnP, ak detekuje jeho podporu. Zároveň si zistí externú adresu pripojenia kontrolovaného počítača pomocou napríklad služby getmyip.org.

Zo spusteného webservera je možné stiahnuť kód tohto červa, čo je červom využité pri spustení základného exploit kódu na nových napádaných počítačoch. Tento kód oveľa menšej veľkosti ako 62 KB si po získaní kontroly stiahne kompletný kód červa práve z webservera spusteného červom na počítači, z ktorého červ útočil.

Červ si po nainštalovaní sťahuje a spúšťa aj ďalší škodlivý kód, podľa analýzy Microsoftu sa červ vyhýba infikovaniu počítačov nachádzajúcich sa na Ukrajine.

Užívateľom, ktorí nemajú inštalovanú aktualizáciu MS08-067, je odporúčané aktualizáciu čo najskôr inštalovať. Linky na stiahnutie aktualizácie pre jednotlivé verzie Windows je možné nájsť na tejto stránke.

Detailné informácie o novom červe je možné nájsť v databázach jednotlivých antivírusových spoločností napríklad tu, tu a tu.





Najnovšie články:



Diskusia:

53454 Od: 3242424 | Pridané: 2.12.2008 3:51 Povestna bezpecnost operacneho systemu Windows... Odpovedať Známka: 0.7 Hodnotiť:

Re: 53454 Od: ppppppppp | Pridané: 2.12.2008 7:08 Bola vydana aktualizacia? bola... tak u koho sa potom cerv siri? ... jj, vsak naco aktualizovat, este mi zistia ze mam nelegalny win, heeeh... Odpovedať Známka: 6.4 Hodnotiť:

Re: 53454 Od: anonym | Pridané: 2.12.2008 8:28 nj... a potom sa vsetci stazuju... jak u debilov no... Odpovedať Známka: 7.9 Hodnotiť:

Re: 53454 Od: waveeeee | Pridané: 2.12.2008 20:04 no ludia su divni... uz sa mozte niektori pokojne porovnat s cinanmi co sa znepokojuju nad znefunkcenim ukradnuteho windowsu :D Odpovedať Známka: 5.0 Hodnotiť:

Re: 53454 Od: PCnity2 | Pridané: 2.12.2008 20:37 Hej a ja mam klientov ktory su schopny pytat sa ci im mozeme poskytnut server s Win 2k3 alebo podobnym OS... LOL Windows je rakovina Odpovedať Známka: 2.0 Hodnotiť:

Re: 53454 Od: rms | Pridané: 2.12.2008 12:03 bola diera? bola a je (kvoli ludom co za to nemozu, pretoze sa nevyznaju) Odpovedať Známka: -3.3 Hodnotiť:

Re: 53454 Od reg.: TOMxEU | Pridané: 2.12.2008 19:44 Ludia, co sa nevyznaju maju aktualizacie default zapnute. Ludia co sa nevyznaju a maju kradnuty OS, maju aktualizacie vypnute, cize kvoli komu sa siri?! ;) Odpovedať Hodnotiť:

Re: 53454 Od: matw | Pridané: 3.12.2008 14:14 Poznam cloveka, co ma default vypnute aktualizacie, pretoze si mysli, ze mu to jeho panensky win xp pokazi a nebude slapat tak rychlo ako predtym. Nevraviac uz o tom, ze tipek je maniak a komp reinstaluje kazde 3 mesiace. A potom sa cuduj, coho vsetkeho su ludia schopni... Odpovedať Hodnotiť:

Re: 53454 Od reg.: Jan Kunder | Pridané: 3.12.2008 18:00 rozsiril sa skor, ako bola vydana aktualizacia! pretoze bola vydana (a zistena chyba) prilis neskoro proste takato chyba sa u OS za 7000 (krabica) a serveroveho OS od 15K vyssie nemala vyskytnut! Odpovedať Hodnotiť:

Re: 53454 Od: dannnn | Pridané: 10.12.2008 20:09 myslis ten windows, co stoji 2300 SK (verzia home) alebo 4300 SK (pro)? Odpovedať Hodnotiť:

makaci Od: zavidim | Pridané: 2.12.2008 5:54 Kua ti co tych cervov vyvijaju su ini makaci :D Odpovedať Známka: 6.7 Hodnotiť:

Re: makaci Od: Ja. | Pridané: 2.12.2008 8:44 Kurňa, ale koľko za to zarobia... A je to menej riskantné ako predávať drogy (kým ich nechytím ja, hajzlov!) Odpovedať Známka: 8.2 Hodnotiť:

tu, tu a tu Od:       | Pridané: 2.12.2008 7:44 Chlapci z dsl.sk, takto sa odkazy nepíšu. SEO a čitateľnosť textu Vám nič nehovorí??? Odkazy typu TU a NA TEJTOK STRÁNKE ma dosť vytáčajú a čo chudák google. Ak sa chcete dozvedieť niečo o písaní webu, tak si to pozrite TU a TU a TU a najlepšie je to napísane TU... Odpovedať Známka: -2.4 Hodnotiť:

Re: tu, tu a tu Od reg.: _Kozec_ | Pridané: 2.12.2008 9:24 DSL zrejme neciti potrebu zlepsovat pagerank Symantecu ;-) Odpovedať Známka: 8.2 Hodnotiť:

Re: tu, tu a tu Od reg.: piXus | Pridané: 2.12.2008 10:54 Chalan co cita dsl.sk, s tym, ze si si precital jeden clanok o SEO sa mozes chvalit na azete... Odpovedať Známka: 5.6 Hodnotiť:

Re: tu, tu a tu Od:      | Pridané: 2.12.2008 14:01 PiXus ty 0... Ako vieš, že som chalan a že som prečítal/la jeden článok o SEO? Na tvoju azetu sa môžem z vysoka vysrať a nie sa tam chodiť chváliť. Keď nemáš čo povedať k veci (botnet), tak radšej nič nepíš...   Odpovedať Známka: -2.9 Hodnotiť:

Re: tu, tu a tu Od reg.: Kveri | Pridané: 2.12.2008 14:12 ale ma pravdu, TU :D, mam dojem, ze niektori "DSL.SK redaktori" rozumeju SEO a niektori nie, pretoze su tu clanky, v ktorych nenajdete ani jedno TU a ine, v ktorych je to 50% slov :) Odpovedať Známka: 4.3 Hodnotiť:

Re: tu, tu a tu Od reg.: Čestmír =) | Pridané: 3.12.2008 11:05 TU-TU-TU-TAAA-TAAA-TAAA-TU-TU-TU Odpovedať Hodnotiť:

Re: tu, tu a tu Od reg.: Gyrxiur | Pridané: 3.12.2008 13:36 SOS? TAAA-TU-TU TU-TU-TU TU-TAAA-TU-TU TU-TU-TU TAAA-TU-TAAA TU-TAAA-TAAA-TAAA TU TU-TU-TU TU-TU-TAAA TU-TAAA-TAAA TU TU-TAAA-TU => snad som sa nesekol :D Odpovedať Hodnotiť:

Re: tu, tu a tu Od: tukan8inch | Pridané: 9.12.2008 12:59 moja milá, ked uz tu davas rozumy o SEO, tak sa nabuduce aspon podpis, nech vieme ze skym mame tu cest.... Odpovedať Hodnotiť:

ehm.. Od: karolkok | Pridané: 2.12.2008 8:15 Tuto sluzbu mam zakazanu. Odpovedať Hodnotiť:

Re: ehm.. Od reg.: TOMxEU | Pridané: 2.12.2008 19:47 Ak mas XP, mozes dodatocne pouzit aj WWDC - www.firewallleaktester.com/wwdc.htm Odpovedať Hodnotiť:

ma to aj vyhody... Od reg.: -= Aqw3R =- | Pridané: 2.12.2008 8:40 Mne sa paci toto: "Once a machine has been infected the worm will patch the exploited function via a simple code hook in order to prevent re-infecting a machine it has already compromised." Takze to vlastne funguje aj ako patch a zaplata to tu dieru ;) Nakoniec nie je az taky zly... Odpovedať Hodnotiť:

Re: ma to aj vyhody... Od: hahahaloool | Pridané: 2.12.2008 10:03 ved jasne ze nenecha otvorene dvere konkurencii :) Odpovedať Hodnotiť:

MicroSoft Od: NoPl | Pridané: 2.12.2008 10:14 A MicroSoftu stacilo prevziat zaplatanie chyby ;))) popr. Neinstaluje opravny balicek ten virus? Bolo by to pre nich najrychlejsie... Odpovedať Hodnotiť:

bezpocnost Win Od reg.: Marki555 | Pridané: 2.12.2008 10:22 No mne sa naviac paci ten super vymysel Windows Firewall, do ktoreho si kazdy virus/cerv cez registre v pohode prida svoje vlastne vynimky :) Ze UPnP je v tomto ohlade derave je zname od zaciatku - je to design flaw. Cely tento protokol bol urobeny na to, aby si aplikacie vedeli same konfigurovat router. Len sa akosi zabudlo ze okrem "dobrych" aplikacii su aj tie zle. Odpovedať Hodnotiť:

Re: bezpocnost Win Od reg.: BigLama | Pridané: 2.12.2008 11:37 Ten firewall dorazil aj mna :D Odpovedať Hodnotiť:

Re: bezpocnost Win Od reg.: TheHacker | Pridané: 2.12.2008 12:04 Hocijaky program s adminskymi pravami si moze robit, co chce. Odpovedať Hodnotiť:

Re: bezpocnost Win Od reg.: BigLama | Pridané: 2.12.2008 12:50 Preto by nikdy nemal byt uzivatel zbytocne s pravami admina, len si to vela ludi neuvedomuje. Odpovedať Hodnotiť:

Re: bezpocnost Win Od reg.: Kveri | Pridané: 2.12.2008 14:19 a prave to vista UAC riesi :D Odpovedať Hodnotiť:

akurat ze potom vacsina aplikacii nefunguje Od: ch. | Pridané: 2.12.2008 14:26 akurat ze potom vacsina beznych aplikacii nefunguje - ano ja viem, je to preto, ze su zle napisane, ale co uz ma ten obycajny pouzivatel robit? Odpovedať Hodnotiť:

Re: bezpocnost Win Od reg.: Kveri | Pridané: 2.12.2008 14:18 upnp samo o sebe nie je nebezpecne/nezabezpecene. Pokial mas privatnu LAN s nedoveryhodnymi usermi (wifi hotspot), tak si vypnes upnp, a pokial mas privatnu LAN s doveryhodnymi usermi (mama, foter, pes) tak si to povolis a ked aktualizujes pravidelne antivirak a win tak sa nie je sanca chytit cerva - tzn ani zneuzitie upnp. Ak to takto beries, tak aj dsl.sk server je zranitelny, ked fyzicky pred server postavis scriptkiddie :) Vsetko je zranitelne ked dovolis pristup z tej strany, z ktorej to nema ochranu. Odpovedať Známka: 10.0 Hodnotiť:

Re: bezpocnost Win Od reg.: ujo Ivo | Pridané: 4.12.2008 13:19 Konecne prispevok napisany s rozumom. Odpovedať Hodnotiť:

Re: bezpocnost Win Od reg.: LordWigo | Pridané: 3.12.2008 15:42 1.Jedna lidska bunka obsahuje 75 MB genetickych informaci. 2. Jedna spermie tedy 37,5 MB. 3. V jednom mililitru spermatu je 100 milionu spermii. 4. Pri ejakulaci trvajici v prumeru 5 sekund se uvolni asi 2,25 ml spermatu. 5. Vypoctem zjistime ze datova propustnost muzskeho penisu je (37,5M x 100M x 2,25) / 5 = 1687,5 Terabajtu za sekundu. 6. Ve vysledku mame ze zenske vajicko je schopno odolavat DDoS utokum o objemu vice nez 1,5 Petabajtu za vterinu a pritom propusti jen jediny datovy paket. Tim padem je to nejrobustnejsi hardwarovy firewall na svete. 7. Ale tenhle jeden paket, ktery propusti, vam shodi cely system na 9 mesicu !!! Odpovedať Hodnotiť:

Re: bezpocnost Win Od reg.: ujo Ivo | Pridané: 4.12.2008 13:16 Najprv mozek, potom pero! Kazdy Firewall je mozne ovplyvnit zapisom do registrov. Uvazuj nad tym skor ako napises takyto nezmysel. Ak niekto povoli remote registry, je to jeho problem. Nie problem okien. A ak uz niekto nema firewall na nete vobec spusteny, nad tym sa vobec netreba zamyslat. Odpovedať Hodnotiť:

ochrana Od: nekomimi_ga_suki_da | Pridané: 2.12.2008 14:29 Hm, ja som si Win aktualizoval, firewall mám tiež, ale zaujímalo by ma, ako si s takýmto problémom dokážu poradiť antivíry? Sú proti takýmto červom účinné komponenty ako anti-rootkit, anti-spyware alebo resident shield? Odpovedať Hodnotiť:

Re: ochrana Od reg.: TOMxEU | Pridané: 2.12.2008 19:49 Je to tak ako s akymkolvek novym virusom, sanca ze ho zahytia je 1:1. Odpovedať Hodnotiť:

botnet Od: uchyl | Pridané: 2.12.2008 16:03 co vam na tych botnetoch a cervoch tak vadi? :| Odpovedať Hodnotiť:

Re: botnet Od: haluznik7 | Pridané: 2.12.2008 16:56 Nastuduj si co taky zombie pocitac robi, ...a zacnu vadit aj tebe ;-) Odpovedať Hodnotiť:

ehmmm Od: Karol K | Pridané: 2.12.2008 17:08 ja som cisty, tak ma to netrapi...a kym som cisty ani nebude...chytim daco...veci mam zalohovane...format nahodim programy naspat...a idem dalej...aka veda...mam te virusy nasalame...ked som ich mal v PC 100 a ani jedešn nesiel zmazat a krasne som ich skrtol formatom...tak preco nie aj 2.x Odpovedať Hodnotiť:

botnet Od: vladosalam | Pridané: 2.12.2008 17:19 Co je to botnet ? Odpovedať Hodnotiť:

Re: botnet Od: Klávius | Pridané: 2.12.2008 23:41 Sieťový robot Odpovedať Hodnotiť:

Re: botnet Od reg.: Domapracujuci | Pridané: 3.12.2008 10:01 A co je to sietovy robot? :-) Odpovedať Hodnotiť:

Re: botnet Od reg.: Domapracujuci | Pridané: 3.12.2008 10:02 A co je to sietovy robot? :-) Odpovedať Hodnotiť:

Re: botnet Od: ten_predtym | Pridané: 3.12.2008 18:38 Nemusis to pisat dvakrat Je to program, ktorý je tajne nainštalovaný na počítači, obsahuje komunikačné a riadiace moduly a umožňuje neautorizovanému požívateľovi vzdialene tento počítač ovládať a využiť na plnenie rôznych príkazov. Odpovedať Hodnotiť:

Re: botnet Od: ten_predtym | Pridané: 3.12.2008 18:39 resp.botnet je sieť takýchto počítačov Odpovedať Hodnotiť:

WTF??? Od: 6205 | Pridané: 3.12.2008 11:13 Koho zaujimaju uhrovity luseri s kradnutymi 7 rocnymi XPckami bez potrebnych updatov? Moja Vista SP1 je zabezpecena, UAC zapnuty a heslom admina chraneny, moj bezny ucet imunny a sluzba server vypnuta :) Salam, parky.. Odpovedať Známka: -3.3 Hodnotiť:

Re: WTF??? Od: loler | Pridané: 3.12.2008 12:14 Uhrivoty looseri, lol :D +1 Odpovedať Hodnotiť:

Re: WTF??? Od: loler | Pridané: 3.12.2008 12:15 to co som tam *ebol.. uhrovití :) Odpovedať Hodnotiť:

Re: WTF??? Od: 6205 | Pridané: 3.12.2008 18:41 uhríz boty 8D Odpovedať Hodnotiť:

Re: WTF??? Od: </life> | Pridané: 12.12.2008 17:22 <sarkazmus> Máš pravdu a vďaka tomu si chránený aj pred spamom a inými útokmi... DDOS útoky z pol miliónového botnetu sú na tvoj zabezpečený server neúčinné... A takto by som mohol pokračovať </sarkazmus> Odpovedať Hodnotiť:

hahah download Od: Jablkar | Pridané: 3.12.2008 23:22 kde sa to da stiahnut? zabudli ste pridat link Odpovedať Hodnotiť:

radku Od reg.: Yuri_ | Pridané: 4.12.2008 17:16 "uhrovity luseri" - neskryvaj sa tu medzi nami Radku Huláne!:D Odpovedať Hodnotiť:

Re: radku Od: El nino | Pridané: 5.12.2008 20:27 preboha ten tu snáď neni Odpovedať Hodnotiť:

Cerv sa vyvracia Od: Cervik | Pridané: 8.12.2008 7:44 Vy tu dusujete ako ked by vas ten Mrkvosoft do niecoho nutil. Este povedzte ze vas nuti pouzivat ich OS a ze doslova a do pismena z vasich penazeniek taha tazke peniaze. Zabudli ste na jedno dolezite, nikto a nic nie je dokonale a vsetko ma aj svoje zle vlastnosti. To ze je na svete cirka 97% pocitacov s Mrkvosoftovym softwerom cini, za prve - najvacsi zaujem utocnikov pre cislo jedna system aby sa napriklad aj vzajomne siril (bezne vytvarane skodlive kody na windows su tvorene uzivatelmi MacOSX), za druhe - percentualny podiel inde beznych zlob sa tak u Mrkvosoftu v porovnani s inymi OS niekolko nasobne zvysuje a s este vacsou pravdepodobnostou vyskytuju. Mali by ste si uvedomit ze z 97% OS je v domacnostiach podiel zhruba 62% a zo 62% je az 49% nelegalnych. Odpovedať Známka: 10.0 Hodnotiť:

Cerv sa vyvracia Od: Cervik | Pridané: 8.12.2008 7:44 Cize sa jedna o najmenej zabezpecene Mrkvosoft OS s nizkou urovnou ochrany najme voci beznym skodlivym kodom. To ze mate AV neznamena ze vam zaplaty nie je potreba. Zo 49% moze mat OS skutocne zabezpeceny iba 8% skusenejsich uzivatelov konfigurujucich infrastrukturu OS viacerimi metodami. Takze ak si to zhrnieme tak skodlivy kod sirite prave vy. Kupte si licencne cislo a rozdiel pocitite hned. Ak mate nieco zadarmo tak na to usta otvarat je prinajmensiom ubohe. Odpovedať Hodnotiť:

cerv sa vracia Od: compal | Pridané: 8.12.2008 14:44 no su aj cracky na OS take ze zlegalizuju system takze sa da veselo vyuzivat aktualizacii Odpovedať Hodnotiť:

Pridať komentár