Otázka/problém:

Obáváte se, že 1. dubna přijde útok červa Conficker? Váš počítač může ochránit několik snadných kroků.

Řešení:

Technické informace:

Cílová skupina: Všichni uživatelé systému Windows XP a Windows Vista.

Červu Conficker, který je také někdy nazýván Downadup nebo Kido, se podařilo infikovat velký počet počítačů. Přesné údaje se obtížně získávají, ale někteří výzkumníci odhadují, že tato hrozba od ledna infikovala několik milionů počítačů. Systémy s nainstalovanou aplikací Symantec Endpoint Protection nebo Symantec AntiVirus jsou chráněné, protože tyty produkty uvedeného červa zjistí a odstraní. Uživatelům, kteří nemají dostatečnou ochranu, nabízíme možnost stáhnout zkušební verzi aplikace Symantec Endpoint Protection. Společnost Symantec doporučuje používat funkce síťové ochrany před hrozbami a prověřování antivirovou ochranou aplikace Symantec Endpoint Protection, které proaktivně zabraňují stažení hrozby do systému.

Downadup.C a 1. duben

Nová varianta hrozby slouží specificky k rozšíření funkcí ve dříve infikovaných počítačích. Počítače, které zůstávají infikované některou předchozí variantou ze skupiny W32.Downadup, stáhnou kopii varianty W32.Downadup.C, která rozšíří funkce existující hrozby. Další podrobnosti o fungování dřívějších verzí ze skupiny Downadup jsou uvedeny dále v tomto dokumentu.

Některé důležité funkce verze Downadup.C:

• Rozšířené možnosti řídicích domén. Původní varianty červa W32.Downadup(.B) kontrolují každý den 250 domén, zda obsahují nějaká nová data z řídicího serveru. Nová varianta nyní obsahuje aktualizovaný algoritmus, pomocí kterého bude každý kód Downadup.C kontrolovat denně 500 náhodných domén z celkového počtu 50 000 možných náhodných domén. Sledování všech domén je tak pro společnosti, které se zabývají zabezpečením, obtížnější. Současně se tím také pravděpodobně útočníkovi ztíží distribuce dalších pokynů k útokům existujícím červům Downadup.C, protože pro něj nebude reálně proveditelné, aby přenesl kód útoku do všech 50 000 webových serverů. Červi Downadup.C začnou kontaktovat tyto webové servery až 1. dubna 2009.
Nová opatření pro ztížení zjištění. Nová varianta hrozby obsahuje seznam řetězců, které hledá ve spuštěných procesech. Procesy, ve kterých najde shodu, ukončuje. Tyto řetězce představují metodu ukončování antivirových procesů a nástrojů pro ladění. Červ vyhledává například řetězce „wireshark“, „confick“, „downad“, „ms08-06“ a „kb958“.

Předchozí verze červa Downadup se mohou šířit třemi různými způsoby:

Metoda útoku č. 1: Útok na zranitelné místo systému Windows
Červ Downadup může infikovat počítač prostřednictvím útoku na konkrétní zranitelné místo systému Windows. Toto zranitelné místo ohlásila společnost Microsoft v říjnu 2008 a v tu dobu také vydala opravu pro zranitelné místo. Mnoho uživatelů systému Windows však tuto opravu společnosti Microsoft dosud nenainstalovalo. Všechny počítače, které nemají opravu nainstalovanou, mohou být napadeny červem Downadup. K infikování červem Downadup u počítače bez nainstalované opravy stačí, aby se připojil k síti, ve které je alespoň jeden infikovaný počítač. Touto konkrétní metodou není zranitelný počítač s nainstalovanou opravou společnosti Microsoft.

Metoda útoku č. 2: Sdílení disků
V organizacích sdílí mnoho lidí soubory s kolegy tak, že v systému Windows zapnou funkci „sdílení jednotky“. Pomocí této funkce se může uživatel připojit přímo k pevnému disku jiného uživatele a kopírovat nebo upravovat soubory. Červ Downadup zneužívá sdílené jednotky v systému Windows. Jakmile Downadup infikuje nějaký počítač v organizaci, automaticky se zkopíruje na všechny viditelné volně přístupné sdílené disky v dalších počítačích v podnikové síti.

Metoda útoku č. 3: Jednotky USB
Červ Downadup se může šířit mezi počítači také prostřednictvím jednotek USB (např. USB flash disků). Pokud je počítač uživatele infikovaný červem Downadup a uživatel do počítače vloží klíčenku USB, Downadup se na jednotku USB automaticky zkopíruje. Po vložení infikované jednotky USB do jiného počítače se Downadup z jednotky USB automaticky spustí a počítač infikuje.

Podrobnosti o ochraně (Je můj počítač chráněný?)

Ano, pokud máte spuštěný podnikový antivirový produkt Symantec (Symantec AntiVirus nebo Symantec Endpoint Protection) nebo antivirový produkt Norton (Norton Internet Security, Norton AntiVirus nebo Norton 360) s definicemi z data 6. března 2009 revize 36 nebo novějšími. Následující zprávy společnosti Symantec popisují signatury, které poskytují okamžitou ochranu před současnými známými variantami:

• W32.Downadup (Vydáno: 21. listopadu 2008)
• W32.Downadup.B (Vydáno: 20. února 2009)
• W32.Downadup.C (Vydáno: 6. března 2009)

Systém ochrany před narušením Symantec chrání zákazníky před touto hrozbou pomocí následujících signatur:

• MSRPC Server Service BO
• MSRPC Server Service BO2

Další doporučená opatření

• Nainstalujte všechny veřejně dostupné opravy systému Windows.
• Používejte systém ochrany před narušením Symantec pro blokování pokusů o zneužití známých zranitelných míst. (Tato hrozba využívala v počátcích jako metodu útoku zranitelné místo MS08-067, které prevence narušení blokuje.)
• Pomocí prosazování zásad v aplikaci Symantec Endpoint Protection omezte přístup k jednotkám USB a zakažte soubory autorun.inf. Běžně se používají jako prostředek útoku při šíření nových hrozeb.

Podrobné poznámky k ochraně Symantec

Produkty pro zabezpečení klientů Symantec mají dvě základní úrovně ochrany před červem Downadup:

• Síťová ochrana
  Podnikové produkty Symantec (Symantec Endpoint Protection a Symantec Client Security) a produkty Norton (Norton AntiVirus, Norton Internet Security a Norton 360) obsahují „systém ochrany před narušením" neboli technologii „IPS“. Tato technologie sleduje síťový provoz vycházející z každého klientského počítače a vstupující do každého klientského počítače. Technologie IPS znemožňuje červu Downadup proniknutí do počítače v prvé řadě tím, že prověřuje všechna síťová data přicházející do počítače a blokuje podezřelé přenosy, které se mohou pokusit zneužít zranitelné místo v systému Microsoft (Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability). Ochrana Symantec IPS zablokuje také pokusy červa Downadup zkopírovat se z jednoho počítače do jiného prostřednictvím volně přístupných sdílených jednotek („Metoda útoku č. 2“ výše).

  
  Ochrana Symantec IPS je důležitou součástí úsilí o zablokování této hrozby, protože je schopná zabránit proniknutí hrozby do počítače, dokonce i když počítač nemá nainstalovanou příslušnou opravu. Technologie IPS však není součástí produktové řady Symantec AntiVirus.

• Antivirová ochrana
  Všechny produkty pro zabezpečení klientů společnosti Symantec (Symantec Endpoint Protection, Symantec AntiVirus a Symantec Client Security) obsahují antivirové signatury pro červa Downadup. Antivirové signatury Symantec jsou schopné automaticky zjistit více různých druhů hrozby Downadup. Při uvolnění nového druhu hrozby jsou zákazníci chráněni i bez další aktualizace.

Další ochranná opatření:

• Samostatný opravný nástroj
  Společnost Symantec poskytuje samostatný nástroj pro odstranění hrozby Downadup, Downadup.B a Downadup.C jako pomoc zákazníkům, jejichž počítače jsou infikované touto hrozbou.
  
• Ochrana jednotek USB v aplikaci Symantec Endpoint Protection
  Aplikace Symantec Endpoint Protection obsahuje funkci, pomocí které je možné zabránit automatickému spuštění jakéhokoli programu na klíčence USB při vložení klíčenky do počítače. Další informace jsou k dispozici v databázi znalostí v následujících článcích na téma:
• Jak blokovat USB flash disky a pevné disky USB, ale povolit konkrétní jednotky USB v zásadách kontroly aplikací a zařízení v aplikaci Symantec Endpoint Protection
• Jak blokovat USB flash disky a současně povolit jiná zařízení USB
• Jak použít kontrolu aplikací a zařízení k blokování všech zařízení USB s výjimkou těch, která mají být specificky povolena

Společnost Symantec doporučuje

Používejte aplikaci Symantec Endpoint Protection, Symantec Multi-tier Protection nebo Symantec AntiVirus Corporate Edition k ochraně firemních koncových bodů před touto hrozbou.

Náměty a poznatky týkající se hrozby Downadup si můžete vyměňovat ve fórech SymConnect.

Podrobné blogy na téma hrozby Downadup a jiných nebezpečných programů naleznete na webových stránkách společnosti Symantec Malware Blog