Spørgsmål/problem:

Er du bekymret for angreb fra Conficker-ormen den 1. april? Nogle få og enkle trin kan beskytte dig.

Løsning:

Tekniske oplysninger:

Målgruppe: Alle brugere af Windows XP og Windows Vista.

Conficker-ormen, der også kaldes Downadup eller Kido, har inficeret et stort antal computere. Det er svært at fastslå det præcise antal, men nogle forskere mener, at der siden januar er inficeret millioner af computere med denne trussel. Systemer med Symantec Endpoint Protection eller Symantec AntiVirus er beskyttede, da de produkter opdager og fjerner denne orm. Brugere, der ikke har den beskyttelse, kan downloade en prøveversion af Symantec Endpoint Protection. Symantec anbefaler, at man bruger Network Threat Protection sammen med antivirusscanning i Symantec Endpoint Protection for proaktivt at forhindre, at truslen bliver downloadet på et system.

Downadup.C og 1. april

Denne nye variant af truslen har til formål at øge virussens formåen på allerede inficerede maskiner. Computere, der stadig er inficeret med den tidligere version af W32.Downadup-familien, vil downloade en kopi af W32.Downadup.C, som øger den eksisterende trussels formåen. Yderligere oplysninger om, hvordan tidligere versioner af Downadup-familien fungerer, er beskrevet nedenfor i dette dokument.

Særlige funktioner i Downadup.C:

• Øgede muligheder for kommando- og domænekontrol. De oprindelige varianter af W32.Downadup(.B) kontrollerer 250 domæner om dagen for nye overførsler fra kontrolenheden. Den nye variant indeholder en opdateret algoritme, hvor hver maskine, der er inficeret med Downadup.C, vil kontrollere 500 tilfældige domæner pr. dag ud af i alt 50.000 mulige, tilfældige domæner. Det gør det vanskeligere for sikkerhedsfirmaer at overvåge alle domænerne. Samtidig vil det sandsynligvis gøre det vanskeligere for angriberne at distribuere yderligere angreb til de maskiner, der allerede er inficeret med Downadup.C, fordi det ikke er praktisk muligt for angriberen at lægge angrebskode ud på alle 50.000 websteder. Maskiner, der er inficeret med Downadup.C, begyndte først at kontakte disse websteder den 1. april 2009.
Lancering af nye foranstaltninger for at forhindre opdagelse.Den nye variant af truslen indeholder en liste med strenge, som den søger efter i igangværende processer. Den slår disse processer ihjel, hvis den finder et match. Strengene er en måde at stoppe antivirus-processer og debugging-værktøjer på. Eksempler på strenge, den vil søge efter, er "wireshark," "confick," "downad," "ms08-06" og "kb958."

De tidligere versioner af Donwadup kan spredes sig på tre forskellige måder:

Angrebstype #1: Angreb via et sikkerhedshul i Windows
Downadup kan inficere en computer via et bestemt sikkerhedshul i Windows. Dette sikkerhedshul offentliggjorde Microsoft i oktober 2008, hvor firmaet også udsendte en patch, der lukkede hullet. Mange Windows-brugere har imidlertid endnu ikke installeret denne patch fra Microsoft. Alle, der ikke har lukket sikkerhedshullet, er sårbare over for angreb fra Downadup. En computer uden denne patch kan blive inficeret med Downadup bare ved at blive koblet til et netværk, der indeholder mindst én inficeret maskine. Alle maskiner, der er udstyret med pacthen fra Microsoft, er ikke modtagelige for denne form for angreb.

Angrebstype #2: Deling af drev
I virksomheder deler mange brugere filer med deres kolleger ved at aktivere funktionen drevdeling i Windows. Denne funktion giver brugere mulighed for at koble sig direkte på en anden brugers harddisk for at kopiere eller redigere filer. Downadup udnytter disse delte drev i Windows. Når den har inficeret en computer i en virksomhed, vil Downadup automatisk kopiere sig selv over på alle synlige, delte drev på andre computere inden for virksomhedens netværk.

Angrebstype #3: USB-drev
Downadup kan også spredes fra den ene computer til den anden via USB-drev (fx USB-nøgler). Hvis en brugers computer bliver inficeret med Downadup, og brugeren så sætter en USB-nøgle i computeren, vil Downadup automatisk kopiere sig selv over på USB-nøglen. Når den inficerede USB-nøgle sættes i en anden maskine, vil Downadup automatisk inficere den nye computer.

Oplysninger om beskyttelse (Er jeg beskyttet?)

Ja, hvis du enten bruger et antivirusprodukt fra Symantec Corporate (Symantec AntiVirus eller Symantec Endpoint Protection) eller et Norton-AntiVirusprodukt (Norton Internet Security, Norton AntiVirus eller Norton 360) med definitioner fra 6. marts 2009 version 36 eller nyere. I de følgende beskrivelser fra Symantec kan du læse om de signaturer, der sikrer øjeblikkelig beskyttelse mod de varianter, der kendes på nuværende tidspunkt:

• W32.Downadup (Offentliggjort: 21. november 2008)
• W32.Downadup.B (Offentliggjort: 20. februar 2009)
• W32.Downadup.C (Offentliggjort: 6. marts 2009)

Symantec Intrusion Protection System beskytter kunder mod denne trussel ved hjælp af følgende signaturer:

• MSRPC Server Service BO
• MSRPC Server Service BO2

Andre anbefalede forholdsregler

• Installér alle offentligt tilgængelige Windows-patches.
• Brug et Symantec Intrusion Protection System for at blokere forsøg på at udnytte kendte sikkerhedshuller. (MS08-067 var en forløber for denne trussel, som blokeres af Intrusion Protection.)
• Brug Symantec Endpoint Protections overholdelse af politikker for at begrænse adgang til USB-drev og slå autorun.inf-filer fra. De bruges ofte til at sprede af nye trusler.

Nærmere oplysninger om beskyttelse fra Symantec

Symantecs produkter til beskyttelse af klienter indeholder to grundlæggende beskyttelsesniveauer mod Downadup:

• Netværksbaseret beskyttelse
  Symantecs produkter til virksomheder (Symantec Endpoint Protection og Symantec Client Security) og Nortons produkter (Norton AntiVirus, Norton Internet Security og Norton 360) indeholder "Intrusion Protection System" eller "IPS"-teknologi. Denne teknologi overvåger netværkstrafik til og fra hver klient. IPS-teknologien forhindrer Downadup i overhovedet at komme ind på en computer ved at scanne alle data, der kommer ind på computeren fra netværket og blokerer mistænkelige overførsler, som kan forsøge at udnytte sikkerhedshuller i Microsofts produkter (Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability). Symantec IPS-beskyttelse vil også forhindre, at Downadup kopierer sig selv fra den ene computer til den anden via delte drev ("Angrebstype #2," ovenfor).

  
  Symantecs IPS-beskyttelse udmærker sig i forbindelse med blokering af denne trussel ved at kunne forhindre truslen i overhovedet at komme ind på computeren, selvom computeren ikke er blevet opdateret med patches. Bemærk, at IPS-teknologien ikke er inkluderet i Symantecs AntiVirus-produkter.

• Antivirusbeskyttelse
  Alle Symantecs løsninger til klientsikkerhed (Symantec Endpoint Protection, Symantec AntiVirus og Symantec Client Security) indeholder antivirus-signaturer for Downadup. Symantecs antivirus-signaturer er så effektive, at de automatisk opdager de forskellige varianter af Downadup. Når nye varianter udsendes, vil kunderne være beskyttede selv uden yderligere opdateringer.

Yderligere beskyttelsesforholdsregler inkluderer:

• Stand-alone Fix Tool
  Symantec tilbyder et selvstændigt værktøj til fjernelse af Downadup, Downadup.B og Downadup.C, for at hjælpe kunder, der er inficeret med denne trussel.
  
• USB-beskyttelse i Symantec Endpoint Protection
  Symantec Endpoint Protection indeholder funktioner, der kan bruges til at forhindre ethvert program på en USB-nøgle i at køre automatisk, når USB-nøglen sættes i en computer. For yderligere oplysninger kan du læse følgende artikler om emnet i vidensdatabasen (på engelsk):
• How to block USB Thumb Drives and USB Hard Drives, but allow specific USB Drives in the Application and Device Control Policy in Symantec Endpoint Protection
• How to block USB flash drives while allowing other USB devices
• How to use Application and Device Control to block all USB devices except those I specifically want to allow

Symantec anbefaler

Kør Symantec Endpoint Protection, Symantec Multi-tier Protection eller Symantec AntiVirus Corporate Edition for at beskytte dine endpoints mod denne trussel.

Du kan også udveksle ideer m.v. om Downadup i voresSymConnect-diskussionsgrupper.

Du kan finde detailerede blogs om Downadup og andre skadelige programmer på Symantecs Malware Blog