Kysymys/ongelma:

Oletko huolestunut, että Conficker-mato hyökkää huhtikuun 1. päivänä? Voit suojautua madolta vaivattomasti.

Ratkaisu:

Tekniset tiedot:

Kohde: Kaikki Windows XP:n ja Windows Vistan käyttäjät.

Conficker-mato, jota kutsutaan myös Downadupiksi ja Kidoksi, on levinnyt lukuisiin tietokoneisiin. Arvioiden mukaan jopa miljoonat tietokoneet ovat saaneet tartunnan tammikuusta alkaen. Järjestelmät, joissa on Symantec Endpoint Protection tai Symantec AntiVirus, ovat suojattuja. Nämä tuotteet tunnistavat ja poistavat madon. Suojaamattomia käyttäjiä kehotetaan lataamaan Symantec Endpoint Protection -ohjelmiston kokeiluversio. Symantec Endpoint Protection -ohjelmiston virustarkistuksen lisäksi Symantec suosittelee Network Threat Protection -toiminnon käyttöä uhan ennaltaehkäisemiseksi.

Downadup.C ja huhtikuun 1. päivä

Uhan uutta versiota käytetään erityisesti aiemmin tartunnan saaneiden tietokoneiden kykyjen vahvistamiseen. Tietokoneet, jotka ovat aiemmin saaneet W32.Downadup-tartunnan, lataavat W32.Downadup.C-version uhan vahvistamiseksi. Lisätietoja aikaisempien Downadup-versioiden toiminnasta on myöhempänä tässä asiakirjassa.

Downadup.C-version tärkeimmät ominaisuudet:

• Kasvaneet toimintamahdollisuudet hallinta-alueella. Alkuperäiset W32.Downadup(.B)-versiot tarkistavat 250 verkkotunnusta päivässä ja etsivät ohjaimelta uutta kuormaa. Uusi versio sisältää päivitetyn algoritmin, jonka avulla jokainen Downadup.C-tartunta tarkistaa 500 satunnaista verkkotunnusta päivässä 50 000 mahdollisesta satunnaisesta verkkoalueesta. Tämä tekee tietoturvayritysten suorittamasta valvonnasta vaikeaa. Se vaikeuttaa myös hyökkääjän "hyökkäysohjeiden" levittämistä Downadup.C-tartunnan saaneille tietokoneille, sillä hyökkääjä ei pysty lähettämään hyökkäyskoodia kaikille 50 000 sivustolle. Downadup.C-tartunnan saaneet tietokoneet ottavat yhteyttä sivustoihin vasta 1.4.2009.
Uusia tunnistamisen välttämiskeinoja. Uhan uusi versio etsii käynnissä olevien prosessien joukosta useita eri merkkijonoja. Jos se löytää etsimänsä jonon, se pysäyttää prosessin. Jonot ovat yksi keino pysäyttää virustorjuntaprosessit ja virheiden paikannustyökalut. Etsittäviä merkkijonoja ovat esimerkiksi "wireshark", "confick", "downad", "ms08-06" ja "kb958".

Aikaisemmat Downadup-versiot leviävät kolmella eri tavalla:

Hyökkäystapa 1: Hyökkäys Windowsin haavoittuvuutta vastaan
Downadup voi saastuttaa tietokoneen hyökkäämällä jotain Windowsin haavoittuvuutta vastaan. Microsoft ilmoitti haavoittuvuudesta lokakuussa 2008 ja julkaisi korjaustiedoston. Monet Windows-käyttäjät eivät ole kuitenkaan asentaneet korjaustiedostoa. Nämä käyttäjät ovat edelleen alttiita Downadup-hyökkäyksille. Korjaamaton tietokone voi saada Downadup-tartunnan muodostamalla yhteyden verkkoon, jossa on vähintään yksi tartunnan saanut tietokone. Tietokoneet, joihin korjaustiedosto on asennettu, ovat suojassa tältä hyökkäystavalta.

Hyökkäystapa 2: Levyn jakaminen
Yrityksissä monet jakavat tiedostoja kollegoiden kanssa jakamalla levyn Windowsin toiminnon avulla. Tällöin käyttäjä voi muodostaa suoraan yhteyden toisen käyttäjän kiintolevyyn ja kopioida tai muokata tiedostoja. Downadup käyttää hyväksi Windowsin levyjen jakamista. Kun Downadup on levinnyt yhteen yrityksen tietokoneeseen, se kopioi itsensä automaattisesti kaikkiin näkyvissä oleviin avoimiin jaettuihin levyihin yrityksen verkossa.

Hyökkäystapa 3: USB-asema
Downadup pystyy leviämään tietokoneesta toiseen myös USB-aseman avulla. Jos käyttäjän tietokone saa Downadup-tartunnan ja käyttäjä asettaa USB-aseman tietokoneeseen, Downadup kopioi itsensä automaattisesti siihen. Kun tartunnan saanut USB asetetaan toiseen tietokoneeseen, Downadup suorittaa itsensä automaattisesti ja leviää uuteen tietokoneeseen.

Suojaustiedot (Olenko suojassa?)

Kyllä, jos tietokoneessasi on Symantecin yrityksille tarkoitettu virustorjuntaohjelmisto (Symantec AntiVirus tai Symantec Endpoint Protection) tai Norton AntiVirus -tuote (Norton Internet Security, Norton AntiVirus tai Norton 360), joiden tietoturvapäivitykset on päivitetty 6.3.2009 tai myöhemmin. Seuraavat Symantecin kuvaukset esittelevät tietoturvapäivitykset, jotka suojaavat heti uhan nykyisiltä tunnetuilta versioilta:

• W32.Downadup (julkaistu: 21.11.2008)
• W32.Downadup.B (julkaistu: 20.2.2009)
• W32.Downadup.C (julkaistu: 6.3.2009)

Symantec Intrusion Protection System tarjoaa suojan seuraavilla tietoturvapäivityksillä:

• MSRPC Server Service BO
• MSRPC Server Service BO2

Muita suositeltavia suojaustoimia

• Asenna kaikki julkisesti saatavana olevat Windows-korjaustiedostot.
• Käytä Symantec Intrusion Protection System -järjestelmää ja torju yritykset hyödyntää tunnettuja haavoittuvuuksia. (MS08-067 oli uhan varhainen hyökkäystapa, jonka Intrusion Protection torjui.)
• Käytä Symantec Endpoint Protection -ohjelmiston käytäntöjen valvontaa USB-asemien käytön rajoittamiseksi ja autorun.inf-tiedostojen suorittamisen estämiseksi. Näitä hyökkäystapoja käytetään yleisesti uusien uhkien levittämiseksi.

Symantecin yksityiskohtaiset suojaustiedot

Symantecin työasemien tietoturvatuotteissa on kaksi perussuojaustasoa Downadup-tartuntaa vastaan:

• Verkkopohjainen suojaus
  Symantecin yritystuotteissa (Symantec Endpoint Protection ja Symantec Client Security) ja Norton-tuotteissa (Norton AntiVirus, Noton Internet Security ja Norton 360) käytetään Intrusion Protection System -järjestelmää eli IPS-teknologiaa. Teknologia valvoo jokaisen verkkoon liitetyn työaseman saapuvaa ja lähtevää tietoliikennettä. IPS-teknologia estää Downadup-tartuntaa pääsemästä tietokoneeseen. Se tarkistaa kaiken tietokoneeseen saapuvan verkkoliikenteen ja estää epäilyttävät lähetykset, jotka saattavat yrittää hyödyntää Microsoftin haavoittuvuutta (Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability). Symantecin IPS-suojaus estää myös Downadup-uhan yritykset kopioida itseään tietokoneesta toiseen käyttämällä avoimia jaettuja levyjä (ks. "Hyökkäystapa 2" edellä).

  
  Symantecin IPS-suojaus on tärkeä, kun uhkaa estetään pääsemästä tietokoneeseen, johon ei ole asennettu korjaustiedostoa. Huomautus: Symantec AntiVirus -tuotteet eivät sisällä IPS-teknologiaa.

• Virustorjunta
  Symantecin kaikissa työasemien tietoturvatuotteissa (Symantec Endpoint Protection, Symantec AntiVirus ja Symantec Client Security) on tietoturvapäivitykset Downadup-uhan varalta. Symantecin virusmääritykset tunnistavat Downadup-uhan erilaiset versiot automaattisesti. Vaikka uhasta ilmaantuisi uusia versioita, asiakkaat ovat suojassa ilman uusia päivityksiä.

Muita suojaustoimia:

• Itsenäinen korjaustyökalu
  Symantec tarjoaa Downadup-, Downadup.B- ja Downadup.C-uhkien poistotyökalun asiakkaille, joiden tietokoneeseen se on levinnyt.
  
• Symantec Endpoint Protection -ohjelmiston USB-suojaus
  Symantec Endpoint Protection sisältää toiminnon, jonka avulla voidaan estää USB-asemien sisältämiä ohjelmia suorittamasta itseään automaattisesti, kun USB asetetaan tietokoneeseen. Lisätietoja on seuraavissa artikkeleissa:
• How to block USB Thumb Drives and USB Hard Drives, but allow specific USB Drives in the Application and Device Control Policy in Symantec Endpoint Protection
• How to block USB flash drives while allowing other USB devices
• How to use Application and Device Control to block all USB devices except those I specifically want to allow

Symantec suosittelee

Suojaa päätelaitteesi suorittamalla Symantec Endpoint Protection, Symantec Multi-tier Protection tai Symantec AntiVirus Corporate Edition.

Voit myös keskustella ja seurata Downadup-uhan kehittymistä SymConnect-foorumeilla.

Yksityiskohtaisia blogeja Downadup-uhasta ja muista haittaohjelmista on Symantecin haittaohjelmien blogissa