Kérdés/Probléma:

Aggódik a Conficker féreg április 1-jei támadása miatt? Néhány egyszerű lépés megvédheti önt.

Megoldás:

Technikai tudnivalók:

Cél: A Windows XP és a Windows Vista minden felhasználója.

A Conficker, más néven Downadup vagy Kido féreg már nagyszámú számítógépet megfertőzött. Nehéz konkrét adatokkal szolgálni, de egyes kutatók becslése szerint január óta számítógépek millióit fertőzte meg ez a fenyegetés. A Symantec Endpoint Protection vagy Symantec AntiVirus megoldással ellátott rendszerek védelmet élveznek, mivel ezek a termékek észlelik és eltávolítják ezt a férget. A védelemmel nem rendelkező felhasználók letölthetik a Symantec Endpoint Protection alkalmazás próbaverzióját. A Symantec a Network Threat Protection használatát ajánlja a Symantec Endpoint Protection vírusvédelme mellett, hogy a fenyegetés rendszerre való letöltését proaktív módon megakadályozza.

A Downadup.C és április 1-je

A fenyegetésnek ez az új variánsa kifejezetten a korábban megfertőzött számítógépek képességeinek növelésére szolgál. A W32.Downadup-család előző variánsával megfertőzött számítógépek letöltik a W32.Downadup.C férget a meglévő fenyegetés képességeinek növelésére. A Downadup-család korábbi verzióinak működését az alábbiakban ismertetjük részletesebben.

A Downadup.C néhány fontos tulajdonsága:

• Szélesebb körű lehetőségek a parancsokat és a vezérlőtartományt illetően. A W32.Downadup(.B) eredeti variánsai naponta 250 tartományt ellenőriznek, hogy megállapítsák, van-e új payload (titkosított rootkit) a vezérlőnél. Az új variáns egy frissített algoritmust tartalmaz, amelynek segítségével minden Downadup.C fertőzés naponta 500, véletlenszerűen kiválasztott tartományt ellenőriz összesen 50 000 lehetséges tartományból. Ez megnehezíti a biztonsági cégek számára, hogy minden tartományt megfigyeljenek. Ugyanakkor vélhetőleg a támadó számára is megnehezíti, hogy további támadási utasításokat adjon a meglévő Downadup.C fertőzéseknek, mivel a támadó számára nem megvalósítható, hogy az 50 000 webhely mindegyikén elhelyezze a támadó kódot. A Downadup.C fertőzések 2009. április 1-jén kezdik felvenni a kapcsolatot ezekkel a webhelyekkel.
Új azonosítás-elhárító módszerek. A fenyegetés új variánsa tartalmaz egy listát a karaktersorozatokról, amelyekre rákeres a futó folyamatokban. Ha egyezést talál, leállítja ezeket a folyamatokat. Ezek a karaktersorok a vírusvédelem és a hibakereső eszközök leállításának egy módszerét jelentik. A keresett karaktersorok például: „wireshark”, „confick”, „downad”, „ms08-06” és „kb958”.

A Downadup korábbi verziói 3 különböző módon terjedhetnek:

1. támadási vektor: A Windows egy biztonsági résének megtámadása
A Downadup a Windows egy adott biztonsági rését támadva megfertőzheti a számítógépet. Ezt a biztonsági rést a Microsoft 2008 októberében közzétette, és kiadott hozzá egy javítócsomagot. Sok Windows felhasználó azonban még mindig nem telepítette a Microsoft ezen javítócsomagját. Minden, a javítócsomag telepítését el nem végző felhasználó ki van téve Downadup támadásának. A javítócsomaggal el nem látott számítógépeket a Downadup egyszerűen megfertőzheti, ha olyan hálózatra csatlakozik, amelyen legalább egy fertőzött számítógép található. Azon számítógépek esetében, amelyekre telepítették a Microsoft javítócsomagját, nem hatásos ez a támadási mód.

2. támadási vektor: Meghajtók megosztása
A vállalatoknál sokan osztanak meg fájlokat kollégáikkal Windows a meghajtómegosztó funkciójával. Ez lehetővé teszi a felhasználók számára, hogy közvetlenül egy másik felhasználó meghajtójához kapcsolódjanak, és ott fájlokat másoljanak vagy módosítsanak. A Downadup kihasználja a Windows meghajtómegosztását. Ha egy számítógépet megfertőzött a vállalaton belül, a Downadup automatikusan átmásolja magát a hálózaton lévő többi számítógép minden látható, nyitott meghajtójára.

3. támadási vektor: USB-meghajtók
A Downadup az USB-meghajtókon (pl. pendrive-on) át is képes egyik számítógépről a másikra terjedni. Ha egy felhasználó számítógépét megfertőzi a Downadup, és a felhasználó behelyez egy USB-kulcsot a számítógépbe, akkor a Downadup automatikusan átmásolja magát az USB-meghajtóra. Ha a fertőzött USB-meghajtót egy másik gépbe helyezik, a Downadup automatikusan elindul az USB-meghajtóról, és megfertőzi az új számítógépet.

A védelemmel kapcsolatos részletek (Védve vagyok?)

Igen, ha egy Symantec Corporate vírusvédelmi terméket (Symantec AntiVirus vagy Symantec Endpoint Protection alkalmazást) vagy egy Norton AntiVirus terméket (Norton Internet Security, Norton AntiVirus vagy Norton 360 alkalmazást) használ, és a vírusleírások 2009. március 6-ai dátumúak, és 36. változatúak vagy újabbak. Az alábbi Symantec dokumentumok ismertetik azokat az aláírásokat, amelyek azonnali védelmet jelentenek a jelenleg ismert fenyegetések ellen:

• W32.Downadup (Kiadás dátuma: 2008. november 21.)
• W32.Downadup.B (Kiadás dátuma: 2009. febr. 20.)
• W32.Downadup.C (Kiadás dátuma: 2009. március 6.)

A Symantec behatolásvédelmi rendszer az alábbi aláírásokkal megvédi a vásárlót ettől a fenyegetéstől:

• MSRPC Server Service BO
• MSRPC Server Service BO2

További ajánlott lépések

• Telepítsen minden rendelkezésre álló Windows javítócsomagot.
• Használjon egy Symantec behatolásvédelmi rendszert az ismert biztonsági rések kihasználásának megakadályozására. (Az MS08-067 a fenyegetés egy korai vektora volt, amelyet a behatolásvédelem lezárt.)
• Használja a Symantec Endpoint Protection szabályérvényesítést az USB-meghajtókhoz való hozzáférés korlátozása és az autorun.inf fájlok letiltása érdekében. Ezeket gyakran használják támadási vektorként az új fenyegetések terjesztésére.

A Symantec védelemmel kapcsolatos részletek

A Symantec kiszolgáló-biztonsági termékek két alapvető szinten védenek a Downadup ellen:

• Hálózatalapú védelem
  A Symantec Corporate termékek (Symantec Endpoint Protection és Symantec Client Security), valamint a Norton termékek (Norton AntiVirus, Norton Internet Security és Norton 360) rendelkeznek az úgynevezett behatolásvédelmi (Intrusion Protection System, IPS) technológiával. Ez a technológia megfigyelés alatt tartja az ügyfélszámítógéptől kiinduló és oda érkező hálózati forgalmat. Az IPS technológia megakadályozza, hogy a Downadup a számítógépre kerüljön, mégpedig úgy, hogy a hálózaton érkező minden adatot átvizsgál, és blokkolja a gyanús adatátvitelt, amely egy Microsoft biztonsági rést próbál kihasználni (Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability). A Symantec IPS védelem megakadályozza azt is, hogy a Downadup átmásolja magát az egyik számítógépről a másikra a nyitott meghajtómegosztások segítségével („2. támadási vektor”, fentebb).

  
  A Symantec IPS védelem meghatározó a fenyegetés megállításában, mivel megakadályozhatja, hogy a fenyegetés egyáltalán a számítógépre kerüljön, még akkor is, ha a számítógépre nem telepítették a javítócsomagot. Felhívjuk a figyelmét arra, hogy az IPS technológia nem része a Symantec AntiVirus termékvonalnak.

• Vírusvédelem
  A Symantec minden kiszolgáló-biztonsági szolgáltatása (Symantec Endpoint Protection, Symantec AntiVirus és Symantec Client Security) tartalmazza a Downadup vírusleírását. A Symantec vírusleírásai elegendően hatékonyak ahhoz, hogy a Downadup fenyegetés különböző törzseit automatikusan felismerjék. Az új törzsek megjelenésekor a vásárló védelmet élvez további frissítések nélkül is.

További védelmi intézkedések lehetnek:

• Önálló javítóeszköz
  A Symantec egy önálló eltávolító eszközt biztosít a Downadup, Downadup.B és Downadup.C fenyegetéssel megfertőzött vásárlók számára.
  
• USB-védelem a Symantec Endpoint Protection alkalmazásban
  A Symantec Endpoint Protection rendelkezik egy olyan funkcióval, amely használható annak megakadályozására, hogy az USB-kulcson lévő program automatikusan fusson az USB-kulcs számítógépbe helyezésekor. A témával kapcsolatos további információkért olvassa el a tudásbázis következő cikkeit:
• A pendrive-ok és USB-meghajtók letiltása, ugyanakkor adott USB-meghajtók engedélyezése a Symantec Endpoint Protection alkalmazás eszköz- és alkalmazás-felügyeleti eljárásaiban
• A pendrive-ok letiltása, ugyanakkor adott USB-meghajtók engedélyezése
• Az eszköz- és alkalmazás-felügyelet használata minden USB-eszköz letiltására, kivéve az általam kifejezetten engedélyezendőket

A Symantec javaslata

Futtassa a Symantec Endpoint Protection, a Symantec Multi-tier Protection vagy a Symantec AntiVirus Corporate Edition alkalmazást a felhasználói végpontoknak ezen fenyegetéssel szembeni védelme érdekében.

A Downadup féreggel kapcsolatos ötleteit és fejlesztéseit meg is oszthatja a SymConnect fórumokon.

A Downadup féreggel és egyéb kártékony programokkal kapcsolatos részletes blogokat talál a Symantec Malware Blogján