Vraag/probleem:

Maakt u zich zorgen over de aanval van de Conficker-worm op 1 april? U kunt zichzelf met een paar simpele stappen beschermen.

Oplossing:

Technische informatie:

Doelwit: Alle gebruikers van Windows XP en Windows Vista.

De Conficker-worm (ook wel Downadup of Kido genoemd) is erin geslaagd om een groot aantal computers te infecteren. Specifieke informatie hierover is moeilijk te verkrijgen, maar sommige onderzoekers schatten dat sinds januari al miljoenen computers hiermee zijn geïnfecteerd. Systemen met Symantec Endpoint Protection of Symantec AntiVirus zijn beschermd, aangezien deze producten deze worm detecteren en verwijderen. Gebruikers die geen bescherming hebben, worden uitgenodigd een evaluatieversie van Symantec Endpoint Protection te downloaden. Symantec raadt aan Network Threat Protection te gebruiken samen met het scannen op virussen in Symantec Endpoint Protection om proactief te voorkomen dat de bedreiging op een systeem wordt gedownload.

Downadup.C en April 1st

Deze nieuwe variant van de bedreiging wordt gebruikt om de mogelijkheden van eerder geïnfecteerde computers te vergroten. Op computers die met een eerdere variant uit de W32.Downadup-reeks geïnfecteerd zijn, wordt een kopie van W32.Downadup gedownload om de mogelijkheden van de bestaande bedreiging te vergroten. Meer details over de werking van eerdere versies van de Downadup-serie vindt u hieronder in dit document.

Enkele opvallende kenmerken van Downadup.C:

• Meer mogelijkheden op het gebied van opdrachten en domeincontrole. De oorspronkelijke varianten van W32.Downadup(.B) controleren 250 domeinen per dag op nieuwe schadelijke lading uit de controller. De nieuwe variant bevat nu een bijgewerkt algoritme dat ervoor zorgt dat elke Downadup.C-infectie per dag 500 willekeurige domeinen uit een totaal van 50.000 mogelijke willekeurige domeinen controleert. Hierdoor wordt het moeilijker voor beveiligingsbedrijven om alle domeinen in de gaten te houden. Tegelijkertijd zal het voor de aanvaller waarschijnlijk moeilijker worden om verdere 'aanvalsinstructies' aan bestaande Downadup.C-infecties te verspreiden, aangezien het voor de aanvaller niet praktisch zal zijn om aanvalscodes op alle 50.000 sites te plaatsen. Downadup.C-infecties nemen sinds 1 april 2009 contact met deze websites op.
Introduceert nieuwe antidetectiemaatregelen. De nieuwe variant van de bedreiging omvat een lijst van letterreeksen waarnaar het in draaiende processen zoekt. Als een overeenkomst wordt gevonden, worden deze processen stilgelegd. De letterreeksen zijn een manier om antivirusprocessen en tools voor foutcorrectie stop te zetten. Voorbeelden van letterreeksen waarnaar de worm zoekt zijn "wireshark", "confick", "downad", "ms08-06" en "kb958".

De vorige versies van Downadup kunnen op 3 manieren worden verspreid:

Aanvalsvector 1: aanval op een beveiligingsgat in Windows
Downadup kan een computer infecteren door een bepaald beveiligingsgat in Windows aan te vallen. Dit beveiligingsgat is in oktober 2008 door Microsoft aangekondigd en Microsoft heeft op dat moment een patch voor het beveiligingsgat verstrekt. Veel gebruikers van Windows hebben deze patch van Microsoft echter nog steeds niet geïnstalleerd. Al deze gebruikers staan bloot aan een aanval van Downadup. Een computer zonder patch kan met Downadup geïnfecteerd raken door simpelweg verbinding te maken met een netwerk waarin maar één geïnfecteerde computer aanwezig is. Computers waarop de patch van Microsoft wel is geïnstalleerd, zijn niet ontvankelijk voor deze aanvalsmethode.

Aanvalsvector 2: Drive sharing
In bedrijven delen veel mensen hun bestanden met hun collega's door de functie 'drive sharing' in Windows in te schakelen. Hierdoor kan een gebruiker direct met de harddisk van een andere computer verbinding maken om bestanden te kopiëren of te bewerken. Downadup maakt misbruik van gedeelde stations in Windows. Wanneer Downadup eenmaal een computer in een bedrijf heeft geïnfecteerd, kopieert het zichzelf automatisch naar alle zichtbare open gedeelde stations op andere computers op het bedrijfsnetwerk.

Aanvalsvector 3: USB-stations
Downadup kan zichzelf ook van de ene naar de andere computer verspreiden via USB-stations. Als de computer van een gebruiker geïnfecteerd raakt met Downadup en de gebruiker een USB-stick in de computer steekt, kopieert Downadup zichzelf automatisch op het USB-station. Wanneer de geïnfecteerde USB-stick in een andere computer wordt gestoken, wordt Downadup automatisch vanaf de USB-stick uitgevoerd en wordt de andere computer geïnfecteerd.

Informatie over bescherming (Ben ik beschermd?)

Ja, als u een antivirusproduct van Symantec gebruikt (Symantec AntiVirus of Symantec Endpoint Protection) of een Norton AntiVirus-product (Norton Internet Security, Norton AntiVirus of Norton 360) met definities gedateerd 6 maart 2009 revisie 36 of later. In de volgende verslagen van Symantec worden de signaturen beschreven die onmiddellijke bescherming bieden tegen de nu bekende varianten:

• W32.Downadup (Uitgegeven: 21 november 2008)
• W32.Downadup.B (Uitgegeven: 20 februari 2009
• W32.Downadup.C (Uitgegeven: 6 maart 2009)

Symantec Intrusion Protection System beschermt klanten tegen deze bedreiging met gebruikmaking van de volgende signaturen

• MSRPC Server Service BO
• MSRPC Server Service BO2

Aanvullende aanbevolen maatregelen

• Installeer alle Windows-patches die verkrijgbaar zijn.
• Gebruik een Symantec Intrusion Protection System voor het blokkeren van pogingen om van bekende beveiligingsgaten misbruik te maken. (MS08-067 was een vroege aanvalsvector voor deze bedreiging. Deze wordt door Intrusion Protection geblokkeerd.)
• Creëer een beleidsregel in Symantec Endpoint Protection die de toegang tot USB-stations aan banden legt en autorun.inf-bestanden uitschakelt. Deze worden vaak als aanvalsvectoren gebruikt voor de verspreiding van nieuwe bedreigingen.

Gedetailleerde informatie over bescherming van Symantec

De producten van Symantec voor clientbeveiliging hebben twee basisniveaus van bescherming tegen Downadup:

• Bescherming in een netwerk
  Symantec Corporate-producten (Symantec Endpoint Protection en Symantec Client Security) en Norton-producten (Norton AntiVirus, Norton Internet Security en Norton 360) zijn voorzien van wat een 'Intrusion Protection System' of 'IPS'-technologie wordt genoemd. Deze technologie bewaakt het netwerkverkeer van en naar elke clientcomputer. De IPS-technologie voorkomt dat Downadup op een computer kan komen door al het netwerkverkeer dat bij de computer aankomt, te scannen en verdachte transmissies te blokkeren die mogelijk van het beveiligingsgat in Windows gebruik willen maken (Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability). De Symantec IPS-bescherming zal ook pogingen van Downadup tegenhouden om zichzelf van de ene computer naar de andere te kopiëren via gedeelde stations (aanvalsvector 2 hierboven).

  
  Symantec IPS-bescherming speelt een kritieke rol bij de pogingen om deze bedreiging stop te zetten, omdat het kan voorkomen dat de bedreiging ooit op de computer kan komen, zelfs als de computer niet gepatched is. De Symantec AntiVirus-productlijn is niet voorzien van deze IPS-technologie.

• Antivirusbeveiliging
  Alle producten van Symantec voor clientbeveiliging (Symantec Endpoint Protection, Symantec AntiVirus en Symantec Client Security) bevatten antivirushandtekeningen voor Downadup. De antivirushandtekeningen van Symantec zijn krachtig genoeg om automatisch verschillende varianten van Downadup te herkennen. Wanneer nieuwe varianten verschijnen, zijn klanten ook zonder verdere updates beschermd.

Aanvullende beschermingsmaatregelen zijn:

• Afzonderlijke reparatietool
  Symantec heeft een afzonderlijke verwijderingstool voor Downadup, Downadup.B en Downadup.C om klanten te helpen die met deze bedreiging geïnfecteerd zijn.
  
• USB-bescherming in Symantec Endpoint Protection
  Symantec Endpoint Protection bevat functionaliteiten die kunnen worden gebruikt om te voorkomen dat een programma op een USB-stick automatisch wordt uitgevoerd wanneer de USB-stick in de computer wordt gestoken. Lees de volgende artikelen in de knowledgebase voor meer informatie over dit onderwerp:
• How to block USB Thumb Drives and USB Hard Drives, but allow specific USB Drives in the Application and Device Control Policy in Symantec Endpoint Protection
• How to block USB flash drives while allowing other USB devices
• How to use Application and Device Control to block all USB devices except those I specifically want to allow

Symantec raadt aan

Voer Symantec Endpoint Protection, Symantec Multi-tier Protection of Symantec AntiVirus Corporate Edition uit om uw eindpunten tegen deze bedreiging te beschermen.

U kunt ook ideeën en ontwikkelingen over Downadup uitwisselen in de SymConnect Forums.

Gedetailleerde blogs over Downadup en andere schadelijke programma's zijn te vinden in Symantecs Malware Blog