Spørsmål/problem:

Bekymret for at Conficker-ormen slår til den 1. april? Du kan beskytte deg med noen få enkle grep.

Løsning:

Teknisk informasjon:

Målgruppe: Alle brukere av Windows XP og Windows Vista.

Conficker-ormen, også kalt Downadup og Kido, har infisert en mengde datamaskiner. Det er vanskelig å finne gode anslag, men noen mener at flere millioner maskiner er blitt infisert av denne ormen siden januar. Systemer med Symantec Endpoint Protection eller Symantec AntiVirus er beskyttet, siden disse produktene oppdager og fjerner ormen. Brukere som ikke er beskyttet, kan laste ned en prøveversjon av Symantec Endpoint Protection. Symantec anbefaler bruk av Network Threat Protection i tillegg til virussøket i Symantec Endpoint Protection for proaktivt å hindre trusselen i å bli lastet ned til et system.

Downadup.C og 1. april

Denne nye varianten av trusselen brukes til å forbedre egenskapene til ormen på maskiner som er blitt infisert tidligere. Datamaskiner som fortsatt er infisert med en tidligere variant av W32.Downadup-familien, laster ned en kopi av W32.Downadup.C for å forbedre egenskapene til den allerede eksisterende trusselen. Du finner mer informasjon om hvordan de tidligere versjonene i Downadup-familien fungerer nedenfor.

Noen av de viktigste funksjonene til Downadup.C:

• Økte muligheter for å styre og kontrollere domener. De opprinnelige variantene av W32.Downadup(.B) kontrollerte 250 domener om dagen for ny, nyttig informasjon fra kontrolleren. Den nye varianten inneholder nå en oppdatert algoritme der hver Downadup.C-infeksjon kontrollerer 500 av 50 000 mulige vilkårlige domener om dagen. Det gjør det vanskeligere for sikkerhetsselskapene å overvåke alle domenene. Samtidig blir det antakelig vanskeligere for angriperen å distribuere ytterligere "angrepsinstrukser" til eksisterende infeksjoner av Downadup.C, siden det ikke er praktisk å sende angrepskode til alle de 50 000 domenene. Downadup.C-infeksjoner begynner ikke å kontakte disse webområdene før 1. april 2009.
Innfører nye metoder for anti-oppdagelse. Den nye varianten av trusselen inneholder en liste med strenger som den søker etter i kjørende prosesser. Ormen terminerer disse prosessene hvis den finner et treff. Strengene er en måte å stoppe antivirusprosesser og feilsøkingsverktøy på. Eksempler på strenger som den søker etter, er "wireshark," "confick," "downad," "ms08-06" og "kb958."

De tidligere versjonene av Downadup kunne spre seg på 3 forskjellige måter:

Angrepsstrategi 1: Angrep på en sårbarhet i Windows
Downadup kan infisere en datamaskin ved å angripe en bestemt sårbarhet i Windows. Denne sårbarheten ble gjort kjent av Microsoft i oktober 2008, og MS sendte ut en oppdatering for å rette opp sårbarheten på dette tidspunktet. Mange Windows-brukere har imidlertid fortsatt ikke installert denne oppdateringen fra Microsoft. Alle brukere som ikke har installert oppdateringen, er sårbare for angrep fra Downadup. En datamaskin som ikke er oppdatert, kan bli infisert med Downadup ved ganske enkelt å kobles til et nettverk som har minst én infisert maskin. Maskiner som har installert oppdateringen fra Microsoft, kan ikke angripes ved hjelp av denne metoden.

Angrepsstrategi 2: Stasjonsdeling
I bedrifter er det mange som deler filer med kollegaene ved å slå på stasjonsdelingsfunksjonen i Windows. Med denne funksjonen kan brukeren koble seg direkte til en annen harddisk for å kopiere eller redigere filer. Downadup utnytter stasjonsdeling i Windows. Når den har infisert en datamaskin inne i en bedrift, kopierer Downadup automatisk seg selv til alle synlige delte stasjoner på andre maskiner innenfor bedriftens nettverk.

Angrepsstrategi 3: USB-stasjoner
Downadup kan også spre seg fra en datamaskin til en annen via USB-stasjoner (f.eks. minnepinner). Hvis en brukers datamaskin blir infisert med Downadup og brukeren setter en USB-pinne inn i maskinen, kopierer Downadup automatisk seg selv til USB-stasjonen. Når den infiserte USB-stasjonen settes inn i en annen maskin, kjøres Downadup automatisk fra USB-stasjonen og infiserer den nye datamaskinen.

Beskyttelsesdetaljer (er jeg beskyttet?)

Ja, hvis du kjører enten et Symantec Corporate-antivirusprodukt (Symantec AntiVirus eller Symantec Endpoint Protection) eller et Norton AntiVirus-produkt (Norton Internet Security, Norton AntiVirus eller Norton 360) med definisjoner som er datert 6. mars 2009 revisjon 36 eller senere. Disse Symantec-rapportene beskriver signaturene som gir umiddelbar beskyttelse mot de variantene som nå er kjent:

• W32.Downadup (Utgitt: 21. nov. 2008)
• W32.Downadup.B (Utgitt: 20. feb. 2009)
• W32.Downadup.C (Utgitt: 6. mars 2009)

Symantec Intrusion Protection System beskytter kunder mot denne trusselen med disse signaturene:

• MSRPC Server Service BO
• MSRPC Server Service BO2

Anbefalte tilleggstiltak

• Installer alle Windows-oppdateringer som er offentlig tilgjengelige.
• Bruk et Symantec Intrusion Protection System til å blokkere forsøk på å utnytte kjente sårbarheter. (MS08-067 var en tidlig angrepsstrategi for denne trusselen som ble blokkert av Intrusion Protection.)
• Bruk Symantec Endpoint Protection policyregler til å begrense tilgangen til USB-stasjoner, og deaktivere autorun.inf-filer. Slike filer brukes ofte som angrepsstrategier til å spre nye trusler.

Detaljerte Symantec Protection-merknader

Symantec Client Security-produkter har to hovedbeskyttelsesnivåer for Downadup:

• Nettverksbasert beskyttelse
  Symantec Corporate-produktene (Symantec Endpoint Protection og Symantec Client Security) og Norton-produktene (Norton AntiVirus, Norton Internet Security og Norton 360) har noe som kalles "Intrusion Protection System" eller "IPS"-teknologi. Denne teknologien overvåker nettverkstrafikken som går til og fra hver klientmaskin. IPS-teknologien hindrer Downadup i å komme seg inn på datamaskinen i utgangspunktet ved å gjennomsøke alle nettverksdata som kommer inn til datamaskinen, og blokkere mistenkelige overføringer som kanskje kan prøve å utnytte Microsoft-sårbarheten (Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability). Symantecs IPS-beskyttelse stopper også Downadups forsøk på å kopiere seg selv fra en datamaskin til den neste ved hjelp av åpne stasjonsdelinger ("Angrepsstrategi 2" ovenfor).

  
  Symantecs IPS-beskyttelse er en viktig faktor i å stoppe denne trusselen fra å komme seg inn i datamaskinen i utgangspunktet, selv om maskinen ikke er oppdatert. Merk at IPS-teknologien ikke følger med i Symantec AntiVirus-produktene.

• Antivirusbeskyttelse
  Alle Symantecs klientsikkerhetsprodukter (Symantec Endpoint Protection, Symantec AntiVirus og Symantec Client Security) har antivirussignaturer for Downadup. Antivirussignaturene fra Symantec er kraftige nok til å oppdage flere forskjellige avarter av Downadup automatisk. Hvis det kommer nye avarter, beskyttes kundene også uten ytterligere oppdateringer.

De ekstra beskyttelsestiltakene omfatter:

• Selvstendig reparasjonsverktøy
  Symantec tilbyr et selvstendig fjerningsverktøy for Downadup, Downadup.B og Downadup.C for kunder som er infisert med denne trusselen.
  
• USB-beskyttelse i Symantec Endpoint Protection
  Symantec Endpoint Protection har funksjoner som kan brukes til å hindre alle programmer på en USB-stasjon i å kjøres automatisk, når stasjonen settes inn i datamaskinen. Les følgende kunnskapsbaseartikler om emnet hvis du ønsker mer informasjon:
• How to block USB Thumb Drives and USB Hard Drives, but allow specific USB Drives in the Application and Device Control Policy in Symantec Endpoint Protection
• How to block USB flash drives while allowing other USB devices
• How to use Application and Device Control to block all USB devices except those I specifically want to allow

Symantec anbefaler

Kjør Symantec Endpoint Protection, Symantec Multi-tier Protection eller Symantec AntiVirus Corporate Edition for å beskytte dine endepunkter mot denne trusselen.

Du kan også utveksle ideer og nyheter om Downadup i SymConnect-forumene.

Du finner detaljerte blogger om Downadup og andre skadelige programmer på Symantecs blogg om skadelige programmer