Pytanie/problem:

Zastanawiasz się, jak uniknąć ataku robaka Conficker 1 kwietnia? Wystarczy kilka prostych czynności, aby się zabezpieczyć.

Rozwiązanie:

Informacje techniczne:

Grupa docelowa:wszyscy użytkownicy systemów Windows XP i Windows Vista.

Robak Conficker, zwany również Downadup lub Kido, zainfekował dużą liczbę komputerów. Trudno uzyskać szczegółowe dane, ale według szacunków niektórych badaczy od stycznia zaatakowane zostały miliony komputerów. Systemy z oprogramowaniem Symantec Endpoint Protection lub Symantec AntiVirus są chronione, ponieważ te produkty umożliwiają wykrycie i usunięcie tego robaka. Użytkowników bez ochrony zachęca się do pobrania wersji próbnej programu Symantec Endpoint Protection. Firma Symantec zaleca korzystanie w produkcie Symantec Endpoint Protection z technologii ochrony przed zagrożeniami sieciowymi wraz ze skanowaniem antywirusowym, aby zapobiegać pobieraniu zagrożenia do systemu.

Robak Downadup.C i 1 kwietnia

Nowa odmiana tego zagrożenia służy do zwiększania możliwości zainfekowanych systemów. Na komputery z poprzednią odmianą z rodziny W32.Downadup zostanie pobrana kopia wersji W32.Downadup.C w celu zwiększenia możliwości istniejącego zagrożenia. Więcej informacji dotyczących działania wcześniejszych odmian robaka Downadup przedstawiono poniżej w tym dokumencie.

Ważniejsze funkcje robaka Downadup.C:

• Większe możliwości w zakresie poleceń i domen sterujących. W przypadku oryginalnych wersji kodu zagrożenia W32.Downadup(.B) codziennie sprawdzanych jest 250 domen w poszukiwaniu nowych danych pochodzących od kontrolera. Nowa odmiana zawiera zaktualizowany algorytm. Każdy system zainfekowany przez robaka Downadup.C będzie codziennie sprawdzać 500 domen wybranych losowo spośród 50 000 możliwości. Dzięki temu firmom z branży zabezpieczeń trudniej jest monitorować wszystkie źródła. Jednocześnie przypuszcza się, że utrudnia to także osobie atakującej dystrybucję dodatkowych instrukcji wśród aktualnie zaatakowanych systemów, ponieważ umieszczenie kodu ataku we wszystkich 50 000 lokalizacjach byłoby niepraktyczne. Zainfekowane komputery nie rozpoczną kontaktowania się z tymi witrynami internetowymi przed 1 kwietnia 2009 roku. Nowe środki zapobiegania wykryciu. Nowa odmiana zagrożenia zawiera listę ciągów, które są wyszukiwane w uruchomionych procesach. Działanie pasujących procesów jest kończone. Ciągi są używane do zatrzymywania procesów programów antywirusowych, jak również narzędzi do debugowania. Do przykładowych ciągów należą wyrażenia „wireshark” i „confick”, a także „downad” i „ms08-06” oraz „kb958”.

W poprzednich wersjach robaka Downadup były obsługiwane 3 różne sposoby rozprzestrzeniania:

Kierunek ataku nr 1: wykorzystanie luki w zabezpieczeniach systemu Windows
Robak Downadup może zainfekować komputer przy użyciu określonej luki w zabezpieczeniach systemu Windows. Została ona ogłoszona przez firmę Microsoft w październiku 2008 roku. Wtedy też udostępniono odpowiednią poprawkę. Jednak wielu użytkowników systemu Windows wciąż jej nie zainstalowało. Wszyscy oni są narażeni na atak robaka Downadup. Do zaatakowania niezabezpieczonego komputera przez kod Downadup wystarczy samo połączenie z siecią zawierającą co najmniej jeden zainfekowany system. Każdy system z poprawką firmy Microsoft jest zabezpieczony przed tą konkretną metodą ataku.

Kierunek ataku nr 2: udostępnianie dysków
W firmach wiele osób udostępnia pliki współpracownikom, włączając funkcję udostępniania dysków w systemie Windows. Umożliwia ona użytkownikowi bezpośrednie połączenie się z dyskiem twardym innego komputera w celu skopiowania lub edytowania plików. Robak Downadup wykorzystuje udziały dyskowe systemu Windows. Po zainfekowaniu komputera w firmie automatycznie kopiuje się na wszystkie widoczne otwarte udziały znajdujące się w sieci firmowej.

Kierunek ataku nr 3: napędy USB
Robak Downadup może też rozprzestrzeniać się za pośrednictwem napędów USB. Jeśli użytkownik włoży pamięć USB do komputera z programem Downadup, jego kod zostanie automatycznie na nią skopiowany. Po podłączeniu zainfekowanego dysku w innym systemie nastąpi automatyczne uruchomienie robaka i zaatakowanie nowego komputera.

Szczegóły ochrony — czy system jest chroniony?

Tak, jeśli jest używany produkt antywirusowy firmy Symantec w wersji Corporate Edition (Symantec AntiVirus lub Symantec Endpoint Protection) bądź Norton AntiVirus (Norton Internet Security, Norton AntiVirus lub Norton 360) z definicjami z 6 marca 2009 w wersji 36 lub nowszymi. Następujące omówienia zawierają opis sygnatur zapewniających natychmiastową ochronę przed obecnie znanymi odmianami zagrożenia:

• W32.Downadup (data wydania: 21 listopada 2008 r.)
• W32.Downadup.B (data wydania: 20 lutego 2009 r.)
• W32.Downadup.C (data wydania: 6 marca 2009 r.)

System ochrony przed włamaniami firmy Symantec zabezpiecza klientów przed tym zagrożeniem przy użyciu następujących sygnatur:

• MSRPC Server Service BO
• MSRPC Server Service BO2

Dodatkowe zalecane środki bezpieczeństwa

• Należy zainstalować wszystkie publicznie dostępne poprawki systemu Windows.
• Należy korzystać z systemu ochrony przed włamaniami firmy Symantec w celu blokowania prób wykorzystania znanych luk w zabezpieczeniach. (Problem MS08-067 był wczesnym kierunkiem ataku tego zagrożenia, który został zablokowany przez to rozwiązanie).
• Należy używać funkcji wdrażania polityki zabezpieczeń programu Symantec Endpoint Protection w celu ograniczenia dostępu do napędów USB i wyłączenia możliwości korzystania z plików autorun.inf. Są one często używane do rozprzestrzeniania nowych zagrożeń.

Szczegółowe uwagi dotyczące ochrony firmy Symantec

Produkty firmy Symantec zabezpieczające stacje robocze zapewniają dwa podstawowe poziomy ochrony przed robakiem Downadup:

• Ochrona na poziomie sieci
  Produkty firmy Symantec w wersji Corporate Edition (Symantec Endpoint Protection i Symantec Client Security) oraz produkty marki Norton (Norton AntiVirus, Noton Internet Security i Norton 360) korzystają z technologii systemu ochrony przed włamaniami (IPS, Intrusion Protection System). W ramach tego rozwiązania w każdym komputerze klienckim jest monitorowany ruch przychodzący i wychodzący. Technologia IPS zapobiega zainfekowaniu komputera robakiem Downadup dzięki skanowaniu wszystkich odbieranych danych sieciowych i blokowaniu podejrzanych transmisji, które mogą stanowić próbę wykorzystania luki w zabezpieczeniach produktów firmy Microsoft (Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability). Ochrona IPS firmy Symantec zapobiegnie również próbom automatycznego kopiowania kodu programu Downadup z jednego komputera na inny przy użyciu otwartych udziałów dyskowych (zobacz sekcję „Kierunek ataku nr 2” powyżej).

  
  Technologia IPS stanowi krytyczny element wysiłków zmierzających do powstrzymania tego zagrożenia, ponieważ może uniemożliwić zainfekowanie komputera, nawet jeśli nie zastosowano odpowiednich poprawek. Należy pamiętać, że technologia IPS nie jest dostępna w produktach z rodziny Symantec AntiVirus.

• Ochrona antywirusowa
  Wszystkie produkty firmy Symantec zabezpieczające stacje robocze (Symantec Endpoint Protection, Symantec AntiVirus i Symantec Client Security) zawierają sygnatury antywirusowe robaka Downadup. Są one wystarczające zaawansowane, aby automatycznie wykryć wiele odmian tego zagrożenia. Dlatego w przypadku pojawienia się nowych wersji destrukcyjnego kodu klienci są nadal pod ochroną, nawet bez dalszych aktualizacji.

Dodatkowe środki bezpieczeństwa:

• Niezależne narzędzie serwisowe
  Firma Symantec udostępnia niezależne narzędzie usuwające robaka Downadup, Downadup.B oraz Downadup.C, aby pomóc klientom, którzy zostali zaatakowani.
  
• Ochrona napędów USB w programie Symantec Endpoint Protection
  Oprogramowanie Symantec Endpoint Protection udostępnia funkcjonalność, której można użyć, aby zapobiec automatycznemu uruchamianiu programów z pamięci USB po jej włożeniu do komputera. Aby uzyskać więcej informacji, należy przeczytać następujące artykuły bazy wiedzy na ten temat:
  • Jak blokować pamięci i dyski twarde USB, ale zezwalać na korzystanie z określonych napędów USB przy użyciu polityki kontroli aplikacji i urządzeń w programie Symantec Endpoint Protection
  • Jak blokować dyski flash USB, ale zezwalać na korzystanie z innych urządzeń USB
  • Jak używać funkcji kontroli aplikacji i urządzeń do blokowania wszystkich urządzeń USB oprócz tych wyraźnie dozwolonych

Zalecenia firmy Symantec

Należy korzystać z oprogramowania Symantec Endpoint Protection, Symantec Multi-tier Protection lub Symantec AntiVirus Corporate Edition w celu ochrony urządzeń końcowych przed tym zagrożeniem.

Można też wymieniać się pomysłami i informacjami na temat robaka Downadup na forach SymConnect.

Szczegółowe wpisy dotyczące robaka Downadup i innych podobnych programów można znaleźć w prowadzonym przez firmę Symantec blogu na temat oprogramowania destrukcyjnego.