Fråga/problem:

Är du orolig för att masken Conficker ska slå till den 1 april? Du kan skydda dig med några få enkla steg.

Lösning:

Teknisk information:

Målgrupp: Alla användare av Windows XP och Windows Vista.

Masken Conficker, ibland kallad Downadup eller Kido, har lyckats smitta ett stort antal datorer. Det är svårt att ta fram en exakt siffra, men vissa forskare uppskattar att miljontals datorer har angripits av masken sedan januari. System med Symantec Endpoint Protection eller Symantec AntiVirus är skyddade, eftersom produkterna upptäcker och tar bort den här masken. Användare som saknar skydd kan hämta en testversion av Symantec Endpoint Protection. Symantec rekommenderar att skydd mot nätverkshot används tillsammans med virusgenomsökning i Symantec Endpoint Protection i förebyggande syfte, för att hindra att hot laddas ner till ett system.

Downadup.C och 1 april

Den här nya varianten av hotet används särskilt för att stärka dess funktioner på tidigare smittade maskiner. Datorer som redan är smittade med en tidigare variant av W32.Downadup-familjen laddar ner en kopia av W32.Downadup.C, som ger det befintliga hotet ökad kapacitet. Ytterligare detaljer om tidigare versioner av Downadup-familjen finns nedan i det här dokumentet.

Några viktiga funktioner hos Downadup.C:

• Ökade kommandomöjligheter och möjligheter att kontrollera domäner. De ursprungliga varianterna av W32.Downadup(.B) söker igenom 250 domäner om dagen efter nytt innehåll från styrenheten. Den nya varianten innehåller en uppdaterad algoritm där varje Downadup.C-angrepp söker igenom 500 slumpmässigt utvalda domäner per dag av totalt 50 000 möjliga. Det gör det svårare för säkerhetsföretag att övervaka alla domäner. Samtidigt är det förmodligen svårare för angriparen att distribuera ytterligare ”angreppsinstruktioner” till befintliga Downadup.C-angrepp, eftersom det är opraktiskt att placera skadlig kod på alla de 50 000 platserna. Downadup.C-angrepp kommer att kontakta de här webbplatserna först den 1 april 2009.
Introducerar nya metoder som försvårar identifiering. Den nya varianten av hotet innehåller en lista med strängar som den söker efter i pågående processer. Om en matchning hittas förstörs processen. Metoden med strängar används för att hejda antivirusprocesser och felsökningsverktyg. Exempel på strängar som söks efter är ”wireshark”, ”confick”, ”downad”, ”ms08-06” och ”kb958”.

Tidigare versioner av Downadup kan spridas på tre olika sätt:

Smittspridare nr. 1: Angrepp på en säkerhetslucka i Windows
Downadup kan smitta en dator genom att angripa en specifik säkerhetslucka i Windows. Microsoft bekräftade säkerhetsluckan i oktober 2008, och utfärdade en programuppdatering vid samma tidpunkt. Många Windows-användare har dock fortfarande inte installerat den här programuppdateringen från Microsoft. Alla användare som inte har hämtat programuppdateringen är sårbara för Downadup-angrepp. Datorn kan smittas med Downadup bara genom att den ansluts till ett nätverk som innehåller minst en angripen maskin. Inga maskiner som har tillämpat programuppdateringen kan utsättas för den här typen av angrepp.

Smittspridare nr. 2: Enhetsdelning
I företag delar många filer med sina kollegor genom att slå på funktionen ”enhetsdelning” i Windows. Den här funktionen gör det möjligt för användare att ansluta direkt till en annan användares hårddisk för att kopiera eller redigera filer. Downadup utnyttjar enhetsdelning i Windows. När en dator i företaget har smittats, kopierar Downadup sig själv till alla öppna enhetsdelningar på andra datorer i företagsnätverket.

Smittspridare nr. 3: USB-enheter
Downadup kan även spridas från en dator till en annan via USB-enheter (t ex USB-minnen). Om en användares dator blir angripen av Downadup och användaren sätter i ett USB-minne i datorn, kopieras Downadup automatiskt till USB-enheten. När det angripna USB-minnet sätts i en annan maskin körs Downadup automatiskt från USB-enheten och smittar den nya datorn.

Skyddsinformation (Är jag skyddad?)

Ja, om du kör antingen en antivirusprodukt för företag från Symantec (Symantec AntiVirus eller Symantec Endpoint Protection) eller en Norton AntiVirus-produkt (Norton Internet Security, Norton AntiVirus eller Norton 360) med definitioner daterade den 6 mars 2009, revision 36 eller senare. Följande texter från Symantec beskriver signaturerna som ger omedelbart skydd mot aktuella kända varianter:

• W32.Downadup (Utgiven: 21 nov 2008)
• W32.Downadup.B (Utgiven: 20 feb 2009)
• W32.Downadup.C (Utgiven: 6 mar 2009)

Symantec Intrusion Protection System skyddar kunder mot det här hotet genom följande signaturer:

• MSRPC Server Service BO
• MSRPC Server Service BO2

Fler rekommenderade åtgärder

• Installera alla tillgängliga programuppdateringar från Windows.
• Använd Symantec Intrusion Protection System för att blockera försök att utnyttja kända säkerhetsluckor. (MS08-067 var en tidig smittspridare av det här hotet som blockeras av Intrusion Protection.)
• Använd funktionen för policytillämpning i Symantec Endpoint Protection för att begränsa tillgång till USB-enheter och inaktivera autorun.inf-filer. De används ofta som smittspridare av nya hot.

Detaljerad information om skydd från Symantec

Symantecs klientsäkerhetsprodukter innehåller två grundläggande skyddsnivåer mot Downadup:

• Nätverksbaserat skydd
  Symantecs företagsprodukter (Symantec Endpoint Protection och Symantec Client Security) och Norton-produkter (Norton AntiVirus, Noton Internet Security och Norton 360) innehåller vad som kallas ”Intrusion Protection System” eller ”IPS”-teknik. Med den här tekniken övervakas nätverkstrafiken från och till varje klientdator. IPS-tekniken hindrar Downadup från att komma åt och angripa datorer genom att alla nätverksdata som skickas till datorn söks igenom. Misstänkta överföringar som kan försöka utnyttja säkerhetsluckan (Microsoft Windows Server Service RPC-hantering av fjärrstyrd programkörning) blockeras. Symantecs IPS-skydd hindrar även Downadup från att kopiera sig själv från en dator till en annan med hjälp av öppen fildelning (”Smittspridare nr. 2” ovan).

  
  Symantecs IPS-skydd gör en avgörande skillnad i försöken att stoppa det här hotet, eftersom det kan hindra hotet från att ens nå en dator även om datorn inte har uppdaterats med programuppdateringen. Tänk på att IPS-teknik inte ingår i Symantec AntiVirus-produktserien.

• Antivirusskydd
  Alla klientsäkerhetsproukter som Symantec erbjuder (Symantec Endpoint Protection, Symantec AntiVirus och Symantec Client Security) innehåller antivirussignaturer för Downadup. Symantecs antivirussignaturer är tillräckligt kraftfulla för att automatiskt upptäcka flera olika typer av Downadup-hotet. När nya varianter introduceras skyddas kunder även utan ytterligare uppdateringar.

Ytterligare skyddsåtgärder:

• Fristående borttagningsverktyg
  Symantec tillhandahåller ett fristående borttagningsverktyg för Downadup, Downadup.B och Downadup.C, för att hjälpa kunder som har smittats.
  
• USB-skydd i Symantec Endpoint Protection
  Symantec Endpoint Protection innehåller funktioner som kan användas för att hindra alla program på ett USB-minne att köras automatiskt när USB-minnet ansluts till en dator. Mer information finns i följande artiklar i kunskapsdatabasen:
• How to block USB Thumb Drives and USB Hard Drives, but allow specific USB Drives in the Application and Device Control Policy in Symantec Endpoint Protection
• How to block USB flash drives while allowing other USB devices
• How to use Application and Device Control to block all USB devices except those I specifically want to allow

Symantec rekommenderar

Kör Symantec Endpoint Protection, Symantec Multi-tier Protection eller Symantec AntiVirus Corporate Edition för att skydda klienterna mot det här hotet.

Du kan även utbyta idéer och information om Downadup i SymConnect-forumen.

Detaljerade bloggar om Downadup och andra skadliga program finns på Symantecs blogg om skadliga program