duminică, ianuarie 18, 2009

Conficker, Downadup, Kido

Acesta este viermele care a reusit sa infesteze 9 milioane de PC-uri in doua saptamani.
Denumirea oficiala este Win32/Conficker, insa firmele producatoare de antivirus l-au denumit diferit (Downadup, Kido ...) si exista deja mai multe variante. Este un virus periculos care infecteaza sistemele exploatand o vulnerabilitate a serviciului Windows Server (svchost.exe).

Mod de actionare
Deschide un port aleatoriu si actioneaza ca un server web descarcand noi fisiere periculoase (malware). Raspandeste spam, poate gazdui diverse site-uri si poate afisa false mesaje de alarma prin care utilizatorul este sfatuit sa cumpere diverse false softuri de securitate, cum ar fi AntivirusXP2009 si VirusRemover2009.

Dezactiveaza anumite servicii (
Windows Update Service, Background Intelligent Transfer Service, Windows Defender, Windows Error Reporting Services) si nu permite rularea softurilor de securitate sau descarcarea fisierelor pentru protectie de pe anumite site-uri.

Penetreaza retelele care au parole slabe, se propaga prin intermediul stick-urilor USB si a functiei Autoplay.
Microsoft a creat in octombrie un patch (petic/pachet de securitate) pentru aceasta vulnerabilitate.

Detalii virus
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml#details
http://onecare.live.com/site/en-us/virusenc/VirusEncInfo.htm?VirusName=Worm:Win32/Conficker.B
http://support.microsoft.com/kb/962007

Dezinfectare
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml
http://www.trendmicro.com/vinfo/secadvisories/default6.asp?VNAME=How+To+Use+SysClean+Package&Page=
http://onecare.live.com/site/en-us/default.htm
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-123015-3826-99&tabid=3

Dezactivarea functiei Autoplay
Deschideti My Computer si click dreapta pe icon-ul corespunzator CD/DVD player-ului. Selectati tab-ul
Auto Play si efectuati configurarile din figura dupa care apasati buoanele Apply si Ok.

Functia Autoplay mai poate fi dezactivata si prin intermediul Group Policy.

2 comments:

Vasîli spunea...

ti-a fost furat articolul:
http://winfast.ro/?p=281

DG Botez spunea...

Multumesc! Vezi aici: http://kraftwin.blogspot.com/2009/03/furt-de-continut-winfastro.html


Ultimele articole