Doporučit článek

Vaše jméno:

Váš e-mail:

E-mail adresáta:

Komentář:

Buďte fikanější než Conficker

31. 3. 2009, miho

O červu Conficker neboli Win32.Worm.Downadup už bylo natočeno několik reportáží (pozadu nezůstala ani Nova, Prima, ČT), napsáno spoustu článků (včetně renomovaných webových zpravodajských zdrojů jako CNN), blogpostů, způsobil celou řadu Win vs Lin vs Mac flamewarů a podobně. Bohužel povětšinou informace, které lze z těchto zdrojů získat, jsou určeny pro běžného Frantu uživatele a poskytují tak jen velice povrchní informace. Často jsou uváděny i naprosto scestné postupy jak se chránit.

Podívejme se tedy trošku blíže na nějaké zajímavosti ohledně toho mistrovského kousku mezi ostatními škodlivými viry/červy/malwary. Mnohé jiné používají některé z těchto prvků také ale kombinace všech je tím, co děla Confickera tak fascinujícím výtvorem.

Šíří se pomocí přímého napojení na počítač přes bezpečnostní díru (označenou jako MS08-067) podobně jako kdysi velmi slavný Blaster. Nespoléhá se tedy na šíření pomocí mailů, kdy uživatel musí udělat nějakou hloupost aby se nakazil (jako třeba otevřít přílohu s názvem BigBoobs.exe ;-) ). Stačí nechat počítač s nezáplatovanými Windows přímo připojený k síti (bez NATu nebo správně nastaveného firewallu) a za chvíli ho máte.
Na lokální síti, pokud nalezne záplatovaný počítač, který nelze napadnout výše zmíněným způsobem, se tento mazaný červ šíří pomocí RPC a to hádáním hesel uživatelů na základě různých přesmyček uživatelského jména (Windows ochotně vyžvaní jména účtů na počítači) a pomocí slovníkového útoku obsahujícího typická hesla.
Třetím způsobem je šíření pomoci USB flashdisků. Upravuje na nich autorun.inf takovým způsobem, že implicitní akce je ikonou i názvem shodná s běžnou akcí “procházet soubory na disku”. Po potvrzení této volby enterem nebo kliknutím dojde k nakažení počítače.
Blokuje přístup k adresám, ze kterých antiviry, window defender a další bezpečnostní aplikace stahují updaty. Toto je velice vtipný způsob jak vyřadit automatické aktualizace.
Brání ve spuštění některých antivirů.
Nespoléhá se na lokální datum nastavené v počítači ale zjištuje si ho z internetu. Tím se brání proti primitivním metodám jak ošálit virus posunutím systémového času před datum, kdy se ma aktivovat a podobně.
A nyní to nejzajímavější… neprovádí žádné jiné akce kromě šíření se. Každý den pouze vygeneruje seznam pseudonáhodně vybraných domén (na základě aktuálního data) a pokusí se s nimi spojit a najít tam instrukce, co má dále dělat. Tím vytváří BotNet neboli síť napadených počítačů, které čekají na povel. Nikdo neví k čemu a to specialisty dráždí nejvíce.
Algoritmus generování názvů domén je známý ale červ očekává pokyny zašifrované pomocí asymetrické šifry takže přijme data jen od tvůrce.
Datum aktivace bylo určeno na 1.4. 2009. Zvolit datum na apríla- to není vůbec špatný nápad

K vytvoření původní varianty Conficekru bylo vynaloženo spoustu práce a znalostí, dalšího úsilí bylo vynaloženo (dost možná někým jiným než původním autorem) k modifikaci červa až do současné podoby. Je to určitá investice a původním záměrem určitě bylo z ní nějak těžit. Díky tomu, že celé kauze se dostalo tolik publicity a talé díky tomu, že je známo, které domény se můžou stát zdrojem příkazu pro botnet - to dle mého názoru bude velice obtížné.

Co je tedy důležité pro uživatele:

záplatování již nakaženého počítač nepomůže k odstranění červa
i záplatovaný počítač lze nakazit druhou a třetí metodou
pokud jste instalovali antivir až po nakažení pak vám je pravděpodobně k ničemu. Stejně tak pokud nestihl stáhnout aktualizaci, která odhaluje novou variantu dříve, než se dostala na váš počítač
nejlepší šanci máte s jednoúčelovým specializovaným prográmkem. Třeba s tímto.
Červ napadá pouze Windows. Tento bod není psán s účelem vyvolání flamewaru. Je to prostě čistý a holý fakt a je jedno z jakého důvodu tomu tak je. Nicméně pokud by cílem útoku byla infrastruktura Internetu tak důsledky pocítí i uživatelé ostatních operačních systémů.
Jak zjistit, že jste napadení? Je to snadné, pokuste se načíst stránku symantec.com, www.grisoft.cz nebo podobné. Pokud se vám stránka nenačte, tak jste v tom

Zde jsou videa od f-secure (anglicky) s několika zajímavými informacemi: video1, video2. Zde je velmi zajimavé čténí (taktéž anglicky).

Motto (zítřejšího) dne: nenechte se přefiknout Confickerem!

Štítky: Conficker

Publikováno v rubrice Windows. Reakce v diskuzi lze sledovat prostřednictvím RSS 2.0. Můžete přidat komentář, nebo se na článek odkázat ze svého webu.

Komentáře v diskuzi

1. MartinezZ(84.42.185.xxx) 31. 3. 2009, 20:35

Díky za shrnutí. Sám jsem zvědav, co se bude dít Jestli to bude takové faux-pas jako Y2K (A nebo nemám komp raději ani zapínat? Chodit ven, zapínat mobil, otevírat ledničku…:-O )

2. Karton(77.242.82.xxx) 31. 3. 2009, 21:05

To že se bude aktivovat právě na aprila zjistil kdo? V tom červu to zcela jistě není napsáno, protože autor sám říká, že červ dostane povel z centra. Tak nevím, jak se svět dozvěděl, kdy zaútočí? Ten, kdo zveřejnil datum útoku musí být logicky autorem červu; ale kdo to zveřejnil první?
V každé detektivce si kriminalisté kladou otázku: komu to prospělo?
Dnes je odpověď jasná: výrobcům antivirových programů a samotnému Mikrosoftu (lidi si stahují záplaty). Po zítřku se uvidí; když se nic nestane, platí to co jsem řekl. Platí: i negativní reklama je reklama.

3. Timotej Stanek(147.229.206.xxx) 31. 3. 2009, 21:06

s tvojim pocitacom sa nic nestane
zajtra sa bud nestane nic, alebo botnet urobi velky ddos utok na nieco dolezite a zaujimave alebo sa tak stane neskor

4. miho(ověřeno) 31. 3. 2009, 21:10

To datum je “hardcoded” přímo v těle viru.

5. Al Fatah(78.98.84.xxx) 31. 3. 2009, 21:19

A co ked su za tym kolegovia z Al Kaida. Allahu Akbar.

6. Martin(84.42.159.xxx) 31. 3. 2009, 21:20

Asi metrické šifry? Tak asi nebo určitě?

7. A. Keberle(89.103.48.xxx) 31. 3. 2009, 21:23

Dívím se, že takové útoky ještě existují. Ať už používáte jakýkoliv systém tak máte záplatovat. Používat antivirus nebo speciální firewall pokud denně nechodíte na warez stránky, nemusíte. Prohlížeče už jsou relativně bezpečné, protože se najde chyba a kritcké verze se většinou rychle opraví -> opět pouze stahovat aktualizace. Nic jiného nemusíte dělat.

8. Termoj(89.103.233.xxx) 31. 3. 2009, 21:25

Všichni řádí s Confickerem, mám neauktální windows se SP3, Firewall, Antivir a lidský rozum a confickera nemám

9. Dezo(83.240.51.xxx) 31. 3. 2009, 21:32

Konečně zase pořádný vir od dob Blasteru. Nejvíc se mi líbí vlastnost, že se dokáže sám šířit, a to hlavně přes díry v MS službách. Ty manuální viry (BigBoobs) jsou o ničem…

10. Tom(62.240.180.xxx) 31. 3. 2009, 21:43

Škoda, že ne všichni si nechají do pc ty aktualizace stahovat….třeba jako můj “kámoč”

11. Satai(213.220.205.xxx) 31. 3. 2009, 21:49

Dik za shrnuti. Jen poznamenanm, ze sifra je asymetricka, protoze se lisi klice pro sifrovani i desifrovani, ne asimetricka, protoze se neda rici, ze by byla velka cca jeden metr.

12. Dezo(83.240.51.xxx) 31. 3. 2009, 21:55

Teda ten autorun - ten binary stuff - to je masakr…

13. AMko(91.203.96.xxx) 31. 3. 2009, 22:32

Pěkný článek.
S operou mini se nemusím bát

14. Mlsoun(85.70.165.xxx) 31. 3. 2009, 22:56

víte z čeho bych nemoch,..kdyby byly instrukce v tej aktualizaci-záplatě (bůch ví, kdo z MS to programoval)

15. xxx(89.103.110.xxx) 31. 3. 2009, 23:07

Hele, pokud se bojíte, nebojte se. Osobních počítačů v ČR by se to nemělo vůbec dotknout, pokud ano, tak jen asi 0,003 nic procenta takže klídek. Půjde spíše o servery….Ale NIKDO NEŘÍKÁ, ŽE SE SKUTEČNĚ BUDE NĚCO DÍT. Dříve jsem se v této obalsti pohyboval tak mám poměrně přesné informace od bývalých známých.;)

16. Daniel Housar(85.71.44.xxx) 31. 3. 2009, 23:17

Je možné vychytat conficker programem Cports (předpokládám, že port, na kterém naslouchá je dinamický, čili se každou chvíli mění), nebo se snaží protokol tcp/ip a systém portů obejít?

17. hm(88.100.164.xxx) 31. 3. 2009, 23:27

OneHalf in memoriam.

Dis is one half.
Press any key to continue …

18. forcer(15.203.233.xxx) 1. 4. 2009, 00:06

Daniel Housar: nepocuva na ziadnych portoch, on sa pripaja na domeny, ktore vypocita z casu, ktory ziska od verejnych NTP servrov na internete.

19. LilJohn(217.31.32.xxx) 1. 4. 2009, 00:08

…je 8 minút po polnoci a zatiaľ sa nič podozrivé nedeje…dúfam to tak aj ostane…

20. kuba(147.251.23.xxx) 1. 4. 2009, 00:25

8 minut po půlnoci SELČ

21. brumla(88.208.94.xxx) 1. 4. 2009, 00:30

já budu fikanější než conficker… nebudu používat windows…

22. l@bus(89.203.168.xxx) 1. 4. 2009, 00:34

No jestli se má opravdu spustit na apríla tak možná bude jenom obrovskej vtípek. Přece i hackeři a výrobci virů musejí mít smysl pro humor ne?

23. Daniel Housar(85.71.44.xxx) 1. 4. 2009, 03:59

@forcer: ok, pak teda instrukce dostane jak? také přes internetový čas? a pokud se připojuje, tak bych řekl, že externí firewall by mu to měl bloknout, pokud už do firewallu nějaký jiný vir nestihl nahrát jiný firmware

24. tomik(90.176.203.xxx) 1. 4. 2009, 04:03

Mám XP SP1, Kerio Firewall, AVG 7.0 (aktualizový) a jsem Conficker negativní. Samotnýho mě to překvapilo.

25. Maťo(193.87.86.xxx) 1. 4. 2009, 07:56

Aj Linux “ochotně vyžvaní jména účtů na počítači” - sú totožné s menami adresárov v /home resp. je tam /root. Prípadne by program mohol skúsiť prešmyčky mien z /home v kombinácii zo sudo…

26. Kenn(213.155.225.xxx) 1. 4. 2009, 08:34

Byl jsem asi týden donucen používat pouze USB ADSL (veřejná IP) modem (normálně router s firewalem) a během toho týdne jsem conficker dostal. Všiml jsem si, že se mi po startu nezapíná antivir a už to bylo :). Stránky Microsoftu nešly, aktualizace jsem sháněl kde se daly…no hrůza.

27. miklik(131.207.242.xxx) 1. 4. 2009, 09:38

Ohrožuje tento vir i WinPC, na kterých jede uživatel bez práv skupiny “Administrators”?

28. j415(90.177.169.xxx) 1. 4. 2009, 11:18

25> a mohu se zeptat jakym zpusobem budete cist z disku, dokud nejste prihlasen? ja tedy o zadnem nevim…

29. Kozzi(147.229.178.xxx) 1. 4. 2009, 12:05

a sakra to stim autorunem na flashce se mi ted stalo odma hmm, asi se mi nakazili oba pc A i tatuv v praci. Apon treba konecne uzna ze je lepsi tam mit linux

30. Maťo(193.87.86.xxx) 1. 4. 2009, 13:33

[28] - a akým spôsobom funguje vírus, keď nie je nikto prihlásený
Nesnažte sa za každú cenu živiť vieru, že Linux je všetkom úplne iný (lepší) ako Windows. Vírus sa nainštaluje jedine vtedy, keď niekto prihlásený je a po každom ďalšom prihlásení pod tým istým účtom sa môže spustiť. A pre operácie s právami roota sa žiadne “meno účtu” nevyžaduje, tam stačí su aelbo sudo. Určite nič, čo by zabránilo vírusu zistiť mená účtov, v Linuxe nie je.

31. Kozzi(62.245.123.xxx) 1. 4. 2009, 20:52

[30] Blbost to co tvrdis. Jde videt ze o linuxu nic nevis. Uzivatele se zdaleka nemusi jmenovat tak jak adresare v /home dokonce ani adresare uzivatelu tam nemusi byt. Takze to co povedas je uplna pitomost. Jinak pokud by chtel vir zant jmena uzivatelu mohl by se podivat do /etc/passwd tam si je muze najit, teda jen lokalni, pokud bude autentizace resena pres ladap,databazi… tak ma vcelku smulu. Krom toho aby se mohl podivat na /etc/passwd musel by byt ten virus spusten pod nejakym uzivatelem, coz je jaksi problem.

32. Maťo(193.87.86.xxx) 2. 4. 2009, 07:27

[31] čisto teoreticky možno nemusia, ale v 99,9% prípadov sa tak volajú a aj v tom /home sú, však? A aj rootovský účet sa v 99,9% prípadov volá root a aj keby sa nevolal, tak na získanie jeho práv netreba meno, ale stačí su alebo sudo, však?
BTW, vo Windows tiež nie sú tie mená hocikde, a tiež musíš byť lokálne prihlásený, aby si sa k nim dostal. A aj vo Windows aby ten vírus niečo spravil, musí byť najprv spustený pod nejakým užívateľom.
Je vidieť, že ani o OS ani o malvéri toho veľa nevieš…

33. Kozzi(62.245.123.xxx) 2. 4. 2009, 10:34

tak k ziskani prav potrebujes bud sudo ci su, pripadne nejaky jiny zpusob. Ale o tom sem se nebavil. Ja te jen upozornil, ze ziskani jmen uzivatelu podle toho jak jsou pojemnovany adresare v /home neni zrovna nejlepsi :-D. A o windows sem se vubec nebavil ;-). Problem je v tom ze ve windows je mozno snadneji zajistit spusteni nebezoppecneho kodu bez vedomosti uzivatele. A take to ze hlavne drive ve winXP byla vetsina uzivatelu administratory, takze pokud se spusti nejaky nebezpecny kod tak mohl andelat mnohem vice skody nez pokud by se spustil pod ne adminem.

34. Maťo(193.87.86.xxx) 2. 4. 2009, 13:14

Conficker nepotrebuje (oval) práva administrátora - pôvodne využíval bezpečnostnú dieru. A diery sú väčšinou o tom, že umožnia získať vyššie prístupové práva. V každom OS, nie len vo Windows.
Moja pôvodná reakcia sa týkala jediného tvrdenia článku (s ktorým inak vcelku súhlasím)a to, že vo Windows sa dajú mená účtov zistiť ľahšie ako v Linuxe. Čo si nemyslím a dôvodov som napísal dosť.
Navyše mám pocit, že autorovo tvrdenie sa opiera len o skutočnosť, že vo Windows XP sa bežne používa prihlasovacia obrazovka s menami účtov. Pritom to nie je nevyhnutné, ja ju napr. nepoužívam, naopak moja bezpečnosť je oproti Linuxu o kúsok lepšia, pretože ja aj okno pre zadanie hesla otváram pomocou klávesnice, čo je pre vírus trošku problém. nvyše, prihlasovacie obrazovky s menami účtov existujú aj v Linuxe.
Celé je to však trochu od veci, pretože Conficker sa šíri na bežiacich počítačoch, kde sa mená účtov zistiť dajú ľahko (aj cez tie adresáre v /home, aj inak - ponúkajú ich viaceré dialógy).

35. miho(ověřeno) 2. 4. 2009, 14:05

34: Je to přesně tak, jak je napsáno v článku, nejde o žadné odečítání názvu což by asi vir dost těžko prováděl. Windows v implicitním nastavení prásknou názvy uživatelů každému na potkání. viz třeba tento modul do nmapu http://nmap.org/nsedoc/scripts/smb-enum-users.html

Dá se stáhnout i jednoduchá enum utilitka a pomocí ENUM -U -S -d ip.adresa vylistovat seznam uživatelů.

Vše samozřejmě po síti (lokální, firewall většinou nepustí tyto porty ven).

36. m11(89.176.153.xxx) 6. 4. 2009, 10:03

Presne tak, blbe je ze ve firemnim prostredi s “AD”-ckem byvaji porty pro RPC otevrene (pro spravnou funkcnost domeny a vzdalene spravy). Pak i kdyz je v ramci teto firmy prisna aktualizacni politika (pravidelne/okamzite zaplatovani), tak stejne staci 1 flashka kterou si prinese BFU, nebo kdyz se do LAN pripoji nekdo se svym jiz napadenym notasem…
Fakt nechutne poveden cerv. Diky Bohu, ze ty hesla se snazi uhodnout tema ruznyma presmickama ze jmena. Pak by teoreticky kombinace zaplatovani a vynuceneho komplexneho hesla (pres GP) mela zamezit sireni tohoto Worma ve firemni LAN. Samozrejme ze BFU s flaskou z domu ma smulu, ale vzdy nejdulezitejsi je zamezit sireni nakazy pres sit. Inu uvidime co se z toho jeste vyklube…

37. .blog » Archiv » Červ Conficker(217.31.204.xxx) 14. 4. 2009, 08:10

[...] 2. Buďte fikanější než Conficker [...]

38. cheap lv bags(211.206.124.xxx) 20. 12. 2010, 04:45

Compared with people not to do, cheap lv bags but to surpass themselves, cry cry out tears of emotion, to laugh to laugh growth character.

39. Test(89.176.70.xxx) 20. 12. 2010, 10:31

toto je test