Počítačová bezpečnost - jak na ... červa Downadup (Conficker)

Úvod

Tato stránka se zabývá hrozbou jménem Conficker (jiné názvy Confickeru: Downadup, Kido) a jeho různých variant (zatím se mluví o variantách A-C, někdy až E). Najdete zde popis chování, posptup odstranění a odkazy na další informační zdroje.

Problém stručně aneb management summary

Conficker je hnusný, ale šikovný hajzlík. Problémem je zejména v rozlehlých firemních sítích s doménou MS Windows, protože hlavním negativním průvodním jevem je zamykání doménových účtů. Další projevy jsou uvedeny níže.
Abyste si s ním poradili, musíte poznat jeho vektory šíření, ucpat je a stroj(e) vyčistit. Zde uvedený návod je použitelný jak doma, tak v podnikové síti.

Symptomy nákazy

Zamyká doménové účty útokem hrubou silou na hesla. Napadá antivirové programy, mění DNS, znemožňuje Windows Update a přístup na stránky antivirových společností. Zatěžuje komunikační linky (používá TCP porty 445 a 135). Vytváří autorun.inf na přenosných médiích, VMX soubor "v koši", DLL knihovnu v systémovém adresáři Windows, spouští se jako služba, vytváří úlohu (job), díky které se spouští.
Samozřejmě můžete zjistit jen některé ze syptomů či různé kombinace.

Vektory šíření

1) Po síti pomocí nezazáplatovaných MS Windows (zejména KB958644 a slabina popsaná v MS08-067, dle některých informací i MS08-068 a MS09-001).
2) Prostřednictvím přístupných sdílených adresářů
3) Autorun.inf na přenosných médiích (nyní typicky flashky)
[4) P2P sítě a internet pro aktualizaci červa]
Podrobnosti o tom, jak funguje, najdete v řadě odborných článcích na internetu (viz níže), já se omezím na popis odstranění.

Odstranění - "howto for dummies"

A) Zamezit šíření viru
B) Vyčistit počítač/e
C) Prevence proti novému šíření a obnově nákazy

ad A)
0) Odpojit počítač od sítě, vypnout funcionalitu Obnovení systému (návod, nevíte-li jak)
1) Manuálně naistalovat chybějící záplaty

ad B)
1) Stáhnout a spustit některý z odstraňovačů, tzv. "Removerů"; bude vyžadován RESTART
2) Instalovat či spustit (manuálně) aktualizovaný antivir na celý disk (nemáte-li, zkuste online antivir nebo nějaký zdarma)
3) Vymažte dočasné soubory internetu, zejména v Internet Exploreru (návod, nevíte-li jak). Dobrý je nástroj CCleaner.
4) Pokud je počítač čistý, viz C) a potom zapnout Obnovení systému a připojit zpět do sítě.

ad C)
1) Zapnout Windows Update, případně doinstalovat záplaty manuálně
2) Vypnout autorun (více na speciální stránce)
3) Nastavit uživatelským účtům silná neslovníková hesla
4) Zamezit všeobecné dostupnosti počítačů v síti: VLANy, stanice by měly ideálně "vidět" jen na servery, ne na jiné stanice (lze realizovat IPSec filtrem nebo jiným síťovým opatřením)
5) Minimalizovat počet sdílených adresářů.
6) Zvýšit povědomí o informační bezpečnosti (školení, zavedení ISMS).

Disclaimer: Uvedená metoda vychází z mé zkušenosti a nemusí být úplná (v tom případě se rád nechám poučit, kontaktujte mě). Veškeré operace děláte na vlastní nebezpečí!

Removery

Můžete použít jakýkoliv z nich, osobně jsem nezkoušel žádný, dobré výsledky mají dle vyjádření kolegů Microsftí MSRT a Symantec.
Symantec - W32.Downadup Removal Tool
Microsft - Malicious Software Removal Tool
ESET Conficker Removal Tool
Kaspersky KKiller
F-Secure nástroje pro příkazovou řádku

Další informace

Conficker odborně, popisy červa

Microsoft: Upozornění na červa Win32/Conficker.B
Microsoft Malware Protection Center: Win32/Conficker
Microsoft: K aktuální bezpečnostní hrozbě jménem Conficker
Symantec databáze o viru
Analýza SRI International
BitDefender databáze
Kaspersky: How to remove network worm Net-Worm.Win32.Kido (aka: Conficker, Downadup)
F-Secure databáze
Panda Security databáze
Avira databáze

Conficker novinářsky

Historie červa Conficker dle Trend Micro (CDR.CZ)
Conficker na WikiPedii
Nová varianta červa Conficker vám div nesežere spodky! aneb bulvár v podání ESETu (CDR.CZ)
Microsoft nabízí 250 000 za Conficker, resp. za hlavu autora (CDR.CZ)

http://securityworld.cz/securityworld/Tvurci-cerva-Conficker-svoji-sanci-propasli-1547
http://securityworld.cz/aktuality/Conficker-je-pro-vyzkumniky-stale-zahadou-1523
http://securityworld.cz/securityworld/Kdo-byl-prvni-obeti-cerva-Conficker-1513
http://securityworld.cz/aktuality/CA-Conficker-jeste-nerekl-posledni-slovo-1494
http://securityworld.cz/aktuality/ConfickerC-aktualizace-vydavaji-i-autori-cervu-1476
http://securityworld.cz/aktuality/Cerv-Downadup-hrozi-vyradit-z-provozu-legitimni-servery-1463
http://securityworld.cz/aktuality/Cerv-Conficker-v-nove-verzi-B-1440
http://securityworld.cz/securityworld/Microsoft-vypovida-valku-cervu-Conficker-1420


Další zveřejňování textu uvedeného na této stránce bez výslovného svolení autora je zakázáno. V případě vašich zkušeností s popisovanou bezpečnostní hrozbou použijte návštěvní knihu. Pokud máte zájem o více informací z tématiky informační bezpečnosti nebo profesionálních službách, obraťte se prosím na můj email.
Poslední změna v této rubrice (last change): 09.04.2009 (Created by Harry 3/2009)
[ Nahoru - Počítačová bezpečnost na Harryho.info - HomePage ]