Pametniji crv Conficker

[dalmatino]

Pojavila se nova verzija zloglasnog Confickera koja posjeduje mogućnost otvaranja novog backdoora i automatski update

snicima je još uvijek najbolja preporuka instaliranje svježih zakrpa za OS i redovito osvježavanje antivirusnih programa

Američki ogranak udruženja za računalnu sigurnost CERT objavio je registrirano postojanje nove verzije crva Conficker, poznate i pod nazivom Downadup. Nova verzija nosi naziv Conficker.B++ i posjeduje novu mogućnost otvaranja pristupa zaraženom računalu uz funkcionalnost automatskog updatea.

Postojeća zakrpa za netapi32.dll više ne zatvara sve mogućnosti infekcije, a postoji sumnja u ponovnu infekciju već prije zaraženih računala. Crv sada provjerava mogućnosti nadogradnje bez otkrivanja, a ako je to moguće validira novu verziju i updatea zaraženo računalo najsvježijom varijantom.

Conficker je do sada zadao velike glavobolje korisnicima zbog izuzetno teškog čišćenja te kompliciranog ulaženja u trag tvorcima zbog naoko nasumičnog generiranja URL adresa. Prva verzija, Conficker.A, zahvatila je oko 4,7, a Conficker.B oko 6,7 milijuna IP adresa. Microsoft smatra kako autorima nije jednostavno nadograditi kompletnu Conficker mrežu s novom varijantom te još uvijek nudi 250.000 dolara nagrade za otkrivanje istih.

[Aco29]

Posljednja verzija zloglasnog crva Conficker/Downadup, Conficker.C korisnicima i sigurnosnim kompanijama zadaje sve veće glavobolje, no sada su poznati i neki detalji njegovog ponašanja.

Poput prethodnika, Conficker.C isključuje sigurnosne servise na zaraženom računalu, blokira pristup web stranicama proizvođača antivirusnog softvera te instalira trojanskog konja. No za razliku od oko 250 naoko nasumično generiranih domena koje su prethodnici koristili za nadogradnje i instalaciju novog malwarea, nova je verzija programirana da se od 1. travnja spoji na oko 50.000 domena. Svakog dana. To značajno otežava ionako teško blokiranje Confickerovog pristupa Internetu, a uz vrlo brzo širenje gotovo svim medijima koji nisu read only predstavlja sve brže rastuću botnet mrežu spremnu za daljnje širenje i napade.

Sigurnosne kompanije toplo preporučuju korisnicima instalaciju najsvježijih Microsoftovih zakrpi i redovito osvježavanje antivirusnih programa, jer je prevencija najbolji lijek protiv pošasti ovolikog "kalibra". Microsoft i dalje nudi nagradu od 250.000 dolara za informacije koje bi mogle pomoći u otkrivanju autora.

Dear Guest, you can't see link before you register!

[borg]

"Znanstvenici sa Sveučilišta u Michiganu koriste napredne tehnike pretrage ne bi li bolje shvatili ponašanje i izvorišnu točku crva Conficker. Oni traže digitalnog "nultog pacijenta", prvo računalo ili skupinu računala koja su bila zaražena ovim crvom. Smatra se da je riječ o skupini poslovnih računala koja imaju velike razmake između instaliranja svježih zakrpi, što je Confickeru dalo dovoljno vremena da se "udomaći".

Znanstvenici u istraživanju koriste i resurse američkog Ministarstva nacionalne sigurnosti (DHS), koje je prije šest godina u mrežu ugradilo senzore koji prate i osluškuju Internet promet. Naime, prva verzija Conficker.A, koja nije bila imuna na Microsoftovu zakrpu MS08-67, slala je upite diljem mreže i provjeravala koja računala imaju, a koja nemaju instaliranu zakrpu. Senzorska mreža DHS-a je mogla pokupiti takve upite, te bi se detaljnijom analizom tih podataka moglo približno odrediti izvorište zaraze, što bi moglo značajno pomoći u otkrivanju autora.

No ipak je riječ o "samo" 50 TB podataka, tako da pred znanstvenicima ostaje još mnogo posla, dok sam način analize daje dobar argument za postojanje DHS-ove mreže, oko čijeg instaliranja je svojevremeno bilo mnogo polemika. Zanimljivo, uzorak širenja crva Conficker se u nekim segmentima poklapa sa širenjem i epidemijom pravih virusa.

Posljednja verzija ove napasti znana kao Conficker.C programirana je za još teže uklanjanje i učinkovitije širenje, dok se za instalaciju novih verzija spaja na 50.000 domena dnevno. Conficker je namješten da postane aktivan od 1. travnja, no nitko još ne zna koja je njegova prava svrha postojanja."
Dear Guest, you can't see link before you register!

[Bobić]

Cini se da je danas dan kad se Conficker pokrece,,
evo na sto sam naletio,, az one koji budu imali problema s njim
[youtube]http://www.youtube.com/watch?v=P9Oj01CI0dM[/youtube]

[krnjo2003]

Cini se da je danas dan kad se Conficker pokrece,,
evo na sto sam naletio,, az one koji budu imali problema s njim

Dobra informacija,TNX

[dalmatino]

Jednostavniji način detekcije Confickera
Računalni stručnjaci nakon 5 mjeseci istraživanja otkrili su način kako jednostavno otkriti računala koja su zaražena računalnim crvom Conficker. Crv, naime, ostavlja specifičan otisak na zaraženom računalu čime je moguće udaljeno detektirati prisustvo virusa. Otkriće ima veliko praktično značenje jer po prvi put administratori imaju jednostavnu mogućnost detekcije zaraženih računala. Upotrebom standardnih alata za provjeru ranjivosti putem mreže moguće je pronaći računala koja su zaražena. Dosada su postojala dva načina detekcije crva, oba prilično nepraktična. Prvi način bio je praćenje mrežnog prometa, dok je drugi način skeniranje svakog pojedinog računala anti-virusnim programom. Od ponedjeljka većina poznatih alata za provjeru ranjivosti mreže uključujući i besplatni Nmap odnosno komercijalne proizvode tvrtki Tenable, McAfee ili Qualys može se koristiti za detekciju crva. Jedan od stručnjaka koji je doprinio ovom otkriću je Dan Kaminsky, direktor penetracijskog testiranja tvrtke IOActive poznat po otkrivanju DNS ranjivosti prošle godine.

[Aco29]

Sigurnosna kompanija Trend Micro je na svom Dear Guest, you can't see link before you register! objavila poneke novine u ponašanju crva Conficker. Nakon pompozno najavljivanog 1. travnja kao početka aktivacije nisu primijećene nikakve promjene u ponašanju crva, osim neprestanog provjeravanja datuma putem Interneta i traženja updatea HTTP protokolom.
No ovih dana je pojačana P2P komunikacija između čvorova, odnosno zaraženih računala, kojom crv skida određenu datoteku na korisničko računalo. Nakon te P2P komunikacije stiže veći kriptirani TCP odgovor, koji u sebi sadrži novu varijantu crva, odnosno navedeni update. Trend Micro je analizom koda ustanovio da je ova varijanta namještena za prestanak rada na 3. svibanj, a crv automatski briše sve skinute datoteke kako bi prikrio tragove te se širi vanjskim IP-jem ukoliko ima vezu na Internet ili lokalnim ako to nije slučaj.

Osim toga, nova varijanta otvara port 5114 koji služi kao HTTP server te se pokušava spojiti na Myspace, MSN, eBay, CNN i AOL radi provjere veze na Internet. Nakon spajanja crv briše sve tragove, history, unose u registryju i slične stvari koje bi korisnika i antivirusne programe mogle navesti na sumnju. Crv se pokušava spojiti i na još jednu poznatu Dear Guest, you can't see link before you register! domenu (crv koji krade korisničke podatke) i skinuti drugu kriptiranu datoteku print.exe, za koju se također smatra da je keylogger ili nešto slično. Nove varijante crva koje se distribuiraju njegovom P2P mrežom potiču od čvora na serveru smještenom negdje u Koreji.

Dear Guest, you can't see link before you register!

[godzila]

mene napao conficker na mac-u heheh nema na mac-u niti ce biti to samo hebeni win zeza...

[borg]

"Prema službenom priopćenju iz Bitdefendera, stručnjaci ove tvrtke identificirali su novu verziju crva Conficker/Downandup koji je u stanju sposoban izbjeći detekciju i dezinfekciju korištenjem dosadašnjih alata za njegovo uklanjanje.

Osim sprečavanja pristupa bilo kojoj antivirusnoj web stranici, kao i trećim stranama koje pružaju usluge online skeniranja i alate za uklanjanje, ovaj nadograđeni maliciozni crv sprečava i pristup na Dear Guest, you can't see link before you register!, BitDefenderov online repozitorij za distribuciju alata za dezinfekciju i uklanjanje malwarea.

Nadograđeni BitDefenderovi dezinfekcijski alati od sada su dostupni na domeni Dear Guest, you can't see link before you register!, koja se trenutno ne nalazi na crnoj listi računala zaraženih ovim malicioznim crvom."

Dear Guest, you can't see link before you register!

[Bobić]

Traje do nekih minutu i manje,,, ako zelite biti sigurni da niste pokupili tog gada,

Dear Guest, you can't see link before you register!

[dalmatino]

evo di možete provjeriti jel vam komp zaražen sa ovim čudom,ako vam se učitaju svih 6 slika onda je sve ok,a ako se ne učitaju onda vam je komp zaražen:

Dear Guest, you can't see link before you register!

i evo besplatan program sa kojim možete probati makuti tu štetočinu,već ga je stavio borg al nema veze

Dear Guest, you can't see link before you register!