Conficker, exploateaza o vulnerabilitate descrisa in buletinul de securitate Microsoft MS08-067 ca fiind critica.In principal, e vorba de o vulnerabilitate intr-un serviciul al Windows Server pentru care Microsoft a emis un patch in luna octombrie a anului trecut.
Acest vierme executa un atac de tip dictionar (folosind un set de cuvinte frecvent utilizate ca parole) in scopul spargerii parolelor utilizatorilor, inevitabil blocand in acelasi timp conturile acestora din domeniul Active Directory (daca politica de blocare a conturilor pentru introducerea repetata de parole gresite e activata).
Dezvoltatorii de solutii de securitate au sustin ca Downadup poate infecta si stick-uri USB, propagandu-se astfel si pe platformele client.
Se estimeaza ca masinile infectate cu acest vierme sunt puternic expuse riscului de a deveni parte a unor retele botnet periculoase si ca deja exista peste 3,5 milioane de computere infectate ( in conformitate cu datele celor de la F Secure ) .
Totul se datoreaza se datoreaza comportamentului viermelui Downadup, ce incearca sa se conecteze la varii adrese de pe Internet. Odata conectat la un server web activ aflat pe unul din aceste domenii, viermele descarca si ruleaza un anumit executabil, oferind creatorilor sai control total asupra statiilor infectate.
Downadup si Downadup.B folosesc un algoritm complex care se modifica zilnic, bazat pe timestamp-uri de pe site-uri publice precum Google sau Baidu.com. Acest algoritm permite viermelui sa genereze un numar mare de nume de domenii in fiecare zi, care nu sunt aproape niciodata inregistrate, ceea ce face practic imposibila interventia specialistilor in securitate asupra sa, in scopul opririi sale.
Pe de alta parte, creatorii sai detin un avantaj major, avand libertatea de a stabili in avans un posibil domeniu pentru ziua urmatoare, a-l inregistra si a configura un site. Ei obtin astfel acces la toate statiile de lucru infectate.
Aceasta vulnerabilitate in fata Downadup si respectiv Downadup.B poate fi remediata prin instalarea ultimelor update-uri de securitate Microsoft pe care le puteti descarca alegand varianta compatibila cu sistemul instalat pe propriul pc de aici
De asemenea, Symantec ofera detalii despre cum se poate controla procesul de Autorun si chiar un tutorial video pentru impiedicarea rularii autonome a programelor malitioase.
Se recomanda tuturor celor care folosesc versiunile de sistem de operare afectate (vezi buletinul de securitate MS08-067 ) sa aplice de urgenta ultimele update-uri de securitate si sa acorde atentie laptop-urilor si stick-urilor USB cu care intra in contact, verificandu-le prin intermediul unei aplicatii de control al accesului in retea (NAP, NAC).
(surse: Gecad, Symantec, F Secure, ZDNet, Security Focus)
