Conficker
Sejarah Virus
Nama
Asal nama Conficker adalah pemikiran untuk menjadi koper dari istilah "mengkonfigurasi" kata Ficker dengan Jerman, yang berarti "pengacau." Pada sisi lain, Microsoft analis Phillips Yosua dijelaskan nama sebagai kembali dari bagian dari nama domain trafficconverter.biz, yang digunakan oleh dini untuk men-download versi update.
Discovery
Pertama yang berlainan Conficker, ditemukan pada awal Nopember 2008, propagated melalui Internet oleh sebuah kerentanan dalam memanfaatkan layanan jaringan (MS08-067) pada Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, dan Windows Server 2008 R2 Beta. Ketika Windows 7 mungkin telah dipengaruhi oleh ini kerentanan, Windows 7 Beta tidak umum tersedia sampai Januari 2009. Walaupun keadaan darurat dirilis Microsoft out-of-band patch pada 23 Oktober 2008 untuk menutup kerentanan, dalam jumlah besar Windows PC (diperkirakan sekitar 30%) tetap unpatched sebagai sebagai akhir Januari 2009. kedua varian dari worm, ditemukan pada Desember 2008, ditambah dengan kemampuan menyebarkan lebih Lans melalui removable media dan jaringan saham. Para peneliti percaya bahwa faktor yang menentukan dalam mengizinkan worm menyebarkan dengan cepat: Januari 2009, perkiraan jumlah terinfeksi berkisar antara komputer hampir 9 juta sampai 15 juta. Antivirus software vendor Panda Keamanan melaporkan bahwa dari 2 juta komputer dianalisa melalui ActiveScan, sekitar 115.000 (6%) yang terinfeksi Conficker.
Baru-baru ini perkiraan jumlah komputer telah terinfeksi terutama lebih sulit karena perubahan dalam perambatan dan memperbarui strategi varian baru dari worm.
Dampak di Eropa
Intramar, Perancis Navy jaringan komputer, telah terinfeksi Conficker pada 15 Januari 2009. Jaringan kemudian dikarantina, memaksa pesawat terbang di beberapa airbases untuk penerbangan beralasan karena rencana tersebut tidak dapat didownload.
Inggris Departemen Pertahanan melaporkan bahwa sebagian besar dari sistem dan desktop terinfeksi. Worm yang telah tersebar di kantor-kantor administrasi, NavyStar / N * desktop aboard warships berbagai Royal Navy dan Royal Navy submarines, dan rumah sakit di kota Sheffield melaporkan infeksi lebih dari 800 komputer.
Pada tanggal 2 Februari 2009, yang Bundeswehr, yang unified angkatan bersenjata dari Republik Federal Jerman melaporkan bahwa sekitar seratus dari komputer mereka terinfeksi.
J memo dari British Direktur Parlemen ICT informasi pengguna House of Commons pada tanggal 24 Maret 2009 yang telah terinfeksi dengan worm. The memo, yang kemudian leaked, disebut bagi pengguna untuk menghindari tanpa izin menghubungkan peralatan ke jaringan.
Pada tanggal 29 Mei 2009, University of Southampton dari pusat Windows server yang terpengaruh oleh sebuah wabah dari virus, sehingga kampus-lebar gangguan termasuk lisensi perangkat lunak kontrol, perusahaan aplikasi, siswa workstation, akses Internet, dan pemberitahuan pusat kebakaran alarm. Komputasi yang departemen sistem telah patch, sehingga tidak langsung terpengaruh.
Operasi
Meskipun hampir semua dari malware teknik lanjutan yang digunakan oleh Conficker sebelumnya telah menggunakan atau yang dikenal untuk peneliti, yang ulat gabungan dari penggunaan banyak telah membuatnya menjadi luar biasa sulit untuk memusnahkan. yang tidak diketahui dari worm penulis juga diyakini akan pelacakan upaya anti-malware dari jaringan operator dan penegakan hukum dan memiliki varian baru dirilis secara teratur untuk menutup ulat sendiri kerentanan.
Lima varian dari Conficker ulat diketahui dan telah dikenal Conficker A, B, C, D dan E. Mereka menemukan 21 November 2008, 29 Desember 2008, 20 Februari 2009, 4 Maret 2009 dan 7 April 2009, masing-masing.
Awal infeksi
*Varian A, B, C dan E yang memanfaatkan kerentanan dalam Server pada Windows Service komputer, di mana yang sudah terinfeksi-sumber komputer menggunakan khusus-crafted RPC permintaan untuk memaksa sebuah buffer overflow shellcode dan jalankan di komputer target. Pada sumber komputer, worm menjalankan server HTTP pada port antara 1024 dan 10000; target shellcode menyambung kembali ke server HTTP ini untuk men-download salinan worm dalam bentuk DLL, yang kemudian attaches untuk svchost.exe. Varian B dan melampirkan Mei nanti, bukan untuk berjalan services.exe atau Windows Explorer proses
* Varian B dan C jauh dapat menjalankan salinan sendiri melalui ADMIN $ berbagi pada komputer terlihat lebih NetBIOS. Jika berbagi dilindungi sandi, kamus adalah berusaha menyerang, berpotensi menghasilkan banyak lalu lintas jaringan dan berdosa akun lockout kebijakan.
* Varian B dan C tempat salinan mereka DLL formulir terlampir pada removable drive (seperti USB flash drive), dari mana mereka dapat menulari host baru melalui mekanisme Windows Autorun.
Untuk memulai sendiri pada sistem boot, cacing yang menyimpan salinan dari formulir DLL acak nama file ke dalam sistem Windows folder, kemudian menambahkan registri kunci untuk memohon svchost.exe DLL yang kelihatan sebagai layanan jaringan.
payload perambatan
Worm yang memiliki beberapa mekanisme untuk mendorong atau menariknya payloads dieksekusi melalui jaringan. Payloads ini adalah yang digunakan oleh worm untuk memperbarui sendiri untuk varian baru, dan tambahan untuk menginstal malware.
* Varian J menghasilkan daftar 250 nama domain setiap hari di lima TLDs. Nama domain yang dihasilkan dari pseudo-random number generator seeded dengan tanggal saat ini untuk memastikan bahwa setiap salinan worm menghasilkan nama yang sama setiap hari. Cacing yang kemudian mencoba sebuah koneksi HTTP ke setiap nama domain secara bergantian, mengharapkan salah satu dari mereka menandatangani payload.
o Varian B meningkatkan jumlah TLDs ke delapan, dan memiliki generator untuk memproduksi tweaked nama domain menguraikan dari orang-orang yang A.
o Untuk counter dari worm yang menggunakan nama domain pseudorandom, Internet untuk Corporation Ditugaskan Nama dan Nomor (ICANN) dan beberapa TLD registries dimulai pada Februari 2009 yang terkoordinasi dari pembatasan transfer dan pendaftaran untuk domain ini. Varian D ini dengan membuat counter harian kolam renang dari 50.000 domain TLDs di 110, yang secara acak dari 500 memilih untuk mencoba untuk hari itu. Nama domain yang dihasilkan juga pendek 8-11 ke 4-9 karakter untuk membuat mereka lebih sulit untuk mendeteksi dengan heuristics. Tarik mekanisme baru ini (yang telah dinonaktifkan hingga 1 April) adalah tidak mungkin untuk menyebarkan payloads lebih dari 1% dari terinfeksi host per hari, namun diharapkan dapat berfungsi sebagai mekanisme untuk penyemaian worm's peer-to - rekan jaringan yang dihasilkan nama singkat, namun diharapkan berbenturan dengan domain yang ada 150-200 per hari, berpotensi menyebabkan didistribusikan serangan penolakan layanan (DDoS) pada situs-situs yang melayani domain.
* Varian C membuat pipa bernama, lebih dari yang dapat mendorong URL untuk download payloads lain terinfeksi host pada jaringan area lokal.
* Varian B, C dan E-memori dalam melakukan patch ke NetBIOS-DLL terkait untuk menutup MS08-067 dan menonton untuk mencoba kembali infeksi melalui kerentanan yang sama. Re-infeksi dari versi yang lebih baru yang diizinkan melalui Conficker, efektif turning kerentanan menjadi perambatan backdoor.
* Varian D dan E membuat iklan-hoc peer-to-peer jaringan untuk mendorong dan tarik payloads melalui Internet yang lebih luas. Aspek ini adalah sangat obfuscated ulat di kode dan tidak sepenuhnya dipahami, tetapi telah diamati untuk menggunakan skala besar UDP scanning untuk membangun sebuah daftar rekan terinfeksi host dan TCP untuk transfer dari setelah menandatangani payloads. Untuk membuat analisis lebih sulit, nomor port untuk sambungan hashed dari alamat IP dari setiap rekan.
[sunting] Armoring
Untuk mencegah payloads dari hijacked, varian J payloads adalah pertama SHA1-hashed dan RC4-dienkripsi dengan 512-bit hash sebagai kunci. Hash yang kemudian RSA-tangani dengan 1024-bit kunci pribadi. The payload adalah diekstrak dan dijalankan hanya jika verifikasi tanda tangan dengan kunci publik tertanam dalam ulat. Varian B dan kemudian menggunakan MD6 sebagai fungsi hash dan meningkatkan ukuran kunci RSA 4096 bit.
[sunting] Cukup pertahanan
Varian C dari ulat ulang Sistem Kembalikan poin dan menonaktifkan sejumlah sistem layanan seperti Windows Update Otomatis, Windows Security Center, Windows Defender dan Windows Error Reporting. Proses pencocokan standar daftar antivirus, diagnostik atau sistem patch adalah alat dipantau dan dihentikan yang di-patch memori juga diterapkan pada sistem Resolver DLL memblokir hostname lookups yang berkaitan dengan vendor perangkat lunak antivirus dan layanan Windows Update.
[sunting] Akhir tindakan
E variant dari worm adalah yang pertama untuk menggunakan komputer terinfeksi dasar untuk tujuan tersembunyi.Penyalahgunaan download dan menginstal, dari web server host di Ukraina, dua tambahan payloads:
* Waledac, sebuah Spambot atau dikenal menyebarkan melalui lampiran e-mail. Waledac beroperasi sama pada 2008 Storm worm dan diyakini ditulis oleh pengarang yang sama.
* SpyProtect 2009, sebuah scareware anti virus produk.
Gejala
* Account lockout ulang kebijakan yang secara otomatis.
* Microsoft Windows Beberapa layanan seperti Pembaharuan Otomatis, Background Intelligent Transfer Service (bit), Windows Defender dan Windows Kesalahan Pelaporan dinonaktifkan.
* Domain pengendali lambat untuk merespon permintaan klien.
* Kongesti pada jaringan area lokal.
* Situs web yang berkaitan dengan perangkat lunak antivirus atau Windows Update layanan menjadi tidak dapat diakses.
* Pengguna account locked out.
Respon
Pada tanggal 12 Februari 2009, Microsoft mengumumkan pembentukan sebuah kolaborasi industri teknologi untuk memerangi dampak Conficker. Organisasi yang terlibat dalam upaya kolaborasi antara Microsoft, Afilias, ICANN, Neustar, Verisign, Cina Pusat Informasi Jaringan Internet, Warung Internet Registry, Global Domain International, Inc, M1D Global, America Online, Symantec, F-Secure, ISC, peneliti dari Georgia Tech, The Shadowserver Foundation, Arbor Networks, dan Dukungan Intelijen.
Dari Microsoft
Pada 13 Februari 2009, Microsoft menawarkan $ USD250, 000 pahala untuk informasi yang mengarah ke penangkapan dan keyakinan setiap orang di belakang penciptaan dan / atau distribusi Conficker.
Dari registries
ICANN telah dicari preemptive pembatasan dari registrasi dan transfer domain dari TLD registries dipengaruhi oleh worm generator domain. Orang-orang yang telah diambil tindakan antara lain:
* Pada 13 Maret 2009, NIC Chili, yang. Cl ccTLD registry, diblokir semua nama domain informasi oleh Kelompok Kerja dan Conficker ditinjau seratus sudah terdaftar dari worm daftar.
* Pada tanggal 24 Maret 2009, CIRA, Canadian Internet Registration Authority, dikunci semua-sebelumnya tidak terdaftar. Ca nama domain diharapkan dapat dihasilkan oleh worm selama 12 bulan.
* Pada tanggal 27 Maret 2009, NIC-Panama, yang. Pa ccTLD registry, diblokir semua nama domain informasi oleh Kelompok Kerja Conficker.
* Pada tanggal 30 Maret 2009, AKTIFKAN, Swiss ccTLD registry, mengumumkan ia "mengambil tindakan untuk melindungi alamat internet dengan akhiran. Ch dan. Conficker li dari komputer worm."
* Pada 31 Maret 2009, NASK, Polandia yang ccTLD registry, lebih dari 7.000 terkunci. Pl domain diharapkan dapat dihasilkan oleh worm melalui berikut lima bulan. NASK juga telah memberikan peringatan bahwa worm Mei lalu lintas tdk sengaja menimbulkan serangan DDoS yang sah untuk domain yang akan terjadi di dihasilkan ditetapkan.
* Pada tanggal 2 April 2009, Pulau Jaringan, yang ccTLD registry untuk Guernsey dan Jersey, dikonfirmasi setelah melakukan penyelidikan dan hubungan dengan IANA bahwa tidak ada. Gg atau. Je nama berada di kumpulan nama yang dihasilkan oleh cacing.
Removal dan deteksi
Microsoft telah merilis sebuah panduan untuk removal worm, dan sekarang merekomendasikan menggunakan rilis dari Perangkat Lunak Removal Tool untuk menghapus ulat, kemudian menerapkan patch untuk mencegah infeksi ulang.
Pihak ketiga
Pihak ketiga antivirus BitDefender vendor perangkat lunak, Enigma Software, ESET, F-Secure, Symantec,Sophos, Kaspersky Lab dan Trend Micro telah merilis update untuk deteksi produk mereka dan dapat menghapus worm.
Deteksi Otomatis jauh
Pada tanggal 27 Maret 2009, Felix Leder dan Tillmann Werner dari Honeynet Project menemukan bahwa Conficker terinfeksi-host memiliki detectable signature saat dipindai jauh. Peer-to-peer protokol yang digunakan oleh perintah varian D dan E yang sebagian telah reverse-engineered, memungkinkan peneliti untuk meniru dengan wprm jaringan perintah paket dan positif terinfeksi mengidentifikasi komputer besar-besaran. [
Pembaruan tanda tangan untuk sejumlah jaringan pemindaian aplikasi kini tersedia termasuk NMap dan Nessus.
Amerika Serikat kesiapan Tim Darurat Komputer (Cert) merekomendasikan nonaktifkan Autorun untuk mencegah Varian B dari worm dari menyebarkan melalui removable media. Sebelum rilis Microsoft Knowledgebase artikel KB967715, Microsoft Cert dijelaskan pada panduan nonaktifkan Autorun sebagai "tidak efektif" dan menyediakan Workaround untuk menonaktifkan lebih efektif. cert juga telah membuat jaringan berbasis alat untuk mendeteksi terinfeksi Conficker-host yang tersedia untuk badan-badan federal negara.
sunting dari:
http://en.wikipedia.org/wiki/Conficker
Nama
Asal nama Conficker adalah pemikiran untuk menjadi koper dari istilah "mengkonfigurasi" kata Ficker dengan Jerman, yang berarti "pengacau." Pada sisi lain, Microsoft analis Phillips Yosua dijelaskan nama sebagai kembali dari bagian dari nama domain trafficconverter.biz, yang digunakan oleh dini untuk men-download versi update.
Discovery
Pertama yang berlainan Conficker, ditemukan pada awal Nopember 2008, propagated melalui Internet oleh sebuah kerentanan dalam memanfaatkan layanan jaringan (MS08-067) pada Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, dan Windows Server 2008 R2 Beta. Ketika Windows 7 mungkin telah dipengaruhi oleh ini kerentanan, Windows 7 Beta tidak umum tersedia sampai Januari 2009. Walaupun keadaan darurat dirilis Microsoft out-of-band patch pada 23 Oktober 2008 untuk menutup kerentanan, dalam jumlah besar Windows PC (diperkirakan sekitar 30%) tetap unpatched sebagai sebagai akhir Januari 2009. kedua varian dari worm, ditemukan pada Desember 2008, ditambah dengan kemampuan menyebarkan lebih Lans melalui removable media dan jaringan saham. Para peneliti percaya bahwa faktor yang menentukan dalam mengizinkan worm menyebarkan dengan cepat: Januari 2009, perkiraan jumlah terinfeksi berkisar antara komputer hampir 9 juta sampai 15 juta. Antivirus software vendor Panda Keamanan melaporkan bahwa dari 2 juta komputer dianalisa melalui ActiveScan, sekitar 115.000 (6%) yang terinfeksi Conficker.
Baru-baru ini perkiraan jumlah komputer telah terinfeksi terutama lebih sulit karena perubahan dalam perambatan dan memperbarui strategi varian baru dari worm.
Dampak di Eropa
Intramar, Perancis Navy jaringan komputer, telah terinfeksi Conficker pada 15 Januari 2009. Jaringan kemudian dikarantina, memaksa pesawat terbang di beberapa airbases untuk penerbangan beralasan karena rencana tersebut tidak dapat didownload.
Inggris Departemen Pertahanan melaporkan bahwa sebagian besar dari sistem dan desktop terinfeksi. Worm yang telah tersebar di kantor-kantor administrasi, NavyStar / N * desktop aboard warships berbagai Royal Navy dan Royal Navy submarines, dan rumah sakit di kota Sheffield melaporkan infeksi lebih dari 800 komputer.
Pada tanggal 2 Februari 2009, yang Bundeswehr, yang unified angkatan bersenjata dari Republik Federal Jerman melaporkan bahwa sekitar seratus dari komputer mereka terinfeksi.
J memo dari British Direktur Parlemen ICT informasi pengguna House of Commons pada tanggal 24 Maret 2009 yang telah terinfeksi dengan worm. The memo, yang kemudian leaked, disebut bagi pengguna untuk menghindari tanpa izin menghubungkan peralatan ke jaringan.
Pada tanggal 29 Mei 2009, University of Southampton dari pusat Windows server yang terpengaruh oleh sebuah wabah dari virus, sehingga kampus-lebar gangguan termasuk lisensi perangkat lunak kontrol, perusahaan aplikasi, siswa workstation, akses Internet, dan pemberitahuan pusat kebakaran alarm. Komputasi yang departemen sistem telah patch, sehingga tidak langsung terpengaruh.
Operasi
Meskipun hampir semua dari malware teknik lanjutan yang digunakan oleh Conficker sebelumnya telah menggunakan atau yang dikenal untuk peneliti, yang ulat gabungan dari penggunaan banyak telah membuatnya menjadi luar biasa sulit untuk memusnahkan. yang tidak diketahui dari worm penulis juga diyakini akan pelacakan upaya anti-malware dari jaringan operator dan penegakan hukum dan memiliki varian baru dirilis secara teratur untuk menutup ulat sendiri kerentanan.
Lima varian dari Conficker ulat diketahui dan telah dikenal Conficker A, B, C, D dan E. Mereka menemukan 21 November 2008, 29 Desember 2008, 20 Februari 2009, 4 Maret 2009 dan 7 April 2009, masing-masing.
Awal infeksi
*Varian A, B, C dan E yang memanfaatkan kerentanan dalam Server pada Windows Service komputer, di mana yang sudah terinfeksi-sumber komputer menggunakan khusus-crafted RPC permintaan untuk memaksa sebuah buffer overflow shellcode dan jalankan di komputer target. Pada sumber komputer, worm menjalankan server HTTP pada port antara 1024 dan 10000; target shellcode menyambung kembali ke server HTTP ini untuk men-download salinan worm dalam bentuk DLL, yang kemudian attaches untuk svchost.exe. Varian B dan melampirkan Mei nanti, bukan untuk berjalan services.exe atau Windows Explorer proses
* Varian B dan C jauh dapat menjalankan salinan sendiri melalui ADMIN $ berbagi pada komputer terlihat lebih NetBIOS. Jika berbagi dilindungi sandi, kamus adalah berusaha menyerang, berpotensi menghasilkan banyak lalu lintas jaringan dan berdosa akun lockout kebijakan.
* Varian B dan C tempat salinan mereka DLL formulir terlampir pada removable drive (seperti USB flash drive), dari mana mereka dapat menulari host baru melalui mekanisme Windows Autorun.
Untuk memulai sendiri pada sistem boot, cacing yang menyimpan salinan dari formulir DLL acak nama file ke dalam sistem Windows folder, kemudian menambahkan registri kunci untuk memohon svchost.exe DLL yang kelihatan sebagai layanan jaringan.
payload perambatan
Worm yang memiliki beberapa mekanisme untuk mendorong atau menariknya payloads dieksekusi melalui jaringan. Payloads ini adalah yang digunakan oleh worm untuk memperbarui sendiri untuk varian baru, dan tambahan untuk menginstal malware.
* Varian J menghasilkan daftar 250 nama domain setiap hari di lima TLDs. Nama domain yang dihasilkan dari pseudo-random number generator seeded dengan tanggal saat ini untuk memastikan bahwa setiap salinan worm menghasilkan nama yang sama setiap hari. Cacing yang kemudian mencoba sebuah koneksi HTTP ke setiap nama domain secara bergantian, mengharapkan salah satu dari mereka menandatangani payload.
o Varian B meningkatkan jumlah TLDs ke delapan, dan memiliki generator untuk memproduksi tweaked nama domain menguraikan dari orang-orang yang A.
o Untuk counter dari worm yang menggunakan nama domain pseudorandom, Internet untuk Corporation Ditugaskan Nama dan Nomor (ICANN) dan beberapa TLD registries dimulai pada Februari 2009 yang terkoordinasi dari pembatasan transfer dan pendaftaran untuk domain ini. Varian D ini dengan membuat counter harian kolam renang dari 50.000 domain TLDs di 110, yang secara acak dari 500 memilih untuk mencoba untuk hari itu. Nama domain yang dihasilkan juga pendek 8-11 ke 4-9 karakter untuk membuat mereka lebih sulit untuk mendeteksi dengan heuristics. Tarik mekanisme baru ini (yang telah dinonaktifkan hingga 1 April) adalah tidak mungkin untuk menyebarkan payloads lebih dari 1% dari terinfeksi host per hari, namun diharapkan dapat berfungsi sebagai mekanisme untuk penyemaian worm's peer-to - rekan jaringan yang dihasilkan nama singkat, namun diharapkan berbenturan dengan domain yang ada 150-200 per hari, berpotensi menyebabkan didistribusikan serangan penolakan layanan (DDoS) pada situs-situs yang melayani domain.
* Varian C membuat pipa bernama, lebih dari yang dapat mendorong URL untuk download payloads lain terinfeksi host pada jaringan area lokal.
* Varian B, C dan E-memori dalam melakukan patch ke NetBIOS-DLL terkait untuk menutup MS08-067 dan menonton untuk mencoba kembali infeksi melalui kerentanan yang sama. Re-infeksi dari versi yang lebih baru yang diizinkan melalui Conficker, efektif turning kerentanan menjadi perambatan backdoor.
* Varian D dan E membuat iklan-hoc peer-to-peer jaringan untuk mendorong dan tarik payloads melalui Internet yang lebih luas. Aspek ini adalah sangat obfuscated ulat di kode dan tidak sepenuhnya dipahami, tetapi telah diamati untuk menggunakan skala besar UDP scanning untuk membangun sebuah daftar rekan terinfeksi host dan TCP untuk transfer dari setelah menandatangani payloads. Untuk membuat analisis lebih sulit, nomor port untuk sambungan hashed dari alamat IP dari setiap rekan.
[sunting] Armoring
Untuk mencegah payloads dari hijacked, varian J payloads adalah pertama SHA1-hashed dan RC4-dienkripsi dengan 512-bit hash sebagai kunci. Hash yang kemudian RSA-tangani dengan 1024-bit kunci pribadi. The payload adalah diekstrak dan dijalankan hanya jika verifikasi tanda tangan dengan kunci publik tertanam dalam ulat. Varian B dan kemudian menggunakan MD6 sebagai fungsi hash dan meningkatkan ukuran kunci RSA 4096 bit.
[sunting] Cukup pertahanan
Varian C dari ulat ulang Sistem Kembalikan poin dan menonaktifkan sejumlah sistem layanan seperti Windows Update Otomatis, Windows Security Center, Windows Defender dan Windows Error Reporting. Proses pencocokan standar daftar antivirus, diagnostik atau sistem patch adalah alat dipantau dan dihentikan yang di-patch memori juga diterapkan pada sistem Resolver DLL memblokir hostname lookups yang berkaitan dengan vendor perangkat lunak antivirus dan layanan Windows Update.
[sunting] Akhir tindakan
E variant dari worm adalah yang pertama untuk menggunakan komputer terinfeksi dasar untuk tujuan tersembunyi.Penyalahgunaan download dan menginstal, dari web server host di Ukraina, dua tambahan payloads:
* Waledac, sebuah Spambot atau dikenal menyebarkan melalui lampiran e-mail. Waledac beroperasi sama pada 2008 Storm worm dan diyakini ditulis oleh pengarang yang sama.
* SpyProtect 2009, sebuah scareware anti virus produk.
Gejala
* Account lockout ulang kebijakan yang secara otomatis.
* Microsoft Windows Beberapa layanan seperti Pembaharuan Otomatis, Background Intelligent Transfer Service (bit), Windows Defender dan Windows Kesalahan Pelaporan dinonaktifkan.
* Domain pengendali lambat untuk merespon permintaan klien.
* Kongesti pada jaringan area lokal.
* Situs web yang berkaitan dengan perangkat lunak antivirus atau Windows Update layanan menjadi tidak dapat diakses.
* Pengguna account locked out.
Respon
Pada tanggal 12 Februari 2009, Microsoft mengumumkan pembentukan sebuah kolaborasi industri teknologi untuk memerangi dampak Conficker. Organisasi yang terlibat dalam upaya kolaborasi antara Microsoft, Afilias, ICANN, Neustar, Verisign, Cina Pusat Informasi Jaringan Internet, Warung Internet Registry, Global Domain International, Inc, M1D Global, America Online, Symantec, F-Secure, ISC, peneliti dari Georgia Tech, The Shadowserver Foundation, Arbor Networks, dan Dukungan Intelijen.
Dari Microsoft
Pada 13 Februari 2009, Microsoft menawarkan $ USD250, 000 pahala untuk informasi yang mengarah ke penangkapan dan keyakinan setiap orang di belakang penciptaan dan / atau distribusi Conficker.
Dari registries
ICANN telah dicari preemptive pembatasan dari registrasi dan transfer domain dari TLD registries dipengaruhi oleh worm generator domain. Orang-orang yang telah diambil tindakan antara lain:
* Pada 13 Maret 2009, NIC Chili, yang. Cl ccTLD registry, diblokir semua nama domain informasi oleh Kelompok Kerja dan Conficker ditinjau seratus sudah terdaftar dari worm daftar.
* Pada tanggal 24 Maret 2009, CIRA, Canadian Internet Registration Authority, dikunci semua-sebelumnya tidak terdaftar. Ca nama domain diharapkan dapat dihasilkan oleh worm selama 12 bulan.
* Pada tanggal 27 Maret 2009, NIC-Panama, yang. Pa ccTLD registry, diblokir semua nama domain informasi oleh Kelompok Kerja Conficker.
* Pada tanggal 30 Maret 2009, AKTIFKAN, Swiss ccTLD registry, mengumumkan ia "mengambil tindakan untuk melindungi alamat internet dengan akhiran. Ch dan. Conficker li dari komputer worm."
* Pada 31 Maret 2009, NASK, Polandia yang ccTLD registry, lebih dari 7.000 terkunci. Pl domain diharapkan dapat dihasilkan oleh worm melalui berikut lima bulan. NASK juga telah memberikan peringatan bahwa worm Mei lalu lintas tdk sengaja menimbulkan serangan DDoS yang sah untuk domain yang akan terjadi di dihasilkan ditetapkan.
* Pada tanggal 2 April 2009, Pulau Jaringan, yang ccTLD registry untuk Guernsey dan Jersey, dikonfirmasi setelah melakukan penyelidikan dan hubungan dengan IANA bahwa tidak ada. Gg atau. Je nama berada di kumpulan nama yang dihasilkan oleh cacing.
Removal dan deteksi
Microsoft telah merilis sebuah panduan untuk removal worm, dan sekarang merekomendasikan menggunakan rilis dari Perangkat Lunak Removal Tool untuk menghapus ulat, kemudian menerapkan patch untuk mencegah infeksi ulang.
Pihak ketiga
Pihak ketiga antivirus BitDefender vendor perangkat lunak, Enigma Software, ESET, F-Secure, Symantec,Sophos, Kaspersky Lab dan Trend Micro telah merilis update untuk deteksi produk mereka dan dapat menghapus worm.
Deteksi Otomatis jauh
Pada tanggal 27 Maret 2009, Felix Leder dan Tillmann Werner dari Honeynet Project menemukan bahwa Conficker terinfeksi-host memiliki detectable signature saat dipindai jauh. Peer-to-peer protokol yang digunakan oleh perintah varian D dan E yang sebagian telah reverse-engineered, memungkinkan peneliti untuk meniru dengan wprm jaringan perintah paket dan positif terinfeksi mengidentifikasi komputer besar-besaran. [
Pembaruan tanda tangan untuk sejumlah jaringan pemindaian aplikasi kini tersedia termasuk NMap dan Nessus.
US federal agencies
Amerika Serikat kesiapan Tim Darurat Komputer (Cert) merekomendasikan nonaktifkan Autorun untuk mencegah Varian B dari worm dari menyebarkan melalui removable media. Sebelum rilis Microsoft Knowledgebase artikel KB967715, Microsoft Cert dijelaskan pada panduan nonaktifkan Autorun sebagai "tidak efektif" dan menyediakan Workaround untuk menonaktifkan lebih efektif. cert juga telah membuat jaringan berbasis alat untuk mendeteksi terinfeksi Conficker-host yang tersedia untuk badan-badan federal negara.
sunting dari:
http://en.wikipedia.org/wiki/Conficker
Komentar
Posting Komentar