Conficker worm - how to detect, remove, prevent!
สารบัญ:
- The Worm Stirs Conficker.c ได้รับการตั้งโปรแกรมให้สร้างการเชื่อมโยงจากคอมพิวเตอร์โฮสต์ที่ติดไวรัสกับเซิร์ฟเวอร์คำสั่งและควบคุมในเวลาเที่ยงคืน GMT วันที่ 1 เมษายนเมื่อต้องการเข้าถึงเซิร์ฟเวอร์ควบคุมเหล่านี้ Conficker.c จะสร้างรายชื่อ 50,000 ชื่อโดเมนและเลือกโดเมน 500 ชื่อที่จะติดต่อ กระบวนการดังกล่าวเริ่มต้นขึ้นนักวิจัยกล่าวว่า
- ความช่วยเหลือเพิ่มเติมมาจากกลุ่มผู้ค้าปลีกด้านความปลอดภัยและกลุ่มอื่น ๆ ที่เรียกว่า Conficker Working Group ซึ่งรวมกลุ่มกันเพื่อป้องกันการเข้าถึงโดเมนที่ Conficker กำลังพยายามสื่อสารด้วย แต่ไม่ชัดเจนว่าความพยายามเหล่านั้นซึ่งประสบความสำเร็จในการสกัดกั้นเวิร์มเวอร์ชันก่อนหน้านี้จะมีผลต่อการเปิดใช้งาน Conficker.c หรือไม่ "เราไม่สามารถบอกได้เลยว่าประสบความสำเร็จในการปิดกั้นพวกเขาหรือไม่ Dirro กล่าวว่า "นี่เป็นสิ่งที่เราจะได้เห็นเมื่อโดเมนแรกเริ่มให้บริการมัลแวร์จริง ๆ ถ้าอย่างน้อยที่สุดคนหนึ่งก็เริ่มทำเช่นนั้น"
" พวกเขาไม่ได้ออกแบบผมคิดว่าในการลดโครงสร้างพื้นฐานเนื่องจากว่าจะแยกพวกเขาออกจากผู้ที่ตกเป็นเหยื่อของพวกเขา "พอลเฟอร์กูสันนักวิจัยด้านภัยคุกคามของ บริษัท เทรนด์ไมโครกล่าวว่าเทคโนโลยีและการออกแบบ Conficker.c เป็น" สวยมาก "
" พวกเขาต้องการรักษาโครงสร้างพื้นฐานให้ดีขึ้นเพื่อให้คนดีสามารถตอบโต้และบรรเทาสิ่งที่พวกเขาได้ทำขึ้น "เขากล่าว"
[อ่านเพิ่มเติม: เพื่อลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows ของคุณ]The Worm Stirs Conficker.c ได้รับการตั้งโปรแกรมให้สร้างการเชื่อมโยงจากคอมพิวเตอร์โฮสต์ที่ติดไวรัสกับเซิร์ฟเวอร์คำสั่งและควบคุมในเวลาเที่ยงคืน GMT วันที่ 1 เมษายนเมื่อต้องการเข้าถึงเซิร์ฟเวอร์ควบคุมเหล่านี้ Conficker.c จะสร้างรายชื่อ 50,000 ชื่อโดเมนและเลือกโดเมน 500 ชื่อที่จะติดต่อ กระบวนการดังกล่าวเริ่มต้นขึ้นนักวิจัยกล่าวว่า
แน่นอนว่ามีกี่เครื่องที่ติดไวรัส Conficker.c แต่ยังไม่ทราบแน่ชัดว่าระบบที่ติดไวรัส Conficker จำนวนมากโดยประมาณจะมีจำนวนมากกว่า 10 ล้านเครื่องทำให้มีขนาดใหญ่ที่สุดแห่งหนึ่ง botnet ที่เคยเห็น
ในขณะที่คอมพิวเตอร์ที่ติดเชื้อได้เริ่มติดต่อกับเซิร์ฟเวอร์คำสั่งตามที่คาดไว้ไม่มีอะไรที่ไม่ดีเกิดขึ้น
"เราได้สังเกตว่า Conficker กำลังเอื้อมมือออกไป แต่จนถึงขณะนี้ไม่มีเซิร์ฟเวอร์ใดที่พวกเขาพยายามเข้าถึง กำลังให้บริการมัลแวร์ตัวใหม่ ๆ หรือคำสั่งใหม่ ๆ "Toralv Dirro นักยุทธศาสตร์ด้านความมั่นคงของ McAfee Avert Labs ในเยอรมนีกล่าว" นี่อาจหมายถึงคนที่ควบคุม Conficker กำลังรอคอยเวลาให้กับนักวิจัยและผู้จัดการฝ่ายไอที ผ่อนคลายยามและสันนิษฐานว่าสิ่งที่แย่ที่สุดก็จบลง "
Dirro กล่าวว่า "มันจะโง่เง่าสำหรับพวกที่ใช้ Conficker เพื่อใช้โอกาสแรก "ถ้ามีอะไรเกิดขึ้นอาจเกิดขึ้นได้ในสองสามวัน"
การตรวจจับการเพิ่ม Innoculations
เวลาไม่ได้อยู่ในฝั่งของ Conficker สามารถตรวจจับและนำออกเวิร์มได้โดยง่าย ตัวอย่างเช่นถ้าพีซีไม่สามารถเข้าถึงเว็บไซต์เช่น McAfee.com, Microsoft.com หรือ Trendmicro.com ซึ่งเป็นข้อบ่งชี้ว่าคอมพิวเตอร์อาจติดไวรัส
นอกจากนี้ผู้จัดการฝ่ายไอทีสามารถตรวจจับการจราจรได้อย่างง่ายดาย จากชื่อโดเมนแบบคั่นและบล็อกการเข้าถึงคอมพิวเตอร์ในเครือข่าย บริษัท ของตน "อาชญากรที่รอนานกว่านั้นคือเจ้าภาพที่ติดเชื้อน้อยกว่านี้" Dirro กล่าวว่า
ความช่วยเหลือเพิ่มเติมมาจากกลุ่มผู้ค้าปลีกด้านความปลอดภัยและกลุ่มอื่น ๆ ที่เรียกว่า Conficker Working Group ซึ่งรวมกลุ่มกันเพื่อป้องกันการเข้าถึงโดเมนที่ Conficker กำลังพยายามสื่อสารด้วย แต่ไม่ชัดเจนว่าความพยายามเหล่านั้นซึ่งประสบความสำเร็จในการสกัดกั้นเวิร์มเวอร์ชันก่อนหน้านี้จะมีผลต่อการเปิดใช้งาน Conficker.c หรือไม่ "เราไม่สามารถบอกได้เลยว่าประสบความสำเร็จในการปิดกั้นพวกเขาหรือไม่ Dirro กล่าวว่า "นี่เป็นสิ่งที่เราจะได้เห็นเมื่อโดเมนแรกเริ่มให้บริการมัลแวร์จริง ๆ ถ้าอย่างน้อยที่สุดคนหนึ่งก็เริ่มทำเช่นนั้น"
แม้จะผ่านช่วงเวลาที่แน่นอนในการเปิดใช้งานภัยคุกคามของ Conficker ก็ยังคงเป็นจริง
" พวกเขามีความซับซ้อนมากมืออาชีพมากและมุ่งมั่นมากในการดำเนินการและเปลี่ยนแปลงสิ่งต่างๆ "เฟอร์กูสันกล่าวเสริมว่า Conficker.c ได้รับการปกป้องและรอดชีวิตได้ดีกว่าเวิร์มรุ่นก่อน ๆ "การเปิดใช้งานนี้ในวันที่ 1 เมษายนอาจเป็นไปได้โดยพลการและทำให้เกิดอาการฮิสทีเรีย"
ในบางจุดผู้คนที่อยู่เบื้องหลัง Conficker.c อาจพยายามสร้างรายได้จาก botnet ที่พวกเขาสร้างขึ้นหรืออาจมีความตั้งใจอื่น ๆ
"ความลึกลับอันใหญ่หลวงคือมีปืนใหญ่ขนาดใหญ่นี้ที่มีอยู่ซึ่งมีเครือข่ายนับล้านเครื่องที่อยู่ภายใต้การควบคุมของบุคคลที่ไม่รู้จัก" เฟอร์กูสันกล่าว "พวกเขาไม่ได้ระบุว่าแรงจูงใจของพวกเขาเป็นอะไรนอกเหนือจากการเล่นตลกกับคนอื่น ๆ "
Camus เคยร่วมงานกับ CEO ของ EADS ซึ่งเป็น บริษัท ด้านอวกาศของยุโรป ปัจจุบันเขาเป็นกรรมการผู้จัดการของ Evercore Partners ซึ่งเป็นที่ปรึกษาของสหรัฐฯและยังเป็น CEO ของ Lagardere ซึ่งเป็น บริษัท สื่อฝรั่งเศส เขาจะยังคงอยู่ในบทบาทดังกล่าวหลังจากที่เขากลายเป็นประธาน Alcatel และจะอยู่ที่ New York Verwaayen เป็น CEO ของ BT ในสหราชอาณาจักรจนถึงเดือนมิถุนายนและเขาจะดำรงตำแหน่งในปารีสในบทบาท Alcatel- Lucent CEO หนังสือพิมพ์รายดังกล่าว Alcatel-Lucent ซึ่งพยายามหาทางการเงินกำลังค้นหาผู้บริหารระดับสูงคนใหม่ตั
2 ปี การควบกิจการของ Alcatel และ Lucent ไม่ได้ราบรื่น Tchuruk และ Russo รายงานว่ายังไม่ได้รับพร้อมในช่วงเวลานั้นและวัฒนธรรมของทั้งสอง บริษัท ยังไม่ได้รับการพอดีง่าย
ปิดไดรฟ์ดิสก์ออกจาก PlayStation Portable ของ Sony และเพิ่ม gamepad สไลด์โชว์ที่ได้รับการออกแบบโดย Mylo และคุณจะได้รับ PSP Go ที่เล็กลงเบาและมีราคาแพงกว่า โซนี่ได้เลื่อนระดับราคาของแพลตฟอร์มมาจาก $ 170 ถึง $ 250 เป็นค่าใช้จ่าย 5/6 ของ PlayStation 3 หรือ Xbox 360 Elite ซึ่งเป็นหุ่นยนต์เกมที่สามารถโปรแกรมแก้ไขได้หรือรับประทานอาหารค่ำที่ร้าน Fat Fat Dump ของ Heston Blumenthal ในการแลกเปลี่ยนคุณจะได้รับ nips และ tucks ในน้ำหนักและขนาดอินเทอร์เฟซจับริบหรี่ retooled บลูทู ธ และหน่วยความจำแฟลชภายใน 16 ก
Nintendo ได้ลดลง DS ของสองครั้งตั้งแต่เปิดตัวดังนั้น turnabout การแข่งขันคือ fair play PSP Go ของ Sony เป็นรูปแบบการเปลี่ยนแปลงที่สี่ของแพลตฟอร์มโดยลดน้ำหนักลงเหลือ 5.6 ออนซ์น้ำหนักเบากว่า PSP Slim ถึง 16 เปอร์เซ็นต์และน้ำหนักเบากว่า PSP-1000 ถึง 43% นอกจากนี้ยังมีขนาดเล็กกว่า PSP Slim ถึง 35 เปอร์เซ็นต์บรรจุข้อมูลทุกอย่างที่รุ่นเก่ายกเว้นไดรฟ์ UMD ในพื้นที่น้อยกว่า 3 แห่งและรวมถึงหน้าจอไวด์สกรีนขนาด 480 x 272 พิกเซล ด้านพลิกกลับ: พิกเซล LCD ใช้พื้นที่น้อยลงเนื่องจาก Sony ย่อขนาดเส้นทแยงมุมจาก 4
Metasploit ได้เปิดตัวการโจมตีที่ดีขึ้นสำหรับการโจมตีแบบ zero-day ของ IE ซึ่งทำให้การใช้งานทางอาญามีโอกาสมากขึ้น
แฮกเกอร์ที่ทำงานในโครงการโอเพ่นซอร์ส Metasploit ได้โจมตี Microsoft Internet Explorer โดยไม่ได้รับผลกระทบเป็นศูนย์ทำให้มั่นใจได้มากขึ้นและมีแนวโน้มที่จะถูกใช้โดยอาชญากร