Share via

Conficker/Kido/Donwnandup – эмоциональная часть (#%&!!!!)

  • Article

??????? ??? ?????????? ?? Securitylab ??? Conficker.. ??????? - "???? ??? ????? ????, ??????? ????????? ????????..." ? ???? ????? ????? ?????. ??? ?? ??? ????? ??????, ?? ????????? ????????… ???? ??????, ?? ????? (!!!) ?? ????????? ?????? ???????? Conficker ? ???? ?????????? ???? ????????? ???????. ??? ??????? ????????? ?????? ?? ?? ???????????? ?????????? ? ??????? ??????! ?? ? ?? ???? ??? ??????? ???, ????? ????? ????? ???????? ??????? "????????????? ?????????? ?????????????"…

???? ?? ?????????? ???????? ??.. ???.. ????? ???????, ?? ??????????? ??????? ?????????? ??????? ??????? ??? (????????? ?????? ??????????): 

1. ????????????? ?? ????????, ????????? ???????? ? ????? ????, ?????? ????????, ?????????? ??? ???? ???????????, ?????????? ? ??? ????? ????? ? ?????.

2. ????????????? ?? ????????? ?????????? ? ?????????? ? ??? ??? ?????????????????? ????????????? ??????. 

3. ????????? ???????????? ???????? ?????????? ? ????????????? ???.

--- ?????? ???. ----

4. ???????????, ?????????? ?? ???????, ????????? ??? ?? ?????? ? ??????????…

  • ????????????
  • ????? ??????? ??????????
  • ????? ???????????? ???????????? ??? ??????????
  • ????????? ???????????? ????
  • ?????? ???????????? ???? ? ????????

---- ?????? ????. ----

5. ????????????? ??????????? ??? ?????? ???????????? ?????? ? ????????? ?????????. (? ?????? MS, ????????????? ?? = ????????????? ??????????, ??. Microsoft Forefront)

6. ???????? ????????? ?????? ?? ? ??????? ???????????, ???????, ???????????? ?????-?? ????, ????????????????? ? ???????????? ? ??????.

?????: ????? ???????? ??????? ?????????? ? ????????? ???????? ????????? ? ???????? (??. ?????? ???. ? ????.) ???????? ??? ????? ????? ??? ????? ????! ? ???? ?? ??? ?????? ?????????? ???????? ??????? ??????????, ?? ?????? ??????? ???????! ??????? ??? ???? ?????????? ???????? ? ?????????? ??????? ?????? ??????????? ???????:

 

Baster(??????  2003)

Sasser(?????? 2004)

Zotob(?????? 2005)

Conficker(?????? 2008)

?????????????? ?????????????

????? 1 ????

????? 2 ????

?? 2 ??? ??

?? 1 ??? ??

?????  ????????? ?????????? ?? ???????????????

????? 10 ????

????? 2 ???

? ??? ?? ????

? ??? ?? ????

?????? ???????? ?????? ???????????

????? 38 ????

????? 3 ???

????? 3 ???

? ??? ?? ????

????? ???????????

 

????? 7 ????

????? 11 ????

???????,?????

?????? ??????? ?? ???? ?????????. ?????????? ?? ???? ???? ? ?????????, ??? ??? ???????? ???? ???????????? ??? ???? ??????????? ? ????? ???????????. ??????? ??????? ???????!

Comments

  • Anonymous
    January 01, 2003
    >>Он хитрый и распространяется еще и через локалку. Согласен, 2-я вариация как раз таки стала хитрее, чтобы брутфорсить слабые пароли и рапсространяться по локалкам... мои коллеги более побробно о технических вичах червя и как с ними бороться уже тут отписались www.microsoft.com/rus/conficker

  • Anonymous
    February 18, 2009
    Насчет наличия в сети проактивных мер ещё задолго до появления самого Conficker - полностью с Вами согласен, Ренат. Собственно, об этом я тоже писал в своем блоге: Подводя итоги, хочу отметить, что критическая уязвимость службы ОС Windows, используемая для распространения червя, была обнаружена давно. Причем информация об этой уязвимости была выпущена в виде срочного бюллетеня по безопасности вместе с набором обновлений для устранения данной уязвимости ещё в октябре 2008 года! Самое интересное, что даже в крупных компаниях с отдельным отделом информационной безопасности, офицеры безопасности не подписаны даже на уведомление о выходе новых Security Bulletins по почте =) Смех сквозь слёзы, по другому не скажешь.

  • Anonymous
    February 18, 2009
    Да, корпорация предупредила за месяц техническим бюллетенем безопасности. А домашних пользователей кто предупредил? Ну да, тех самых, которые не пользуются WU (по какой причине - второй вопрос). Почему на сайте справки и поддержки http://support.microsoft.com/ на главной не висит никакого объявления (хотя оно висeло тут http://windowshelp.microsoft.com/Windows/ru-RU/default.mspx и то, появилось только после начала эпидемии, а не после выхода патча)? Почему корпорация обратилась к лидерам технических сообществ с просьбой "донести слово в народ" только после начала эпидемии, а не сразу после выхода патча? Ведь знали, какой размах будет... Мы на oszone сразу после выхода бюллетеня повесили объявление и предупредили, что это будет еще один бластер/сассер. А на форуме Текнет повесили такое объявление во всех осевых форумах? Нет, конечно. А почему? Так что не только нерадивых админов надо винить, но и использовать имеющиеся связи с сообществом :)

  • Anonymous
    February 18, 2009
    >>И если бы все просто установили вышедшее вовремя >>обновление, то вообще никакиз проблем! В случае с конфикером все не так просто. Он хитрый и распространяется еще и через локалку. Так что, если у вас есть локалка, то даже галочка автоапдейтов бы не спасла, при наличии админ шары и слабых паролей. Но в целом всё верно - обычно эта галочка спасает от 99% проблем. Жалко, что в России до сих пор у большинства она не включена, поэтому Россия и в тройке по числу заражений конфикером

  • Anonymous
    February 18, 2009
    Ну да, нынче вообще большинство вирусов являются прямым плагиатом анекдота про талибанский вирус: "у нас слишком мало денег, по этому просто разошлите это сообщение всему своему списку адресатов и отформатируйте ваш хард драйв, спасибо!" Но, хочется отметить, что 99.9% корпоративных пользователей не могут применить апдейты до того, как эти апдейты будут протестированы ИТ на предмет совместимости с корпоративными системами. А это тоже процесс не слишком быстрый. И тупо ставить все апдейты которых каждый день по три штуки и два из них хотят перезагрузки компьюетра, который по две-три недели не выключается для экономии времени сотрудника... В общем, "на самом деле все не так, как в действительности." PS: но идея хорошая, найти автора шутки про талибанский вирус, и судить авторов вирусов еще и за нарушение копирайта :-)

  • Anonymous
    February 24, 2009
    Мне кажется, что Вы валите с больной головы на здоровую. Главная проблемма не патчи, а реализация системы автозагрузки, особенно с flash. Вы попробуйте воспользоваться своими советами и вставте флешку с conficker-ом при отключенной автозагрузке в свой комп. Отключение ни чего не дает- надо менять реестр, а это извините не задача даже проффи....

  • Anonymous
    March 09, 2009
    renatmin: Всё таки drk прав - проблема не столько в пользователях или администраторах, сколько в системе (архитектуре и реализации). Попробуйте представить, что есть аналог конфикера для BSD (думаю, что linux тоже, но я его почти не знаю) и попытаемся сделать тоже самое с правами пользователя в этой системе. Да система просто не даст ему доступа! А если ещё монтировать с правами /noexec, то вирь даже запуститься не сможет (и /home вынести в отдельную партицию на слайсе и монтировать так же с /noexec). А винда? Пользователь даже с самыми урезанными правами может грохнуть системы на раз-два. :(     Можно, конечно, тупо сидеть и правах на каталоги/файлы/реестр/прочие_объекты это разруливать (одной групповой политикой тут сложно ограничиться), но как-то глупо и совершенно бессмысленно. Да и после таких ковыряний всё равно будут лазейки. Не говоря уж о проблемах: винда боле-менее нормально работает в пределах тех настроек, какие заложены разработчиками, а стоит копнуть поглубже - проблемы лезут пачками.