9.000.000 zarazenih racunara

Danas u 17:00h na TV ( mislim da je RTS1 ) bila je informacija da se internetom siri novi virus ( crv ) i da je vec 9.000.000 racunara zarazeno , o cemu se radi i kako se zastititi , sa tv preporucuju update windowsa .

_{[Ovu poruku je menjao zonic dana 21.01.2009. u 20:20 GMT+1]}

na sajtu RTS-a nema nista o tome

MikroVesti
IZDANJE ČASOPISA MIKRO-PC WORLD
Sreda 21.01.2009.


Virus Conflicker zarazio milione računara

Virus Conflicker, poznat još i kao Downadup i Kido, pojavio se u oktobru 2008, a već je zarazio preko devet miliona računara brzinom koja do sada nije zabeležena – u poslednja četiri dana zarazio je preko šest miliona računara. Stručnjaci upozoravaju da hakeri tek treba da aktiviraju tovar koji je doneo sa sobom.

Virus se širi kroz slabo obezbeđene kompanijske mreže, personalne računare na kojima nije instalirana najnovija antivirusna zakrpa i USB memorije. Za to koristi slabost Windows Server Servicea i nekoliko mehanizama napada i samozaštite među kojima su pogađanje mrežnih lozinki i skrivanje u šumi nasumično generisanih imena datoteka i veb lokacija.

Zaraženi računar skenira mrežu u potrazi za drugim računarima i pokušava da im pristupi služeći se propustom u sistemu bezbednosti Windowsa. Ako mu za to zatreba lozinka, u slučaju da je kratka otkriće je metodom sirove sile – čistim pogađanjem, a tamo gde ne uspe aktiviraće automatsko zaključavanje koje služi kao zaštita u slučajevima kad korisnik previše puta unese pogrešnu lozinku. Zbog toga je jedan od problema koje prouzrokuje mrežnim korisnicima taj što im zaključava nalog za pristup.

Kad ovaj zlonamerni softver uđe u mrežu veoma ga je teško ukloniti, jer se veoma agresivno štiti tako što se restartuje u ranoj fazi podizanja sistema i menja prava pristupa datotekama i ključevima pod kojima je zaveden u registru, pa ih korisnici ne mogu ni ukloniti, ni promeniti. Pored toga onemogućava i restauriranje sistema u stanje pre infekcije.

Kad uđe u sistem virus brzo evoluira, jer preuzima modifikovane verzije samog sebe sa veb lokacije skrivene u dugom spisku lokacija čija imena generiše poseban algoritam služeći se uz to i podacima o datumu i vremenu. Pošto se na ovaj način pravi na stotine različitih imena domena, kompanijama specijalizovanim za bezbednost je izuzetno teško da lociraju onaj pravi i ugase ga na vreme.

Mada se čini kao da je njegovo širenje dostiglo plafon, postoje strahovi da bi neko lako mogao da preuzme kontrolu nad nekim, ili čak svim zaraženim računarima kojih trenutno ima preko devet miliona.

Glavni istraživač kompanije F-Secure, Miko Hiponen, smatra da su korisnici još uvek izloženi velikom riziku. „Ukupan broj zaraženih računara izgleda da je dostigao vrh. Teško je reći koliko je to računara, jer se ne zna koliko mašina je u međuvremenu očišćeno, ali procenjujemo da ih je sigurno više od devet miliona širom sveta. Zastrašujuća je i sama pomisao koliku kontrolu bi hakeri mogli da imaju nad svim tim računarima, jer bi imali pristup s punim administratorskim pravima. To se još nije desilo jer se možda plaše, i to je dobra vest, ali postoji i scenario po kome bi neko drugi mogao da sazna kako da aktivira virus. To je već zabrinjavajuća mogućnost.“

Stručnjaci kažu da korisnici treba da ažuriraju svoj antivirusni softver i instaliraju Microsoftovu zakrpu MS08-067 poznatu i kao KB958644.

Grejam Kluli, viši konsultant u antivirusnoj kompaniji Sophos, rekao je da epidemija takvih razmera nije viđena već neko vreme. „Microsoft je uradio dobar posao time što je ažurirao softver korisnika kućnih računara, ali virus nastavlja da inficira poslovne računare u kompanijama koje su ignorisale savet da ažuriraju svoj softver. Tome je verovatno doprineo manjak IT stručnjaka zbog prethodnih praznika, a i činjenica da instaliranje zakrpe na velikom broju računara nije baš lako. S druge strane, ukoliko korisnici upotrebljavaju slabe lozinke – 12345, QWERTY i sl. – virus ih brzo provali.“

Prema Microsoftu, virus radi tako što u Windowsu traži izvršnu datoteku „services.exe“ i kad je nađe ubaci se u nju i postane deo njenog koda.

Potom se prekopira u sistemski direktorijum Windowsa kao datoteka s nasumično izabranim imenom od pet do osam znakova i s nastavkom „dll“, na primer piftoc.dll, a zatim promeni bazu Registry, u kojoj su spiskovi ključnih parametara Windowsa, da bi, kad se računar restartuje, izvršavao zaraženu dll datoteku kao da je standardni servis.

Virus potom pravi HTTP server i resetuje tačku za restauraciju sistema (čime dodatno otežava oporavljanje sistema), a zatim skida datoteke sa hakerove veb lokacije. Većina zlonamernog softvera koristi manji broj lokacija sa kojih preuzima datoteke, tako da se one lako mogu naći i ugasiti. Međutim, Conficker to radi drugačije.

Antivirusna kompanija F-Secure kaže da virus koristi složen algoritam da generiše na stotine različitih imena domena svakog dana, kao recimo mphtfrxs.net, imctaef.cc i hcweu.org. Samo jedan od njih će zapravo biti onaj sa koga uzima hakerske datoteke. Imajući to u vidu nalaženje tog domena je gotovo nemoguće.

Specijalista iz Kaspersky Labsa, Edi Vilems, rekao je da novi soj ovog virusa dosta zakomplikovao stvari.

„Većinu problema pravi nova varijanta koja se pojavila pre dve nedelje“, rekao je on. „Metodi razmnožavanja su joj veoma dobri. Koristi nekoliko različitih mehanizama, uključujući USB memorije, tako da ako se neko zarazi u jednoj kompaniji, a potom sa svojom USB memorijom ode u drugu, zaraziće i njenu mrežu. Pored toga, virus prevlači s interneta mnogo sadržaja i pomoću tog mehanizma stvara nove varijante. Naravno, pravi problem je to što ljudi nisu zakrpili svoj softver.“

Antivirusne kompanije upozoravaju rukovodioce mreža da provere jesu li instalirali najnovije Microsoftove zakrpe i da li im je antivirusni softver ažuran, da isključe Autorun i Autoplay za USB memorije, da utvrde jesu li lozinke korisnika jake i da posebno povedu računa o lozinkama administratora domena.

Dezinfekcija virusa je veoma složena i zahteva isključivanje delova mreže. Zato kompanije koje su se našle na udaru ovog virusa treba da ograniče korišćenje USB memorija i blokiraju nepotreban saobraćaj na mrežnom zaštitnom zidu.

Microsoft je objavio da je virus inficirao računare u raznim delovima sveta, a najviše u Kini, Brazilu, Rusiji i Indiji. (M.V.)

Bilo :)

Vec sam napisao "mislim" nisam obratio paznju koja je stanica nisam siguran ,ali mi se cini da su bas oni .Ne znam zasto kasne ako je to zastarela informacija objavljena
15 Januara , 2009 na ZDnet a objavljuju je danas .

^ Posto je cela prica bila u "Beogradskoj hronici" (ili kako se vec zove), bice da je voditeljkin klinac ovih dana fasovao virus na kucnom racunaru, pa eto teme da se popuni program telefonskim razgovorom sa IT strucnjakom (koji je verovatno prethodno spasavao pomenuti kucni racunar)...
:)

---

Zar nije dovoljan običan Firewall da blokira da taj virus skida stvari sa tih sajtova?
A ako se pogase oni razni servisi koji startuju sa Winom da li to vredi?

---

MS stranica sa potrebnom zakrpom MS08-067 (KB958644)

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

^ Redovnim putem je to vec odavno instalirano preko Windows Update (kojeg inace neki korisnici "mudro" odmah iskljucuju nakon instalacije Windowsa, zajedno sa System Restore)

---

Vise su problem mreze racunara u kompanijama, gde se zakrpe zbog manjka IT stucnjaka zbog praznika nisu instalirale, kako kaze gornji clanak

^ Za mamurne system administratore postoji na MS sajtu korisna alatka Security updates are available on ISO-9660 DVD5 image files, ako ih ne mrzi da se bakcu sa tim...
:)

---

Dajte malo budite konkretniji sa linkovima jer obicnim ljudima to nije toliko bitno i sta vi pisete ,pa moram da razmisljam sta kako a engleski nemoram dodatno da ucim jer me neinteresuje a ne zelim stetu u kompjuteru !
Ubio sam se trazeci ovu zakrpu ...
Evo konkretni prikacen fajl da se neki ne muce nepotrebno ,kao ja na primer !
Pozdrav

Sasvim je dovoljno da se redovno radi update a ne da se šerpa krpi kad počne da curi.

Slazem se da je tako ali to neki neznaju ili nisu dovoljno potkovani -opet ja kao ,ja sam taj od nekih koji nezna to !
Sva sreca da ima nasih ljudi da to objasne da se neluta puno.
Samo bi dodao komentar za ovaj forum :
Samo nastavite tako i u buduce ,redovno sam posecivao ovaj deo foruma kad bas imam problem i to uvek resi problem !
Sve pohvale za ovaj forum.

Hm, na linku koji sam objavio trebao si samo da kliknes na svoju verziju Windowsa i posle na dugme download da bi skinuo zakrpu.

Ma ovo je bre virus za debile. Brute force razvaljivanje sifre? Pa to je bre 100% zauzece procesora, task manager vidi sta zauzima i kill pid :D E onda trazi sta i kako mada ovo sa kacenjem na services.exe mi se ne svidja... A system restore ionako gasim... Jedino mi windows update radi ali na notify but don't download... Ima jedan update sto me nervira... :D

Salim se naravno, ok je virus skroz, lako se primeti da je na masini ali i tesko se skida... Kako je krenulo vraticu se na lite-ovan windows 98 bez windows scripting host-a pa cu "i love u" opet da otvaram u notepad-u i da se smejem onom philipincu sto se potpisao :D

---

Nista zlonamerno nisam mislio pod tim da budemo malo odlucniji ,mada kome se vise svidja fajl 1 da zakrpi? ili sve da zakrpi .
A ovo sto si naveo tvoj link nije losa stvar ali se nisam tako snasao ipak sam morao malo gogletom da nadjem konkretno bas tu zakrpu.
Pozdrav

Da li sada može da se ukloni ovaj virus? Mislim, pišu Anti-Virusi kako imaju definicije za njega, ali da li to vredi? Da li uipšte ovaj vaš postupak koji ponavljate iz teme u temu može da ga ukloni?
P.S. Zakucao mi se onaj proces System Idle Process od korisnika System za CPU 100, ali je Memory Usage bio idalje 28 i nisam mogao da mrdam komp a vidite šta su gore pisali, pa pitam. Sada je sve normalno. Odradiću skeniranja.

---

Nekad je jako tesko pobiti problematicne procese i pristupiti zaticenim fajlovima i folderima. Ja standardno koristim bootabilni cd sa win-o i skeniram neaktivan sistem. Znaci skinete http://www.ubcd4win.com/downloads.htm i uz pomoc widows instalacije napravite sistem na cd-u koji ce vam ustedeti mnogo truda. Naravno upotrebite ispravan racunar za taj posao. Mozda bi i ClamAV sa neke linux live distribucije mogao da odradi skeniranje, mislim da baza sadrzi i w32 viruse.

Druga faza .

Virus Downadup – poznat i kao Conflicker i Kido – do sada je zarazio oko 10.000.000 računara širom sveta, a stručnjaci za bezbednost smatraju da će uskoro uslediti i njegova druga faza u kojoj će izbaciti svoj opasni tovar.


Čak i IBM smatra da je druga faza ovog virusa izvor zabrinutosti. „Za sada ništa ne uništava i ne krade već se samo mota okolo i gradi svoju mrežu“, komentariše Tom Kros, istraživač grupe X-Force u IBM-ovom odeljenju Internet Security Systems (ISS), koje je specijalizovano za razvoj rešenja za bezbednost na Internetu.

Mada niko ne zna tačno kakav će teret da istovari, jedan od razloga što polako ali sigurno napreduje je to što koristi Windowsovu funkciju „AutoRun“ da bi se kopirao kroz sistem za deljenje datoteka i USB memorije, smatra Kros. Čak i kad je računar „zakrpljen“ još uvek se možete zaraziti ukoliko se u njega umetne zaražena USB memorija ili koriste deljene datoteke, tako da Kros savetuje da se funkcija AutoRun isključi.

Da bi otkrio administratorske naloge i druge računare virus koristi „razbijač lozinki“, ali mu jače lozinke zasada bolje odolevaju.