Conficker/Kido/Donwnandup – эмоциональная часть (#%&!!!!)


??????? ??? ?????????? ?? Securitylab ??? Conficker.. ??????? – “???? ??? ????? ????, ??????? ????????? ????????…” ? ???? ????? ????? ?????. ??? ?? ??? ????? ??????, ?? ????????? ????????… ???? ??????, ?? ????? (!!!) ?? ????????? ?????? ???????? Conficker ? ???? ?????????? ???? ????????? ???????. ??? ??????? ????????? ?????? ?? ?? ???????????? ?????????? ? ??????? ??????! ?? ? ?? ???? ??? ??????? ???, ????? ????? ????? ???????? ??????? “????????????? ?????????? ?????????????”…

???? ?? ?????????? ???????? ??.. ???.. ????? ???????, ?? ??????????? ??????? ?????????? ??????? ??????? ??? (????????? ?????? ??????????):

1. ????????????? ?? ????????, ????????? ???????? ? ????? ????, ?????? ????????, ?????????? ??? ???? ???????????, ?????????? ? ??? ????? ????? ? ?????.

2. ????????????? ?? ????????? ?????????? ? ?????????? ? ??? ??? ?????????????????? ????????????? ??????.

3. ????????? ???????????? ???????? ?????????? ? ????????????? ???.

— ?????? ???. —-

4. ???????????, ?????????? ?? ???????, ????????? ??? ?? ?????? ? ??????????…

  • ????????????
  • ????? ??????? ??????????
  • ????? ???????????? ???????????? ??? ??????????
  • ????????? ???????????? ????
  • ?????? ???????????? ???? ? ????????

—- ?????? ????. —-

5. ????????????? ??????????? ??? ?????? ???????????? ?????? ? ????????? ?????????. (? ?????? MS, ????????????? ?? = ????????????? ??????????, ??. Microsoft Forefront)

6. ???????? ????????? ?????? ?? ? ??????? ???????????, ???????, ???????????? ?????-?? ????, ????????????????? ? ???????????? ? ??????.

?????: ????? ???????? ??????? ?????????? ? ????????? ???????? ????????? ? ???????? (??. ?????? ???. ? ????.) ???????? ??? ????? ????? ??? ????? ????! ? ???? ?? ??? ?????? ?????????? ???????? ??????? ??????????, ?? ?????? ??????? ???????! ??????? ??? ???? ?????????? ???????? ? ?????????? ??????? ?????? ??????????? ???????:

 

Baster
(??????  2003)

Sasser
(?????? 2004)

Zotob
(?????? 2005)

Conficker
(?????? 2008)

?????????????? ?????????????

????? 1 ????

????? 2 ????

?? 2 ??? ??

?? 1 ??? ??

?????  ????????? ?????????? ?? ???????????????

????? 10 ????

????? 2 ???

? ??? ?? ????

? ??? ?? ????

?????? ???????? ?????? ???????????

????? 38 ????

????? 3 ???

????? 3 ???

? ??? ?? ????

????? ???????????

 

????? 7 ????

????? 11 ????

???????,
?????

?????? ??????? ?? ???? ?????????. ?????????? ?? ???? ???? ? ?????????, ??? ??? ???????? ???? ???????????? ??? ???? ??????????? ? ????? ???????????. ??????? ??????? ???????!


Comments (7)

  1. Anonymous says:

    >>Он хитрый и распространяется еще и через локалку.

    Согласен, 2-я вариация как раз таки стала хитрее, чтобы брутфорсить слабые пароли и рапсространяться по локалкам… мои коллеги более побробно о технических вичах червя и как с ними бороться уже тут отписались

    http://www.microsoft.com/rus/conficker

  2. Насчет наличия в сети проактивных мер ещё задолго до появления самого Conficker – полностью с Вами согласен, Ренат. Собственно, об этом я тоже писал в своем блоге:

    Подводя итоги, хочу отметить, что критическая уязвимость службы ОС Windows, используемая для распространения червя, была обнаружена давно. Причем информация об этой уязвимости была выпущена в виде срочного бюллетеня по безопасности вместе с набором обновлений для устранения данной уязвимости ещё в октябре 2008 года!

    Самое интересное, что даже в крупных компаниях с отдельным отделом информационной безопасности, офицеры безопасности не подписаны даже на уведомление о выходе новых Security Bulletins по почте =) Смех сквозь слёзы, по другому не скажешь.

  3. Да, корпорация предупредила за месяц техническим бюллетенем безопасности. А домашних пользователей кто предупредил? Ну да, тех самых, которые не пользуются WU (по какой причине – второй вопрос).

    Почему на сайте справки и поддержки http://support.microsoft.com/ на главной не висит никакого объявления (хотя оно висeло тут http://windowshelp.microsoft.com/Windows/ru-RU/default.mspx и то, появилось только после начала эпидемии, а не после выхода патча)?

    Почему корпорация обратилась к лидерам технических сообществ с просьбой "донести слово в народ" только после начала эпидемии, а не сразу после выхода патча? Ведь знали, какой размах будет…

    Мы на oszone сразу после выхода бюллетеня повесили объявление и предупредили, что это будет еще один бластер/сассер. А на форуме Текнет повесили такое объявление во всех осевых форумах? Нет, конечно. А почему?

    Так что не только нерадивых админов надо винить, но и использовать имеющиеся связи с сообществом :)

  4. Oleg says:

    >>И если бы все просто установили вышедшее вовремя

    >>обновление, то вообще никакиз проблем!

    В случае с конфикером все не так просто. Он хитрый и распространяется еще и через локалку. Так что, если у вас есть локалка, то даже галочка автоапдейтов бы не спасла, при наличии админ шары и слабых паролей.

    Но в целом всё верно – обычно эта галочка спасает от 99% проблем. Жалко, что в России до сих пор у большинства она не включена, поэтому Россия и в тройке по числу заражений конфикером

  5. Игорь. says:

    Ну да, нынче вообще большинство вирусов являются прямым плагиатом анекдота про талибанский вирус: "у нас слишком мало денег, по этому просто разошлите это сообщение всему своему списку адресатов и отформатируйте ваш хард драйв, спасибо!"

    Но, хочется отметить, что 99.9% корпоративных пользователей не могут применить апдейты до того, как эти апдейты будут протестированы ИТ на предмет совместимости с корпоративными системами. А это тоже процесс не слишком быстрый. И тупо ставить все апдейты которых каждый день по три штуки и два из них хотят перезагрузки компьюетра, который по две-три недели не выключается для экономии времени сотрудника…

    В общем, "на самом деле все не так, как в действительности."

    PS: но идея хорошая, найти автора шутки про талибанский вирус, и судить авторов вирусов еще и за нарушение копирайта :-)

  6. drk says:

    Мне кажется, что Вы валите с больной головы на здоровую. Главная проблемма не патчи, а реализация системы автозагрузки, особенно с flash. Вы попробуйте воспользоваться своими советами и вставте флешку с conficker-ом при отключенной автозагрузке в свой комп. Отключение ни чего не дает- надо менять реестр, а это извините не задача даже проффи….

  7. Neandertalets says:

    renatmin: Всё таки drk прав – проблема не столько в пользователях или администраторах, сколько в системе (архитектуре и реализации).

    Попробуйте представить, что есть аналог конфикера для BSD (думаю, что linux тоже, но я его почти не знаю) и попытаемся сделать тоже самое с правами пользователя в этой системе. Да система просто не даст ему доступа! А если ещё монтировать с правами /noexec, то вирь даже запуститься не сможет (и /home вынести в отдельную партицию на слайсе и монтировать так же с /noexec).

    А винда? Пользователь даже с самыми урезанными правами может грохнуть системы на раз-два. :(     Можно, конечно, тупо сидеть и правах на каталоги/файлы/реестр/прочие_объекты это разруливать (одной групповой политикой тут сложно ограничиться), но как-то глупо и совершенно бессмысленно. Да и после таких ковыряний всё равно будут лазейки. Не говоря уж о проблемах: винда боле-менее нормально работает в пределах тех настроек, какие заложены разработчиками, а стоит копнуть поглубже – проблемы лезут пачками.