Win32.Worm.Downloadup znów groźny
16 sty 2009 13:14

BitDefender wykrył Win32.Worm.Downloadup, robaka rozprzestrzeniającego się poprzez wykorzystanie luki w mechanizmach Windows RPC Server Service. Downoloadup (nazywany również Conficker lub Kido) po raz pierwszy pojawił się w listopadzie 2008 roku, kiedy do rozprzestrzeniania się w lokalnych sieciach wykorzystał luki zabezpieczeń opisane w Biuletynie Zabezpieczeń firmy Microsoft (MS08-067). Jego celem było zainstalowanie fałszywego oprogramowania bezpieczeństwa na zainfekowanych komputerach. Pod koniec grudnia ub.r. laboratorium BitDefender odkryło nową wersję robaka, nazwaną Win32.Worm.Download.B. Nowe zagrożenie, oprócz udoskonalonego sposobu rozprzestrzeniania się, posiada szereg nowych narzędzi. Obecnie robak wykorzystuje do rozprzestrzeniania się pamięci USB. Kopiuje się do przypadkowego katalogu tworzonego wewnątrz folderu RECYCLER (Kosz). Tworzy plik autorun.inf w głównym katalogu dysku twardego i automatycznie uruchamia się, jeśli opcja Autorun jest aktywna. Robak również wyłącza określone funkcje protokołu TCP, aby zablokować dostęp do wszelkich stron związanych z zabezpieczeniami, filtrując każdy adres pod kątem zawartości określonych ciągów znaków. Sprawia to, że trudniej jest go usunąć, ponieważ informacji o zagrożeniu praktycznie nie sposób uzyskać od zainfekowanego komputera. Dodatkowo, w celu zabezpieczenia własnych plików, robak usuwa wszystkie prawa dostępu użytkownika, z wyjątkiem praw do odczytu i uruchomienia oraz wyświetlenia zawartości folderu. Nowe e-zagrożenie skonstruowano w taki sposób, aby uniknąć wykrycia; z tego też względu działa z rzadko używanymi funkcjami API omijając stosowane technologie wirtualizacji. Wyłączane są aktualizacje Windows, a ruch sieciowy tak optymalizowany, by system Vista ułatwiał rozprzestrzenianie się tego e-zagrożenia. Win32.Worm.Downloadup.B posiada algorytm generowania nazw domen podobny do tego, jakie odkryto w sieci komputerów-zombie będących pod kontrolą rootkita Rustock. Tworzy 250 domen każdego dnia i sprawdza aktualizacje lub wyszukuje pliki do ściągnięcia i zainstalowania. Mając do dyspozycji nowoczesny system aktualizacji, dobry schemat ochrony i wiele osób, które nie zabezpieczają swoich systemów, robak posiada duży potencjał, by zostać rywalem znanych już botnetów takich jak Storm czy Srizbi. Opracowano na podstawie informacji firmy BitDefender

cript>