|

Worm μολύνει 1 εκατ. Η/Υ σε 24 ώρες


Σύμφωνα με την γνωστή εταιρία ασφάλειας συστημάτων, F-Secure, πάνω από 1 εκατομμύριο υπολογιστές με Windows έχουν δεχτεί επίθεση το τελευταίο 24ωρο από τον ιό που είναι γνωστός ως Conficker, Downadup ή Kido και ανακαλύφθηκε τον Οκτώβριο του 2008.

Αν και η εταιρεία Microsoft κατάφερε να "μπαλώσει" την τρύπα και ν' αντιμετωπίσει τον ιό στον λογισμικό της, έχουν ήδη μολυνθεί περισσότεροι από 3,5 εκατομμύρια υπολογιστές.

H Microsoft παρότι είχε δώσει το MS08-067 patch στα τέλη του περασμένου Οκτωβρίου αλλά δεν κατάφερε τελικά και πολλά πράγματα απ' ότι φαίνεται... παρόλα αυτά συνιστά σε όσους από τους χρήστες δεν το έχουν περάσει ακόμα, να εγκαταστήσουν την ενημέρωση άμεσα γιατί κινδυνεύουν να πέσουν θύματα διαδικτυακών επιθέσεων.

Σύμφωνα με τη Microsoft, o ιός μπαίνει σε εφαρμογή καθώς ψάχνει ο χρήστης για ένα αρχείο των Windows, που καλείται "services.exe" και αυτόματα γίνεται κομμάτι αυτού του κώδικα. Έπειτα αντιγράφεται στον κεντρικό φάκελο του συστήματος των Windows ως τυχαίο αρχείο ενός τύπου γνωστού ως "dll".

Αυτόματα δίνεται ένα όνομα 5-8 χαρακτήρων, όπως "piftoc.dll", και τροποποιεί έπειτα το Registry του λογισμικού, αλλάζοντας όλες τις βασικές λειτουργίες των Windows, θέτοντας σε λειτουργία άμεσα το μολυσμένο dll αρχείο.

Μόλις o ιός είναι σε λειτουργία, δημιουργεί έναν κεντρικό HTTP server, επαναρυθμίζοντας το System Restore και άμεσα κατεβάζει αρχεία από την ιστοσελίδα του Hacker.

Κι ενώ τα περισσότερα malware, που δημιουργούνται από τον εκάστοτε ιό χρησιμοποιούν αρκετές ιστοσελίδες για να κατεβάζουν αρχεία, τις οποίες εντοπίζουν εύκολα κι άμεσα, έρχεται ο ιός Conficker να κάνει τα πράγματα τελείως διαφορετικά.

Όπως δηλώνουν εκπρόσωπο γνωστών υπηρεσιών αντιμετώπισης ιών, όπως η "F-Secure" και η "Kaspersky lab", o συγκεκριμένος ιός είναι ιδιαίτερο πολύπλοκος, καθώς έχει δομηθεί από αλγορίθμους που του δίνουν τη δυνατότητα να αλλάζει το domain name του καθημερινά, ώστε να μην εντοπίζεται και ν' αντιμετωπίζεται άμεσα.

Όσοι έχουν πρόβλημα θα πρέπει να κατεβάσουν άμεσα την Αναβάθμιση του Οκτωβρίου και μετά να τρέξουν την MSRT έκδοση του Ιανουαρίου για να πραγματοποιηθεί καθαρισμός του συστήματός τους.

[via]