Conficker. Un vierme de internet perpetuu

Am vorbit pentru prima dată (pe acest blog) despre Conficker (cunoscut şi ca Downup, Downandup, Conflicker sau Kido) în aprilie 2009, după ce mai întâi v-am introdus în subiect cu un articol ce analiza succint, ce sunt viermii de internet.

A urmat apoi un material dedicat celor care nu mai pot să acceseze site-urile producătorilor de soluţii antivirus, actualizat ulterior  (2 iunie 2009) cu prilejul conferinţei de presă susţinută preşedintele american Barack Obama, care-a avut drept subiect securitatea reţelelor informatice şi unde s-a menţionat expres Conficker.

În tot acest interval, au fost comentarii pe blog în care utilizatorii care s-au plâns de probleme cauzate de Conficker. Pe unii i-am putut ajuta, alţii au dispărut în neant, dar ce am remarcat este că spre deosebire de alte ameninţări, care au venit şi au trecut, Conficker este perpetuu. Parcă-l şi aud pe Freddy Krueger lăudându-se: „I… am… eternal”.

Nu ştiu ce durată ce viaţă va avea Conficker şi cât timp ne va bântui visele, dar declaraţia de astăzi a lui Rodney Joffe, directorul grupului de lucru Conficker (grup format tocmai pentru a pune capăt acestei ameninţări), în care acesta recunoşte „ că experţii în securitate au ajuns la concluzia, cum că viermele de internet Conficker este cea mai mare ameninţare care ne pândeşte din punctul de vedere al securităţii informatice. Conficker s-a dovedit extrem de rezistent şi este aproape imposibil de înlăturat” nu pare dătătoare speranţe. Iar dacă aceasta este părerea unui om care lucrează în mijlocul fenomenului, nouă ce ne-ar rămâne de făcut ?!

Asta voi încerca în articolul de astă seară:

• să enumăr câteva mijloace de protecţie împotriva viermelui Conficker;
• să prezint câteva utilare specifice, eficiente în curăţarea calculatoarelor deja infectate.

Cum ne putem proteja împotriva lui Conficker ?

Mai întrebi trebuie să vă spun că şi Microsoft are o pagină dedicată viermelui Conficker, unde sunt trecute câteva recomandări (de bun simţ) pentru protecţia voastră personală şi încă din octombrie 2008, Microsoft atrăgea atenţia în buletinul de securitate MS08-067 că o vulnerabilitate existentă în serviciul server, permite executarea codului de la distanţă / Server Service Could Allow Remote Code Execution (958644). Chiar dacă afecta şi Windows Vista, vulnerabilitatea era socotită una critică doar pentru Windows 2000, Windows XP şi Windows Server 2003 . Şi acum vine întrebarea de baraj, cum poate o vulnerabilitate din 2008 să facă milioane de victime un an mai târziu ?

Vă spun imediat, dar mai întâi vă rog să-mi răspundeţi scurt, la următoarele întrebări:

1. Dacă folosiţi un SO Windows, acesta are actualizările de securitate instalate la zi ?
2. Folosiţi un antivirus ? Şi dacă da, acesta oferă protecţie activă ?
3. Conturile de utilizator sunt protejate prin parolă ? Şi dacă da, acea parolă este sigură ?

Dacă la oricare din întrebările de mai sus, aţi răspuns cu NU, aveţi foarte mari şanse ca viermele de internet Conficker să vă facă o vizită cât de curând. Asta dacă nu sunteţi deja „clientul” lui. Încercaţi de curiozitate să deschideţi diagrama Conficker şi vedeţi dacă cele 6 imagini sunt afişate corect:

Poza este proprietatea confickerworkinggroup.org

Conficker Eye Chart

http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

Dar poate aveţi noroc şi plecăm de la premisa că aveţi un sistem curat. Cu siguranţă vă doriţi ca acesta să rămână în coninuare „curat” şi să vedem ce se poate face

PASUL I. Actualizaţi-vă sistemul de operare

Şi aici am atins un punct sensibil fiindcă sunt convins că mulţi dintre voi încă mai folosesc un Windows nelicenţiat. Nu faceţi bine şi ştiţi asta. Dar lipsa licenţei nu înseamnă că nu puteţi instala actualizările de securitate, aşa cum „prieteneşte” sunteţi sfătuiţi pe alte canale.

Vizitaţi softwarepatch.com şi găsiţi acolo TOATE actualizările de securitate, inclusiv Service Pack-urile pentru XP şi Vista. De asemenea, dacă nu sunteţi foarte ocupaţi cu YM, vă recomand şi un alt articol pe care l-am scris având ca tematică, problema update-urilor offline pentru Windows.

http://www.softwarepatch.com/windows/index.html

PASUL II. Folosiţi o parolă „sigură”

Dacă tot am amintit de Windows şi vă recomandam mai devreme să folosiţi o parolă sigură, ştiţi cum ar trebuie să arate aceasta ? „Ce sunt parolele şi cum ar trebui să arate o parolă sigură ?” este un articol scris de curând şi unde cred că am prezentat într-un mod decent acest subiect. Parole precum „password”, „password123”, „q1w2e3”, „qwerty”, „12345”, „1234567890”, „a1b2c3”… etc. sunt o pâine bună de mâncat pentru Conficker. Şi să nu credeţi că dacă folosiţi numele de utilizator (chiar şi scris invers) pe post de parolă faceţi vreo brânză.

Folosind API-ul NetUserEnum, Conficker află conturile de utilizator existente pe un anumit sistem şi încercă, pe rând, mai multe parole. Inutil să vă spun că dacă folosiţi o parolă nesigură, iar contul are privilegii de administrare, voi şi viermele de internet Conficker tocmai ce aţi devenit cei mai buni prieteni.

Este recomandat să folosiţi pentru fiecare cont câte o parolă sigură, şi distinctă, iar dacă imaginaţia vă joacă feste, „Secure Password Generator” oferit de PC TOOLS, dă o mână de ajutor. Parola ar trebui să aibă minim 8 caractere, să conţină litere mare şi litere mici, dar şi semne de punctuaţie sau caractere speciale.

PC Tools Password Utilities

http://www.pctools.com/guides/password/

Ca un bonus, utilitarul PC Tools Password Utilities poate fi descărcat şi rulat de pe calculatorul personal, fără să mai fie nevoie de o conexiune la internet.

Un alt program excelent pentru generare şi gestiune a parolelor este KeePass Password Safe (disponibil şi într-o versiune portabilă). Despre KeePass Password Safe am vorbit mai pe larg în articolul de care tocmai v-am spus.

KeePass Password Safe

http://keepass.info/

PASUL III. Antivirusul trebuie să ofere protecţie activă

O să mă întrebaţi ce-i asta. Ei bine stimabililor, folosind o delimitare grosieră, voi împărţi programele antivirus, în două mari categorii: scanere antivirus şi programe antivirus rezidente.

Din prima categorie aş aminti programe precum BitDefender Free Edition sau Kaspersky Virus Removal Tool, unelte excelente pentru dezinfectare, dar complet inutile dacă eşti permanent conectat la reţeaua internet şi ai nevoie de protecţie 24/7.

De partea cealaltă, într-un articol dedicat, am prezentat pe scurt, şase programe antivirus gratuite care oferă protecţie în timp real şi sunt deja compatibile cu Windows 7, asta pentru că pentru că, vă reamintesc, una din cititoarele care şi-a dezinfectat calculatorul pe baza indicaţiilor de pe acest blog, a admis că folosea BitDefender Free (o soluţie de securitate care NU oferă protecţie în timp real).

PASUL IV. Protejarea documentelor partajate

Un alt aspect pe care majoritatea utilizatorilor îl neglijează, sau îl ignoră de-a dreptul, este cel al documentelor partajate din reţea, sau „share-ul”. Nu spune nimeni vă nu folosiţi de această facilitate, dar încercaţi să evitaţi aşa numitul „open share” sau „simple file sharing”, cum îi spunea în Windows XP, în care şi Ghiţă şi Gheorghiţă au acces la materiale, fără o autentificare prealabilă.

Tot la acest capitol, al fişierelor partajate, aş mai adăuga eliminarea „administrative shares” din Windows 2K, NT şi XP. Aceia dintre voi care nu sunt familiarizaţi cu editarea regiştrilor pot folosi TuneUp Utilities 2007 (disponibil gratuit pe site-ul v3.co.uk) sau un alt program asemănător. Restul, nu trebuie decât să creaţi cheia „AutoShareWks” şi să-i acordaţi valoarea „0”. Adică „zero” (să nu existe confuzii).

Hive: HKEY_LOCAL_MACHINE
Key: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Name: AutoShareWks
Data Type: REG_DWORD
Value: 0

PASUL V. Dezactivarea autorun

Ultimul punct pe lista noastră de „must do” (sau „must be done”) este dezactivarea autorun şi implicit a funcţiei autoplay, asta fiindcă stick-urile USB au devenit vehicule purtătoare de viruşi, iar viermele nostru de internet „preferat” nu refuză o plimbărică. De curând ,şi Microsoft a venit cu o serie de setări menite să îmbunătăţească securitatea funcţiei autoplay, dar poate cea mai sigură cale rămâne tot dezactivarea.

Recapitulăm:

• Windows actualizat;
• parole sigure;
• dezactivare autorun;
• partajare doar cu parolă;
• antivirus cu protecţie în timp real.

Altfel, aţi putea la fel de bine să vă pictaţi o ţintă pe carcasa calculatorului.

Poza este proprietatea Microsoft şi parte a articolului „Protect yourself from Conficker”

Protejaţi-vă în faţa lui Conficker. Ghidul Microsoft

http://www.microsoft.com/security/worms/conficker.aspx

Care este ultima versiune de Conficker ?

Ultima variantă a viermelui de internet Conficker este Conficker.E, depistat în aprilie acest an, cel care pe lângă „beneficiile” deja cunoscute (blocarea accesului la site-urile producătorilor de antiviruşi, dezactivarea funcţie de actualizare automată), instalează pe calculatorul victimei un spambot (Waledac) şi rogue-ul SpyProtect 2009.

Totuşi, Conficker.E nu s-a ridicat la înălţimea predecesorilor, altfel încât pe 3 mai a lăsat locul veterani Conficker.D care este aproape imposibil de oprit. Se descarcă zilnic de oricare dintre cele 500 din 50000 domenii şi peste 110 domenii de nivel superior (TLD). Iar dacă sunteţi pasionaţi, sau măcar intrigaţi de acest fenomen, pe site-ul confickerworkinggroup.org găsiţi întreaga istorie a acestui vierme de internet. Ar putea să iasă chiar un poster interesant. Dar cred că vă interesează şi mai mult…

Cum scăpăm de Conficker ?

„Divorţaţi”. Sau folosiţi una din uneltele speciale puse la dispoziţie de mai toţi producătorii de soluţii de securitate.

BitDefender

A creat un site special, bdtools.net şi mi se pare foarte important să precizez că nici una din variantele viermelui de internet Conficker (de la A şi până la E) nu blochează accesul la acest domeniu. Aici se găsesc două utilitare: unul destinat utilizatorului particular şi altul pentru administratorii de reţele.

URL: http://www.bdtools.net/

DC Cleaner

URL: http://www.bdtools.net/download/dcleaner.zip

Tot pe site-ul dedicat BitDefender, mai găsiţi un scanner online, precum şi instrucţiuni pentru înlătura manuală a acestei ameninţări şi n-am să mai revin asupra modului în care se utilizează utilitarul pentru dezinfecţie, deoarece l-am prezentat în articolul trecut.

F-Secure

F-Secure preferă denumirea Downadup în loc de Conficker, dar chiar şi sub altă pălărie e aceeaşi mărie. Fie că-i zice Worm:W32/Downadup.AL, Net-Worm.Win32.Kido sau Win32/Conficker. Şi aici sunt oferite utilizatorului două unelte pentru dezinfecţie

F-Downadup (utilitar specific pentru variantele de Conficker / Downadup)

URL: ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip

FSMRT (utilitar general, capabil să îndepărteze şi alte ameninţări)

URL: ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip

De asemeni, pe site-ul F-Secure este explicat modul de propagare şi de acţiune al viermelui Conficker şi dacă dacă sunteţi curioşi să aflaţi de ce în ciuda înlăturării iniţiale, tot vă reinfectaţi periodic, poate n-ar strica să aruncaţi o privire

Kaspersky

Site-ul Kaspersky suntem bombardaţi cu o serie de informaţii despre istoria lui Conficker (sau Kido cum îi zic ei) şi găsim instrucţiunile pentru dezinfectare pentru cele două situaţii specifice: utilizatorul de casă şi administratorul de reţea,

Nu voi insista asupra procedurii de dezinfectare, ea fiind descrisă suficient de bine pe site-ul Kaspersky, dar vă spun că aceasta se realizează cu ajutorul utilitarului dedicat, KKiller.exe.

http://support.kaspersky.com/downloads/utils/kk.zip

Instrucţiuni pentru dezinfectare. Net-Worm.Win32.Kido

http://support.kaspersky.com/faq?chapter=207800963&print=true&qid=208279973

Sophos

Sophos merge pe acelaşi drum (al dihotomiei utilizator de casă vs. administrator de reţea) şi propune propune două utilitare specifice, cu menţiunea că pentru a le putea descărca, trebuie să vă înregistraţi, în prealabil, pe site.

Unealta Sophos Conficker de dezinfecţie pentru un sistem şi instrucţiuni

• http://www.sophos.com/…/free-tools/conficker-removal-tool/download
• http://www.sophos.com/support/knowledgebase/article/54447.html

Unealta Sophos Conficker de dezinfecţie pentru reţea şi instrucţiuni

• http://www.sophos.com/…/free-tools/conficker-removal-tool-network/download
• http://www.sophos.com/support/knowledgebase/article/51416.html

De asemeni, Sophos pune la dispoziţia utilizatorilor o pagină specială, unde Dr. James Lyne vorbeşte despre ameninţarea Conficker. Ceea ce a surprins specialiştii în domeniu, nu este gravitatea pagubelor provocate de Conficker ci modul extrem extrem de rapid şi de eficient prin care s-a răspândit. Se vorbeşte în material de aproximativ 10 milioane de sisteme „vizibile”.

Pe aceeaşi pagină sunt prezentate şi nişte sfaturi, unde cei de la Sophos merg până la a recomanda dezactivarea „file and print sharing” şi instaurarea unei politici de control a dispozitivelor. Nu pot să închei capitolul Conficker pe site-ul Sohpos fără să amintesc de pagina încă o pagină dedicată acestui erou negativ, Mal/Conficker-A.

Iar acestea NU sunt singurele utilitare speciale pentru dezinfecţie. Lor li se adaugă şi cele făcute de:

• AhnLab
• ESET
• McAfee Avert Stinger
• Microsoft
• Symantec
• TrendMicro

…şi mai nou, chiar am găsit un astfel de utilitar (W32.Downadup Removal Tool) pe Softpedia, purtând semnătura „Element Software”.

Cu atâtea soluţii, s-ar spune că lui Conficker i-a sunat demult ceasul, doar că lucrurile nu sunt deloc aşa de simple. Dacă într-o reţea 99% din sisteme sunt curate, acel rest de 1% (chiar şi unul să fie) va începe imediat reinfectarea celorlalte. Este un joc de-a şoarecele şi pisica, în care rozătorului i se taie accesul la server, dar nu i se poate veni de hac, acelaşi Joffe recunoscând „că cele mai strălucite minţi n-au reuşit să descifreze codului lui Conficker”, iar grupul pe care-l conduce nu poate să facă altceva decât să reacţioneze şi să încerce să limiteze pagubele.

În încheiere…

Vreau să vă explic de ce câteva rânduri mai sus am folosit sintagma „mai toţi producătorii de soluţii de securitate”. Ei bine, spre surprinderea mea, Avira a decis să trateze ameninţarea Conficker cu destul de multă discreţie şi nu găsim mai mult decât o simplă pagină cu informaţii. Ce-i drept, Avira AntiVir Personal se descurcă excelent cu orice variantă de Conficker, însă decizia de a nu lansa un utilitar dedicat mi se pare uşor neinspirată. În fine, e problema lor.

Grija noastră este să întreprindem toate măsurile posibile pentru a ne proteja cât mai bine şi asta am încercat să scot în evidenţă prin articolul de azi. Răspunderea pentru combaterea unei ameninţări globale, aşa cum este Conficker, nu este apanajul unui producător de soluţii antivirus sau a unei organizaţii, fiindcă vedeţi că ei nu fac faţă.

E uşor să spui că „nu m-a protejat antivirusul” sau să fluieri Windows-ul în biserică, dar aşa nu rezolvăm nimic.

Cei care lansează aceşti troieni, viermi de internet sau viruşi se bazează întotdeauna pe lipsa de informare şi de atitudine a utilizatorilor. De cele mai multe ori, au şi dreptate.

Materiale bibliografice:

• http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/RepairTools
• http://subrealism.blogspot.com/2009/08/defying-experts-rogue-computer-code.html
• http://www.avira.com/ro/threats/section/fulldetails/id_vir/4474/worm_conficker.html
• http://www.kaspersky.com/technews?id=203038750
• http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782725#doc3
• http://en.wikipedia.org/wiki/Administrative_share
• http://www.confickerworkinggroup.org/wiki/
• http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
• http://www.microsoft.com/security/worms/conficker.aspx
• http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml
• http://technet.microsoft.com/en-us/security/dd452420.aspx
• http://www.sophos.com/blogs/gc/g/2009/01/16/passwords-conficker-worm/
• http://www.v3.co.uk/v3/news/2249897/conficker-baffles-security

Despre autor şi articol

Bogdan-Andrei a scris 281 articole pe blogul Stefa Media.

Student la Comunicare şi Relaţii Publice, cunoscător al jocurilor din perioada anilor '80 sau '90, interesat de IT şi WordPress, scriu despre ce-mi place şi, de cele mai multe ori, îmi place ceea ce scriu. Şi nu doar mie. De aceea continui.

• Site web
• Twitter
• Facebook

Categorii: Ameninţări informatice, INTERNET, Soluţii de securitate Etichete: antivirus, bdtools.net, Conficker, Conflicker, dcleaner.zip, dezinfecţie, Downandup, Downup, INTERNET, Kido, Microsoft, perpetuu, Rodney Joffe, vierme de internet, WINDOWS