De ce nu pot accesa site-uri de antivirus? Să fie Conficker ?
Unul dintre cei care mi-a vizitat site-ul, se întreba „de ce nu mai poate să acceseze site-urile (producătorilor) de (soluţii) antivirus”. Problema este una extrem de serioasă, iar răspunsul cel mai probabil ar fi pentru că DEJA are calculatorul infectat. Şi n-ar fi exclus să fie vorba despre despre W32/Conficker, un vierme de internet care se dovedeşte foarte vivace în această perioadă. L-am numit chiar viermele de internet perpetuu.
Cu siguranţă că aţi auzit de Conficker, cunoscut şi ca Downup, Downadup, Conflicker sau Kido, viermele ce are ca ţintă sistemele de operare Windows (Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008) şi care exploatează o vulnerabilitate a serviciului Windows Server (recunoscută de altfel şi în buletinul de securitate MS08-067). Pentru cei care update-urile de securitate sunt trecute la opţional (ca orele de educaţie fizică), asta e o veste proastă.
Conficker a fost detectat pentru prima dată în octombrie – noiembrie 2008, şi chiar dacă la începutul lui 2009 nu era perceput ca o ameninţare serioasă, pe măsură ce se apropia 1 aprilie, tot mai multe televiziuni au vorbit pe un ton alarmant despre posibilitatea ca ultima variantă, Conficker.C, să înceapă propriul program de actualizare, rezultând un nou vierme de internet, mai periculos şi capabil să infecteze încă şi mai multe calculatoare.
Din fericire, viermele nu suferit nici un fel de mutaţie, sfârşitul lumii s-a amânat… cel puţin deocamdată. Dar totuşi ce se întâmplă cu acele sisteme care sunt încă infectate ? Şi mai ales, despre câte sisteme vorbim.
Am fost curios să aflu să văd dacă există statistici oficiale, mai ales că pe diferite site-uri s-au vehiculat cifre care se „băteau cap în cap”. Din fericire există un site dedicat: „Conficker working Group”, care a urmărit răspândirea acestui vierme de internet încă de la început, iar la nivel global au fost depistate 35 de milioane de ip-uri reprezentând calculatoare sau reţele infectate. REPET. 35 de milioane.
Credeţi că mai era nevoie să se întâmple ceva şi mai grav ? O diagramă de pe Wikipedia arată că orice calculator care nu are instalate ultimele update-uri de securitate, nu foloseşte parolarea fişierelor din share, nu are un antivirus actualizat, iar conturile de utilizator nu sunt protejate prin parolă sau se foloseşte o parolă formală de genul (12345 sau abcd) poate să cadă victimă acestui vierme de internet.
Cum verificaţi dacă sunteţi infectaţi cu o variantă a viermelui de internet Conficker ?
O metodă rapidă şi foarte eficientă, este Conficker Eye Chart. Vă mai amintiţi de vizitatorul nostru care se plângea că nu poate să acceseze site-urile diverşilor producători de soluţii antivirus ? Ei bine această diagramă conţină 6 imagini care se încarcă din locaţii diferite. În funcţie de imaginile care vă lipsesc din diagramă, vă puteţi gândi dacă şi cu ce variantă de Conficker sunteţi infectaţi.
URL: http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
Atenţie ! Aceasta este mai degrabă o metodă empirică de detecţie. Pentru rezultate sigure, folosiţi o scanare online (disponibilă atât pentru utilizatorii de Internet Explorer, dar şi de Firefox), sau verificaţi cu dcleaner.
Înainte însă de a trece a scanări, trebuie să facem o scurtă recapitulare. Odată cu apariţia ultimei variante (Conficker.C), care este şi cea mai periculoasă, diverşi producători au venit cu soluţii care să combată acest vierme de internet şi una dintre cele mai eficiente rezolvări a fost cea furnizată de BitDefender şi disponibilă prin site-ul bdtools.net. Vedeţi dumneavoastră, chiar dacă site-ul original BitDefender devenise inaccesibil pentru cineva care avea calculatorul infectat, acesta putea intra pe bdtools.net unde era disponibil un utilitar pentru curăţare, în două variante: pentru un singur calculator şi pentru reţea.
Ei bine. Pe data de 9 aprilie 2009, noua versiune de Conficker (Win32.Worm.Downadup.Gen, sau Conficker.D blochează accesul la bdtools.net. Din fericire, răspunsul BitDefender a fost prompt, iar noul site de unde se poate descărca utilitarul pentru curăţare este disinfecttools.com. Ce înseamnă asta ? Că până la urmă mutaţia s-a produs, iar televiziunile au ratat momentul. Bine că nu l-a ratat şi BitDefender care merită felicitaţi.
URL: http://www.disinfecttools.com/
Pe site-ul disinfecttools.com este disponibil un scanner online, unde în 30 de secunde vă puteţi lămuri cu certitudine dacă aveţi sau nu calculatorul infectat cu o versiune a viermelui Conficker şi utilitarul dcleaner (în cele două variante: Single PC Removal Tool, respectiv Network Removal Tool). Pe acelaşi site găsiţi şi informaţii despre Conficker/Downadup, o scurtă prezentare, detalii tehnice şi instrucţiuni de curăţare.
Cum se foloseşte dcleaner ?
Am să iau cazul cel mai des întâlnit, acela al unui singur calculator care este, sau bănuim că este, infectat cu viermele de internet Conficker.
Primul pas este să intru pe site-ul disinfecttools.com de unde descarc utilitarul dcleaner în varianta pentru un singur PC. În câteva secunde primesc arhiva dcleaner.zip, pe care o extrag într-un director cu acelaşi nume (asta pentru a evita confuziile).
Acum avem un director dcleaner, în care observăm la prima vedere patru fişiere: cleaner_gui.exe, cleaner_cmd.exe, bdcore.dll, libfn.dll şi un subdirector „plugins”.
Lansăm în execuţie: cleaner_gui.exe şi aici fac o paranteză.
Dacă folosiţi Windows Vista, sau Windows XP pe un cont limitat, trebuie să rulaţi cleaner_gui.exe cu drepturi de ADMINSTRATOR. Cum se face acest lucru ? Clic dreapta pe fişierul cleaner_gui.exe şi alegem „Run as Administrator” (Windows Vista) sau „Run as…” -> „The following user” -> Administrator.
Evident că aveţi nevoie să cunoaşteţi datele contului de administrator.
După ce apare interfaţa dcleaner, daţi „Start”. Scanarea nu durează mult şi în scurt timp avem rezultatul. Din fericire pentru mine, dcleaner nu a găsit nimic de data aceasta , pentru că altfel vă daţi seama în ce ipostază delicată m-aş fi aflat să descopăr „în direct” că am calculatorul infectat ?!
Dar dacă o versiune a viermelui Conficker, sau Win32.Worm.Downadup.Gen (aşa cum îl alintă BitDefender) este depistată, sistemul este în mod automat curăţat, iar tot ce vă rămâne de făcut fiind să restartaţi sistemul. Apoi vă puteţi relua activităţile obişnuite.
La final veţi găsi în directorul rădăcină un fişier: Win32.Worm.Downladup.Gen.log, în care sunt înregistrate toate acţiunile de scanare / respectiv de curăţare pe care le-a întreprins dcleaner.
La final… o „scurtă ”completate
Nu ştiu cine a citit articolul despre viermii de internet pe care l-am scris la începutul lunii februarie (nu prea mulţi, judecând după statistici), însă majoritatea vizitatorilor încep să se intereseze despre Conficker doar după ce observă că nu mai pot accesa anumite site-uri, că furnizorul de servicii internet îi taie legătura sau îi blochează anumite port-uri spunându-i sec să-şi deviruseze calculatorul, şi după ce informaţii sau date confidenţiale ajung în mâinile unor persoane rău intenţionate.
De notat rămâne atitudinea Microsoft care a pus un preţ de 250.000 USD „pe capul” celor care au creat Conficker şi nu este pentru prima dată. În noiembrie 2003, recompensa pentru autorii viermilor de internet Sobig şi Blaster a fost de 500.000 USD, iar mai 2004, tot Microsoft a plătit 250.000 USD unui grup care a furnizat informaţii pe baza cărora a fost condamnat Sven Jaschan, adolescentul german, care a creat viruşii Sasser şi Netsky. Preţul popularităţii.
Aşadar nu mică mi-a fost mirarea când am aflat despre o conferinţă de presă a preşedintelui american Barack Obama având drept subiect securitatea reţelelor informatice (ro. cybersecurity). Preşedintele Obama a menţionat expres viermele de internet Conficker şi a criticat modul dezorganizat în care s-a acţionat pentru combaterea acestei ameninţări informatice. Este o discurs care merită salutat, iar preşedintele Barack Obama este personalitatea de cel mai înalt nivel care a conştientizat pericolul infracţiunilor informatice de tip malware, spyware, phishing şi este decis să facă ceva în această privinţă.
Nici momentul nu este unul ales întâmplător. Criza, prezentă nu atât în discuţiile cotidiene sau în prime time-ul emisiunilor TV, dar mai ales în buzunarele noastre, va duce, invariabil, şi o scădere a securităţii informatice. Vă întrebaţi de unde această concluzie ? Să ne gândim logic. Cineva care s-a trezit „peste noapte” şomer va mai avea bani să-şi reînnoiască licenţa pentru programul antivirus ? Sau să-şi actualizeze sistemul de operare ? Nu cred. Şi se va îndrepta, din nou, spre soluţiile mai puţin legale, cu riscurile şi consecinţele de rigoare.
Dar hai să-l lăsăm pe John Doe şi acordăm două rânduri „multinaţionalelor” sau furnizorilor de servicii internet. Credeţi că aceştia nu sunt afectaţi de criză ? Bugete mai mici pentru IT, lipsa investiţiilor şi nu în ultimul rând, atitudinea personalului care, preocupat de ziua de mâine şi confruntat cu anumite restrângeri salariale, nu va mai depune acelaşi efort.
Vă invit să urmăriţi întregul discurs (durează aproximativ 16 minute) şi am să încerc să revin cu un articol dedicat exclusiv acestui speech şi problemelor prezentate. Între timp, nu uitaţi. Securitatea reţelelor informatice ne priveşte deopotrivă / lipsa ei ne afectează în egală măsură.
Materiale bibliografice:
- http://www.disinfecttools.com/
- http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
- http://www.confickerworkinggroup.org/wiki/pmwiki.php?nANY.RepairTools
- http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
- http://www.bitdefender.ro/NW1004-ro–Atentie-la-noua-versiune-Conficker.html
- http://www.whitehouse.gov/the_press_office/Remarks-by-the-President-on-Securing-Our-Nations-Cyber-Infrastructure/
- http://en.wikipedia.org/wiki/Conficker
s-a documentat bine inainte de discurs
Salut. Ai mai avut un comentariu care s-a pierdut când am lucrat cu baza de date. Dacă vrei să-l mai trimiţi o dată…
Era fain dacă la final puneai ceva concluzii, pe scurt, zic eu, fără a fi răutăcios ….
Eu prefer să prezint faptele, cât mai obiectiv cu putinţă şi fiecare utilizator este liber să tragă propriile concluzii. Deja există mulţi prea mulţi „blogeri” care nu fac altceva decât să împartă sfaturi în stânga şi-n dreapta, însă nu mi se pare cea mai fericită abordare fiindcă nu vreau să mă transform într-un guru sau într-un sfătuitor de taină. Mai rămâne să facem spirale online.
În cazul lui Conficker mi s-a părut foarte interesantă desfăşurarea evenimentelor şi cred că noutatea absolută o reprezintă interesul Casei Albe faţă de problema securităţii informatice privită ca o ameninţare globală. Ca o paranteză, acest articol a avut câteva sute de accesări, majoritatea ca urmare a unei căutări pe google de genul ”nu pot accesa site microsoft”, „nu pot accesa site antivirus”, etc. n-am primit până acum nici un comentariu de genul ”Era Conficker. S-a rezolvat”, sau „Nu era Conficker şi metoda descrisă în corpul articolului nu funcţionează!”.
… ai dreptate, și eu am fost, nu de mult confruntat cu astfel de chestii, numa ca “efectiv”, nu știu dacă a fost ceva sau altceva … (”nu pot accesa site Microsoft”, „nu pot accesa site antivirus”) … nu puteam accesa siteul Microsoft … dar nu aveam niciun virus sau altceva … am preferat sa pun sistemul “din nou” …
mulțumesc de răspuns …
Multumesc!
Eu nu-s asa de priceputa la calculatoare si chiar nu stiam ce sa fac pentru ca nici windows-ul, nici antivirusul meu nu mai permiteau update si nici nu puteam sa downloadez alt antivirus. Ma gandeam serios sa reinstalez sistemul si sa reformatez tot calculatorul (cu pierderile de rigoare). Acum merg toate si calculatorul pare sa functioneze ca la inceput.
Am citit si celelalte articole ale tale despre malware si cred ca ai facut o treaba foarte buna ca le-ai publicat.
Saru’ mana si fa-ti pomana de ne mai informeaza si de acum inainte.
Mersi frumos de aprecieri. Acum am înţeles că s-a rezolvat după primul comentariu, dar ai văzut că există mai multe variante de Conficker şi de aceea un feedback din partea cititorilor este de apreciat. S-ar putea ca la un moment dat, soluţia prezentată să nu mai funcţioneze şi atunci trebuie să ştiu, ca să pot actualiza articolul. P.S. Ce antivirus foloseşti ? Întreb fiindcă în mod normal ar fi trebuit să te protejeze.
Da, “era Conficker. S-a rezolvat” si “metoda scrisa in corpul articolului a functionat” pentru mine
Curios, poate, era un bitdefender free edition. Zic eu curios, pentru ca si solutia ta tot bitdefender este. Acum am instalat avira.
Bună. E perfect logic să ştii. Bitdefender, ediţia gratuită, NU ASIGURĂ protecţie în timp real, ceea ce îl face destul de limitat. E un scanner excelent, însă doar atât. Versiunea gratuită Avira, despre care am vorbit în articolul Programe antivirus gratuite are protecţie antivirus şi antispyware în timp real. Indiferent ce antivirus foloseşti este ESENŢIAL ca acesta să te protejeze în timp real. De asemeni, poţi folosi şi un antispyware.
nu ma pot conecta la nici un site de anti-virus pe care il cunosc. am incercat metoda de mai sus dar imi arata ca nu mi-e infectat pc-ul. si sigur e… ce sa fac?
Să recapitulăm. Ai intrat pe disinfecttools.com, ai descărcat dcleaner.zip, ai rulat cleaner_gui.exe şi nu ţi-a găsit nimic ?! Dacă da, descarcă de pe softpedia.com Kaspersky Virus Removal Tool (este un scanner cu semnăturile la zi) şi scanează întreg sistemul. Pot fi şi alte cauze, dar în lipsa informaţiilor nu vreau să speculez.
Am si eu o problema asemanatoare. Avira , care era instalat pe PC, tipa ca am VK crypt gaseste 4 chestii dar dupa restart o ia de la capat . Nu pot accesa nici un site antivirus sau accesa solutii antivirus. Solutia de mai sus nu a mers spunandu-mi ca nu a gasit nimic
Multumesc de informatii….cu ajutorul lor am sters W32/Conficker
Am si eu problemele expuse mai sus.Mai precis, nu pot accesa site-urile cu scanari online.De abia astept sa pun in practica sfaturile tale.Sper sa mearga.O sa revin cu detalii.Multumesc mult!
Am să răspund “aproape la toţi”: NU întotdeauna o scanare online rezolvă problema sau problemele, încercați şi o scanare în profunzime cu: Malwarebytes’ Anti-Malware sau Dr.Web CureIt!
Am reusit sa sterg W32/Conficker.Multumesc mult pentru articol.A fost de mare ajutor.
Salut Daniel. Mă bucur pentru tine, cum la fel de mulţumit sunt să văd că acest blog îşi dovedeşte utilitatea. Îţi mulţumesc pentru comentarii şi te mai aştept pe blogul Stefa Media.
Vreau sa invat sa-mi instalez si ngur sistemul de operare si sa-mi intretin singur pc-ul, fara a mai apela, la diversi amici. O sa-mi fie de mare ajutor blogul tau.Multumesc inca o data.
Ok, ma simt bine si “independenta”. Nu a trebuit sa-mi chem prietenul pentru a-mi rezolva calculatorul..foarte bun post`ul, keep up with good work
Bună Ella şi bine ai venit pe blogul Stefa Media. Am prezentat câteva programe antispyware şi antivirus gratuite care te pot ajuta să nu-ţi infectezi sistemul la loc, în câteva săptămâni. De asemeni, încearcă să foloseşti o parolă sigură şi să nu descarci softuri din surse îndoielnice.
Îţi mulţumesc pentru comentariu, şi te mai aştept.
conficker. rezolvat. merci pentru ajutor!
la fel patesc si eu nu pot accesa nici un site de antivirusi. Pe de alta parte bitdefender, avira avast nod si nu mai stiu ce am incercat nu gasete nimic. Restul calculatoarelor din retea merg fara probleme. Probabil ca mai este un alt virus ?
@infectatu
Salut şi bine ai venit pe blogul Stefa Media. Într-adevăr, Conficker nu este singurul malware care se manifestă în acest mod, însă fără să cunosc exact datele problemei şi în lipsa unor informaţii suplimentare îmi este greu să lansez verdicte. Întrebare. Ai încercat să scanezi folosind un „rescue cd” (un cd care să conţină sistemul de operare, respectiv aplicaţia sau aplicaţiile antivirus) sau ai scanat din interiorul sistemului (posibil) infectat ? Testul pentru Conficker ce indică ?
Exceptional articolul!
mi-a fost foarte util
Multumesc mult. Nici n-am stiut ca din cauza lui Conficker nu pot accesa site-ul celor de la Microsoft. Mersi si de linkul pentru removal. A functionat din prima. Raman recuscator
Salut. Problema la mine este urmatoarea…nu pot intra pe nici un site cu antivirusi, am formatat calculatorul (C,D,E) toate partitiile, nu pot instala nici un antivirus…etc. Daca insist cu asta se restarteaza. Ce pot sa fac?