Эпидемия Conflicker.B/Downadup.B: заражено почти 9 миллионов систем

Теги: уязвимость, червь, Positive Technologies

Компания F-Secure вчера опубликовала новые данные по количеству зараженных хостов и методы подсчета уязвимых систем.

Компания F-Secure вчера в своем блоге опубликовала новые данные по количеству зараженных хостов и методы подсчета уязвимых систем. По данным F-Secure в данный момент насчитывается 8 976 038 систем, зараженных червем Conflicker.B/Downadup.B.

Conflicker.B/Downadup.B является одним из самых популярных червей, которые эксплуатируют уязвимость в службе Server в ОС Microsoft Windows. Microsoft выпустила исправление (MS08-067) к этой уязвимости в октябре 2008 года. Тем не менее, уязвимость продолжает активно эксплуатироваться злоумышленниками. Пик активности (по крайней мере мы на это надеемся) пришелся на январь 2009.

По данным F-Secure, во вторник количество заражений составляло 2,4 миллиона хостов, в среду – 3,5 млн., в пятницу – 8,9 млн. Многие эксперты по безопасности начали сомневаться в корректности алгоритма подсчета количества зараженных систем, т.к. подобные цифры не могут не впечатлять.

Механизм работы червя является стандартным для современного вредоносного ПО. В день регистрируется 250 возможных доменных имен, которые используются для связи с контрольным сервером. F-Secure зарегистрировала несколько доменом из общего пула и следит за подключениями к этим доменам.

На рисунке изображен стандартный журнал httpd, отображающий IP адреса систем, подключающихся к зарегистрированным доменам, время подключения, сам запрос и заголовок User-Agent, отправляемый браузером.

Подобных запросов отправляется на сервер несколько миллионов ежедневно с 350 000 уникальных IP адресов. Весьма сложно определить общее количество инфицированных систем, т.к. NAT и прокси сервера не позволяют этого сделать, а Downadup не содержит уникальный идентификатор в заголовке User-Agent.

После небольшого исследования, сотрудники F-Secure обнаружили, что число, передаваемое в строке запроса /search/q= не является случайным. Это глобальная переменная в коде, которая указывает на количество систем, которые были заражены текущей версией червя посредством удачной эксплуатации уязвимости. На рисунке изображена запись, где один экземпляр приложения заразил 116 хостов. Сотрудники F-Secure сгруппировали данные по уникальным IP адресам и просуммировали количество зараженных систем. В настоящий момент эта цифра равна 8 976 038.

В настоящий момент существует три метода распространения червя:

  • Эксплуатация уязвимости MS08-067
  • Подбор пароля к сетевым ресурсам
  • USB носители

SecurityLab опубликовал несколько статей на эту тему:

Компания Positive Technologies выпустила сетевую утилиту, способную определить наличие уязвимости на системе.

Мы настоятельно рекомендуем установить исправление к этой уязвимости или последовать рекомендациям в вышеописанных статьях.

Скачать исправление можно с сайта производителя по следующим ссылкам:

Windows 2000 SP4:
http://www.microsoft.com/downloads/de...=E22EB3AE-1295-4FE2-9775-6F43C5C2AED3

Windows XP SP2:
http://www.microsoft.com/downloads/de...=0D5F9B6E-9265-44B9-A376-2067B73D6A03

Windows XP SP3:
http://www.microsoft.com/downloads/de...=0D5F9B6E-9265-44B9-A376-2067B73D6A03

Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/de...=4C16A372-7BF8-4571-B982-DAC6B2992B25

Windows XP Professional x64 Edition SP2:
http://www.microsoft.com/downloads/de...=4C16A372-7BF8-4571-B982-DAC6B2992B25

Windows Server 2003 SP1:
http://www.microsoft.com/downloads/de...=F26D395D-2459-4E40-8C92-3DE1C52C390D

Windows Server 2003 SP2:
http://www.microsoft.com/downloads/de...=F26D395D-2459-4E40-8C92-3DE1C52C390D

Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/de...=C04D2AFB-F9D0-4E42-9E1F-4B944A2DE400

Windows Server 2003 x64 Edition SP2:
http://www.microsoft.com/downloads/de...=C04D2AFB-F9D0-4E42-9E1F-4B944A2DE400

Windows Server 2003 with SP1 for Itanium-based Systems:
http://www.microsoft.com/downloads/de...=AB590756-F11F-43C9-9DCC-A85A43077ACF

Windows Server 2003 with SP2 for Itanium-based Systems:
http://www.microsoft.com/downloads/de...=AB590756-F11F-43C9-9DCC-A85A43077ACF

Windows Vista (optionally with SP1):
http://www.microsoft.com/downloads/de...=18FDFF67-C723-42BD-AC5C-CAC7D8713B21

Windows Vista x64 Edition (optionally with SP1):
http://www.microsoft.com/downloads/de...=A976999D-264F-4E6A-9BD6-3AD9D214A4BD

Windows Server 2008 for 32-bit Systems:
http://www.microsoft.com/downloads/de...=25C17B07-1EFE-43D7-9B01-3DFDF1CE0BD7

Windows Server 2008 for x64-based Systems:
http://www.microsoft.com/downloads/de...=7B12018E-0CC1-4136-A68C-BE4E1633C8DF


или введите имя

CAPTCHA
Страницы: 1  2  3  
nobody
17-01-2009 06:42:55
> Многие эксперты по безопасности начали сомневаться в корректности алгоритма подсчета количества зараженных систем однозначно, занижают. описание одной ошибки в подсчёте - см. выше другая ошибка - им неизвестно точное число управляющих центров и подсчёт шёл только по несколькимм. Так что эта статистика - ПЕАР микрософта и виндос!!!
0 |
17-01-2009 09:24:29
Не нахожу ничего удивительно в том что эпедемия продолжает распространяться по Инету. Все прекрасно знали в Инете существует миллионы компьютеров системы которых никогда не обновлялись. Надеюсь сечас с возникновением эпедемии и возникшейся потом массовой истерии что вирус может пролесть на любую систему и надо качать все последнии обновления поможет пользователем серьезней относится с предупреждениям о необходимости ставить патчи для улучшения безопасности системы. Хотя многие как плевали - так и будут плевать и в этом году мы увидем еще очень много вирусов эксплуатирующие данную уязвимость.... Отдельное спасибо фирме Microsoft за предоставления данной уязвимости, которую они не могут закрыть уже несколько лет.
0 |
bigrem
19-01-2009 10:17:33
Вот только не надо нас мордой в дерьмо! Обновляться, конечно, нужно, но смею заметить что требуемые заплаты MS08-067 и MS08-068 не включены Microsoft-ом в автоматическое обновление (очень интересно почему?). А много ли обычных пользователей в состоянии определить что нужно ставить дополнительно? Это спланированная акция. В таких эпидемиях заинтересованы и разработчики антивир. и прочих программ а также Microsoft продвигающий свои новые "безопасные" ОС.
0 |
green
19-01-2009 11:18:49
Вряд ли MS это выгодно, ведь новая "безопасная" Windows Vista тоже в списке уязвимых. К тому же для MS это далеко не пиар, а скорее удар по репутации, причём не первый подобный, что печально. Вы помните червя, который распространяется посредством уязвимости в сетевой службе Mac или Linux ? я не помню...
0 |
Dez
19-01-2009 17:56:44
Был такой лет пять назад. Бегал по уфзвимости в красной шапке. Знакомый поставил ее на сервак и попал на бабки за трафик.
0 |
y
20-01-2009 10:55:11
не могли бы ссылочкой поделиться, очень хочется почитать.
0 |
user
20-01-2009 14:29:28
Очень интересно. Подробнее можно?
0 |
19-01-2009 12:56:45
... может и не стоит ставить ставить все обновления, на залатать критические дыры стоит. Тем белее уязвимость позволяет удаленно код в системе и о ней столько всяких разговоров в последнее время ходили.
0 |
19-01-2009 21:32:02
Как это не включены ? WSUS раздает фикcы для MS08-067 & MS08-068
0 |
17-01-2009 09:39:19
Пик активности (по крайней мере мы на это надеемся) пришелся на январь 2009.Я думаю о пике рановато говорить!!!! может хотя-бы марта подождать???
0 |
Денис
17-01-2009 14:21:15
Блин круто ) давно ничего такого не было ) Жду продолжение с нетерпением )
0 |
joe_kill
17-01-2009 17:08:01
У меня из сетки прилезло .AA модификация по версии нода. Инжектируюмую длл я са сразу грохнул, но сервис, непойми куда зяпрятаный, написан мудаком, и при удалении этой длл начал сыпать ошибками от имени svchost. Короче, мало того что забурился в систему, как гнида, так ещё и ошибками портит жизнь. Надоело не с svchost воевать, снёс систему, выдернул сетевушку, установил заплатки.
0 |
Ф.И.О.
17-01-2009 18:30:47
Апдэйты надо было своевременно скачивать ^^
0 |
joe_kill
17-01-2009 19:24:40
фиии. Я и так совершил насилие над собой, летом обновился до SP3. Ищо апдейты ставить =\
0 |
Гость
18-01-2009 13:47:23
Ленивые падонки продолжат свои страдания, когда бацыллу занесут на их ленивые сервера. Вменяемые системы были залатаны в автоматическом и полуавтоматическом режиме еще в октябре 2008 года. Остальные, видимо, в биореактор.
0 |
joe_kill
18-01-2009 14:04:47
Уймись, речь шла о моей домашней машине. 86667
0 |
install
19-01-2009 09:03:05
В автомате ставится update, и конторский сервер ложится полностью. Помогает format c:, unzip bachup.zip. Но сутки фирмА стоИт в интересной позе. Большинство проблем - из-за того, что "сервер" с ХРю или вынь200[038] торчит в инет ничем не прикрытый. Вторая проблема - бесконтрольное использование внутри сетей флэшек. Именно поэтому и легли внутренние сети госструктур.
0 |
прохожий
19-01-2009 10:39:02
на все сервера вовремя ставятся критические обновления или отключается/блокируется ненужный функционал. Если не делается - "фирмА стоИт в интересной позе". по моим логам - вирус приходил из интернет в виде картинок bmp, jpg и gif. И где здесь "флэшек".
0 |
19-01-2009 12:56:21
Большинство проблем - из-за того, что "сервер" с ХРю или вынь200[038] торчит в инет ничем не прикрытый.Большинство проблем - из-за того, что "сервер" с ХРю или вынь200[038] Fixed.
0 |
19-01-2009 21:38:01
На сервер обновления ставятся руками и никак иначе. Сервер Windows 2003 при это не ложится никуда - давно такого не видел Еще лучше иметь два сервера - один для интернет, другой - для внутренних нужд. Не прикрытый firewall Windows 2003 server торчит в интернет ? На сервер можно поставить RRAS и настроить как его самого, так и доступ для внутренних компьютеров.
0 |
Страницы: 1  2  3