Специалисты X-Force взломали алгоритм шифрования Conficker.C

image

Теги: IBM, X-Force, Conficker

Новейший вариант червя Conficker использует соединения с использованием шифрования. Специалисты X-Force раскрыли и взломали этот алгоритм шифрования, что позволило обеспечить возможность обнаружения.

Исследователи из подразделения IBM X-Force создали специальный алгоритм для продукта IBM Proventia Intrusion Prevention System, который помогает выявлять агентов червя Conficker.C и блокировать их соединения. Алгоритм блокирует распространение вредоносной программы, когда она пытается эксплуатировать уязвимость в службе сервера Windows (MS08-067), и обнаруживает её в случае попытки раскрытия паролей методом перебора. Этот алгоритм дополняет уже имеющуюся у клиентов защиту от разновидностей Conficker.A и Conficker.B.

Conficker – сетевой червь, нацеленный на рабочие станции. Червь создает инфраструктуру ботнетов, которая может быть использована злоумышленниками для распространения спама или для кражи конфиденциальной информации с рабочих станций. Заражение рабочей станции приводит к потере рабочего времени пользователя и возможной последующей компрометации других сетевых объектов.

  Червь распространяется посредством одного или нескольких перечисленных ниже механизмов:

* Эксплуатация уязвимости в одной из служб Windows (MS08-067).

* Загрузка своей копии в сеть и на съемные накопители.

* Загрузка своей копии в сетевые ресурсы общего пользования со слабыми паролями

Новейший вариант этого червя использует соединения с использованием шифрования. Специалисты X-Force раскрыли и взломали этот алгоритм шифрования, что позволило обеспечить возможность обнаружения. Этот уникальный защитный механизм выявляет текущие варианты червя Conficker, которые используют описанный выше канал для связи. Соответствующие сигнатуры выглядят следующим образом: Conficker_P2P_Detected (для обнаружения бота Conficker.C) и Conficker_P2P_Protection (для блокировки специфического трафика peer-to-peer). Продукты IBM Proventia IPS способны закрыть уязвимость в службе Windows, которую эксплуатирует данный червь. Предупреждение содержит информацию о нужной сигнатуре, необходимой для выявления описываемой уязвимости.


или введите имя

CAPTCHA
Страницы: 1  2  
87776
16-04-2009 23:05:07
пипец скока лет то этой дере в rpc, а сп2 еще видно никак не поставят капча потверждает 87776
0 |
scsnow
17-04-2009 00:05:32
Капча подтверждает, что ты кретин Affected Software ... Windows XP Service Pack 2 Windows XP Service Pack 3 ...
0 |
17-04-2009 10:41:41
это уже далеко не единственная дыра в MS RPC. Дыры постоянно находят.
0 |
Luser
17-04-2009 12:58:30
А почему вы считатете, что это дыры (причем не только Conficker), с большей вероятностью это предусмотренные дыры чтобы сами МС-цы и пендоские военные смогли контролировать все и вся. А то что находят их вирусописатели, то МС-цы со слюнями кивают, что вот так и так действительно упустили. Смотреть надо шире господа, вас же имеют как хотят. Ведь не будь взломщиков и вирусов давно бы все население ходили в штаты как в Мекку на поклон америнской идее. Потому что был бы тотальный контроль над мозгами. Сколько смотрю, до народа туго доходит такая простая истина.
0 |
17-04-2009 16:52:42
узко мсылите уважаемый. для контроля ненужны никакие рпц и прочая херня на компе домработницы. давно уже есть отлаженый механизм контроля разума , и называется он телевидение , думаеш просто так , из заботы о гражданах щас повсемесно внедряют цифровое телевидение? вот а то что кучка недоразвитых антисоциальных элементов нашла косяк в видне - так то издержки больших корпораций , так всегда бывает , и не только в этой , но и в других областях , самолеты тоже не все с первого раза взлетают
0 |
афвыацвы
17-04-2009 14:57:26
Conficker использует MS08-067 и только. То что ослы не могут вовремя пропатчить комп это только их проблема.
0 |
 
17-04-2009 00:23:37
Ы
0 |
Вопрос
17-04-2009 01:01:12
А почему нельзя закрыть доступ вирусу на те IP или сайты к которым он коннектится совместно с провами или конторами которым принадлежат ип адреса или хостинг ну еще и антивирусные туда же подключить конторы.
0 |
Ответ
17-04-2009 04:44:13
Дофуя таких адресов потомучто ______________________________
0 |
Песец
17-04-2009 07:31:27
Насколько я помню Conficker генерит в день 50 000 уникальных адресов, с которыми он будет пытаться связатся в поисках управляющей части ботнета. Перекрыть все - очень тяжело (вроде как и алгоритм генерации этих хостов известен, но их просто дох.я). Хотя imho - красявым решением будет перехвитить все эти dns на уровне владельцев DNS 1 уровня и перенаправлять запросы на специально обученный хост, откуда будет загружеться лечилка/патчилка, для тех идиотов кто еще не поставил нужные обновления
0 |
20-04-2009 13:04:20
Если все так хорошо будет работать, никто седьмую дозу не купит. Поэтому маздаю выгодно поддерживать дырки на старых вантузах.
0 |
...
17-04-2009 08:14:57
Специалисты X-Force взломали алгоритм шифрования Conficker.CСпециалисты X-Force "взломали" разработанный ими алгоритм шифрования Conficker.C //fixed
0 |
bison
17-04-2009 09:44:53
Специалисты X-Force "взломали" разработанный ими алгоритм шифрования Conficker.C //fixed +1=)))))
0 |
Vug
17-04-2009 21:55:22
Специалисты X-Force, одного из подразделений IBM, "взломали" разработанный ими алгоритм шифрования Conficker.C //fixed Все быстро побежали покапать Провентию.
0 |
17-04-2009 08:22:00
Соответствующие сигнатуры выглядят следующим образом: Conficker_p2p_Detected (для обнаружения бота Conficker.C) и Conficker_P2P_Protection (для блокировки специфического трафика peer-to-peer).Я разработал утилит для полной и безоговорочной защиты компьютера от всевозможных вирусов. Утилита выглядит так: Any_PC_Full_Mega_Protectin (для защиты компьютеров с любой архитектурой).
0 |
Денис
17-04-2009 09:54:48
+1 Any_PC_Full_Mega_Protectin А также сертифицированный вариант: Any_PC_Full_Mega_Protectin_i_niipet
0 |
Страницы: 1  2