自由人留言 :
Conficker 測試網站
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
Sophos Conficker Cleanup Tool
http://www.sophos.com/support/knowledgebase/article/54447.html
超強Conficker電腦病毒預期將在4月1日啟動,惡化遭感染電腦,全球電腦安全捍衛戰士都嚴陣以待,小心防範。
電腦專家預期,Conficker將於4月1愚人節再行演化。
北加州趨勢科技網路威脅研究員佛格森(PaulFerguson)指出:「飛機不會在空中解體,網路也不會毀滅。」
他說:「最大的謎團是那些在Conficker幕後的人要做什麼,當他們控制這麼多電腦時,有些令人害怕。只要按一下滑鼠,他們可以為所欲為,讓數千台電腦依他們的意思行事。」
微軟公司已經組成專案小組,想盡辦法要剿滅這隻叫做Conficker或DownAdUp的病毒,還懸賞25萬美元緝拿撰寫這隻電腦蠕蟲的元兇。
4月1日一到,Conficker專案小組開始追蹤在亞洲和歐洲的網路連線情況,並指出,目前蠕蟲只是自我演化成更難偵測,但尚未有任何影響。
電腦安全專家警告,即使4月1日安然渡過,Conficker的威脅仍存在。
美國聯邦調查局(FBI)聲明中指出:「再次提醒大家,電腦應安裝強而有力的防護安全措施。」
聲明中指出:「安全措施包括安裝最新掃毒軟體,和設好防火牆,打開、回應或是點選未經收信人允許的附件特別容易受攻擊,應該避免。」
微軟已經修改免費的惡意電腦軟體移除工具(Malicious Software Removal Tool )來偵測和消滅Conficker。
Conficker病毒在2008年11月首度被偵測到。
要知道電腦是否已經感染Conficker,其中一個方法是連結防毒公司網站,例如趨勢科技或賽門鐵克(Symantec),已經感染病毒的電腦就連不上這些網站。
[以下轉載自 : 香港電腦保安事故協調中心 - Conficker.C 蠕蟲對資訊保安所產生的影響]
引言
Conficker (又名 Downadup, Kido) 是一種針對微軟視窗系統的電腦蠕蟲。自 2008年11月首次發現後,仍在不斷變化。在2008年11月至2009年2月期間發現了變種 A,B及B++。香港電腦保安事故協調中心在 2009年2月號的資訊保安報 已發表了一份事故分析去介紹 Conficker 蠕蟲。在過去數星期,新聞報導(1) 都非常關注在3月初發現的 Conficker.C 蠕蟲變種的發展。由於新變種的域名產生方法會在 2009 年4月1日啟動,因此有可能產生一些新的保安威脅。有見及此,香港電腦保安事故協調中心亦對 Conficker.C 蠕蟲提升了警告級別並發佈這個忠告。
Conficker.C 的主要變更
根據 SRI 的報告 "An Analysis of Conficker C" 增訂版本資料, Conficker.C 是由之前的版本大幅修改而成。
新增的功能非常注重防禦方面,藉此延長 Conficker 在受感染電腦上的生存時間。它有以下數項的重大變更:1. 新的域名產生方法
由2009年4月1日起,Conficker.C 每日會採用 116 高階域名(TLDs)去產生 50,000 個域名。Conficker.C 每日只抽選其中 500 個域名執行一次性查詢來進行更新程序。新的域名產生方法的設計是企圖避開全球保安團隊搶截 Conficker 作者登記域名的策略。2. P2P 更新
利用 P2P 協調去發佈經數碼簽署的檔案來進行更新程序。每一部受感染的電腦可以負責伺服器或客戶端。3. 阻止第三方搶奪的保安功能
採用最新的加密系統 MD-6 簽署去辨別上載檔案作者的身份,阻止其他團體上載任意的執意檔案來佔據受感染的系統。4. 較佳的防禦功能去對抗保安服務程式
增加偵測和終止保安服務程式的能力,藉此對抗反惡意程式軟件。它有防止查詢域名功能來阻止查詢保安軟件公司的域名。它會終止防火牆、Windows defender和一系列的保安服務程式。
影響
Conficker.C 蠕蟲本身是 *不會* 攻擊互聯網的使用者。但是,它連接更新伺服器時所使用的方法會產生以下的保安威脅 (3):
1. 對之前感染了 Conficker A 和 B 的電腦所帶來的威脅
已感染 Conficker.A 或 Conficker.B 但還未清理的電腦,可能嘗試經 HTTP 更新至 Conficker.C 版本。Conficker.C 蠕蟲有較好的防禦功能,要清除它變得更加困難。2. Conficker.C 蠕蟲引起的網絡交通威脅
新的域名產生方法會有一個副作用,這個隨機產生域名的方法可能會包括一些已登記的正常域名。由2009年4月1日 開始,Conficker.C 蠕蟲會嘗試連接這些域名,因而有可能對正常的域名造成分散式阻斷服務攻擊。大量湧入的網絡交通會影響網站的擁有人和有關網絡服務供應商的網絡。Conficker.C 蠕蟲隨機產生的已登記正常域名列表:
http://iv.cs.uni-bonn.de/uploads/media/collisions_april.zip3. 由 Conficker.C 作者引起的入侵攻擊
Conficker.C 作者可能嘗試攻擊那些在域名產生方法下的正常網站,預備將它變成一個控制集合的地點。
解決方案
預防 | 1. 必須為 Windows 系統的電腦安裝在 2008年10月24日所發佈的 MS08-067 修補程式。 |
2. 安裝防毒軟件和保持更新病毒識別檔案。 | |
3. 安裝和所啟動防火牆軟件。若使用者是直接連接到互聯網,例如:流動的互聯網使用者或使用者沒有使用防火牆功能的路由器,都必須啟動防火牆軟件。 | |
4. 為使用者帳戶和檔案分享選取較強的密碼保護。 | |
5. 如果可以,請停止外置裝置的自動執行和自動播放功能。 | |
6. 企業使用了網頁代理伺服器 (例如 Squid),入侵偵測系統或內容過濾軟件,可以監察對內和對外網絡交通的 HTTP get 字串 (2) |
偵測 (4) | 1. 檢查那些無法連接到保安軟件供應商網站的電腦或無法下載更新的電腦。這些電腦可能已受感染。 以下網站有一個簡單的測試來判斷這個情況。 |
2. 使用Active Directory 的企業,請檢查是否每日都有大量因入侵防護而遭凍結的 AD 帳戶。這種徵狀可能是惡意程式嘗試進行密集式密碼攻擊所引致的後果。網絡上可能有電腦已受感染。 | |
3. 企業網絡可以利用網絡掃瞄工具去尋找網絡上受感染的電腦。 i. Conficker 遠端掃瞄器 - scs.exe ii. Nmap 4.85beta5 或以上版本 | |
4. 企業使用了 Snort 入侵偵測系統,可以採用特定的 IDS 識別碼在網絡上偵測 Conficker 攻擊或尋找受感染的電腦。 i. 適用於 Conficker.A and B 的 Snort IDS 識別碼: |
回應 | 1. 已感染 Conficker 的電腦,請下載以下的 Conficker 蠕蟲移除工具程式去清理電腦。 |
2. 在這段時間,若網站遇到分散式阻斷服務攻擊,網站的擁有人可聯絡網絡服務供應商和香港電腦保安事故協調中心尋求協助。 |
(1) Conficker 蠕蟲資訊和新聞
http://isc.sans.org/diary.html?storyid=5860
http://www.confickerworkinggroup.org/wiki/pmwiki.php?n=Main.HomePage
http://blogs.technet.com/mmpc/archive/2009/01/22/centralized-information-about-the-conficker-worm.aspx
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9130228&intsrc=news_ts_head
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9130228&intsrc=news_ts_head
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9129239&intsrc=news_ts_head
http://bits.blogs.nytimes.com/2009/03/19/the-conficker-worm-april-fools-joke-or-unthinkable-disaster/
https://forums2.symantec.com/t5/Malicious-Code/W32-Downadup-C-Bolsters-P2P/ba-p/393331#A253(2) Conficker 蠕蟲分析文章
http://mtc.sri.com/Conficker
http://mtc.sri.com/Conficker/addendumC/
https://www.honeynet.org/files/KYE-Conficker.pdf(3) Conficker 蠕蟲的問與答
http://www.f-secure.com/weblog/archives/00001636.html(4) 偵測 Conficker 蠕蟲
http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
沒有留言:
發佈留言