לדלג לתוכן

משתמש:Shlominar

מתוך ויקיפדיה, האנציקלופדיה החופשית

תולעת ה- Conficker - DownADUp רקע[עריכת קוד מקור | עריכה]

לאחרונה מספר רב של ארגונים בארץ ובעולם נפלו קורבן למתקפת תולעת ((W32 המסתובבת ברשת האינטרנט וחדרה לרשתות ארגוניות שונות. התולעת שגורה בפי קהיליית אבטחת המידע כ- Conficker, DownADUp ובעלת שמות נוספים ומוטציות שונות כגון Conficker.A ו- Conficker.B . צוות החוסן של חברת אבנת ליווה מספר ארגונים אשר נפגעו מתולעת זו ובמסמך זה תפורט דרך ההתמודדות והטיפול כנגד הדבקות בארגון ופעולות בהן יש לנקוט באם אותרה.

=== המסמך נכתב על-ידי שלומי נרקולייב ואביעד גולן מצוות חוסן באבנת. ===

1. צורת ההפצה תולעת זו מבצעת את הפעולות המפורטות להפצה עצמית למספר מירבי של תחנות: .1 ניצול פגיעות בשירות ה- " SERVER " ( Server “Service” ) על ידי ניצול פגיעות MS08-67 במערכות הפעלה מבית מיקרוסופט. .2 ניצול והפצה דרך Autorun של דיסקים ניידים. .3 ביצוע התקפת מילון ) Dictionary attack ( של סיסמת Administrator על תיקיות משותפות ברשת הארגון ) IP\ADMIN$\system32 (, במקרה של הצלחה התולעת תעתיק את עצמה לספריה המשותפת ותנסה להוסיף ערך במשימות מתוזמנות להרצתה.

2. סימפטומים .1 התולעת לאחר הדבקה תסגור את שירותים אלו של המכונה המודבקת: •wscsvc - Security Center •wuauserv - Automatic updates •BITS - Background Intelligent Transfer Service •WinDefend - Windows Defender •ERSvc - Error Reporting Service •WerSvc - Windows Error Reporting Service .2 חסימת גישה לאתרי עדכון ואבטחה שונים כגון Microsoft , Kaspersky , panda ועוד. 3. ביטול הודעות מרכז האבטחה ) Security Center ( של Windows . .4 מחיקת Restore Points . .5 הוספת כניסת "דלת אחורית" ע"י פתיחת שירות HTTP על פורט רנדומלי. לסיכום: התולעת מונעת שירות במחשבים המודבקים, תמנע גישה ל- Domain ותפגע בשירותי הרשת.

3. דרכי התמודדות 1. לאחר בדיקה אודות התולעת אותר כי התולעת תוקפת מחשבים בהם לא הותקן טלאי האבטחה של מיקרוסופט- MS08-67 . 2. על מנת למנוע את התפשטות התולעת דרך הרשת, יש להתקין את טלאי האבטחה הבא: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx ולאתחל את המחשב. 3. יש לוודא עדכניות אנטי-וירוס ולבצע סריקה בתחנות ושרתים לאחר התקנת טלאי האבטחה. 4. יש לחסום בפיירוול הארגוני כל אפשרות של יציאה לכתובות המפורטות בנספח ב' . חברת אבנת תשמח לסייע לכם לוודא כי ארגונכם מוגן בפני מתקפת תולעת זו, לסייע בטיפול כנגד הדבקות בארגון וליישם פעולות תיקון במידה ואותרה הפגיעה.

4. א. נספחים אינדקס המציג את שם הוירוס אל מול מנועי אנטי-וירוס שונים: Conficker.A: אנטי וירוס כינוי לוירוס AntiVir TR/Dldr.Agent.aqfw

Avast Win32:Trojan-gen {Other}

AVG Downloader.Agent.APKO

BitDefender Trojan.Downloader.JLIW

CAT-QuickHeal TrojanDownloader.Agent.aqfw

DrWeb Trojan.DownLoad.16849

eSafe Suspicious File

eTrust-Vet Win32/Conficker.A

F-Secure Trojan-Downloader.Win32.Agent.aqfw

GData Trojan.Downloader.JLIW

Ikarus Trojan-Dropper.Agent

Kaspersky Trojan-Downloader.Win32.Agent.aqfw

McAfee W32/Conficker.worm

McAfee+Artemis W32/Conficker.worm

Microsoft Worm:Win32/Conficker.A

NOD32 Win32/Conficker.A

Panda Trj/Downloader.VAU

PCTools Trojan-Downloader.Agent

SecureWeb-Gateway Trojan.Dldr.Agent.aqfw

Sophos W32/Confick-A

Symantec W32.Downadup

TrendMicro WORM_DOWNAD.A

ViRobot Trojan.Win32.Downloader.62976.AJ

VirusBuster Trojan.Disken.B

AhnLab-V3 Win32/Conficker.worm.62976

Conficker.B: אנטי-וירוס כינוי לוירוס Ikarus Virus.Trojan.Win32.Agent

Kaspersky Trojan.Win32.Agent.bcjv

McAfee W32/Conficker.worm.gen.b

McAfee+Artemis W32/Conficker.worm.gen.b

Microsoft Worm:Win32/Conficker.B

NOD32 a variant of Win32/Conficker.AA

Norman W32/Conficker.BV

Sophos Mal/Conficker-A

Symantec W32.Downadup.B

TrendMicro WORM_DOWNAD.AD

a-squared Virus.Trojan.Win32.Agent!IK


.4 ב. רשימת האתרים אותם יש לחסום: trafficconverter.biz ahayw.info ajcminmqpeu.com anosb.biz aqgcurmt.net bdfbobhuls.com bjmqxoxbmyq.org bszeu.info cfcpreiwtgx.net cpfgbuwqv.biz cukpubgb.net dconkp.com dpxzsrjhsn.org dtyqryfi.biz dviwvh.net dwmpveim.info dxnlypjjxp.biz eaguzulxdr.org ekrohmqa.info eoblibwqaig.info epvzvuah.info ethogxkt.net euwqeixq.biz exxcpxm.net eyjayqmwxxo.org ezhvnjlvuk.org fdzwsak.net gatkcy.org gceqy.info ggcnqnr.info gkmdbporqmp.biz gmtgpb.org guiahproe.info gxepchol.net gztql.net haqrcz.com hkqrhqev.com hndrijmu.org hvxmlcc.org idahdfyojhz.com ipbdwihw.info iquvtfhm.net irhtphctgn.com ivouyvxaf.net jfvyipo.info jhhwydtk.com jjbuafs.info jptplynb.org jutsyu.com kagvjo.com kfzksydrct.org khvdkdjnrhr.biz ktivtbse.net lbori.com ltxbrwfosrg.net mhjhb.com mtqcpiwod.biz nsjmewgdb.com ntshnjyxfh.net nxphotp.com ocykqj.biz oenjrcaly.net oororgpkbp.com ozlqvnkiq.net palrw.org pmotqmf.com pvuxb.info qffszcfgyzn.org qfoilcqp.com qjafgfp.net rfduzjbztg.biz riuvunis.info rlbidexd.org rntbogfz.biz rtkrhxsp.biz ruolomicarp.org rxytvgkapvw.biz safxg.net sdxkcnzcvhd.org shbyxebiec.biz srsoeggve.org tbkmloh.net tezjm.net tilazlfn.com tqlxquy.org trxho.org uiiwmmgr.com upyuqxpmlxt.net vdunf.net vtewiyny.info vuahzmvf.biz vweoof.org wkjhjr.com xehlydgan.net xmmzcsqm.biz xtjejduc.org xxwoteojg.biz xytbvkrqhu.info ybhufq.net yenhbrt.biz yfczve.info ylfamhcgn.net ylzbgyorfy.org ysxbkquj.info ythekdrar.net yudxsol.org yzbvrteij.biz yzpjvpkdtq.biz zjxuw.org zpqhr.biz zuuroktw.biz zzkjecmf.com maxmind.com cbchyttgqay.biz cqazvyszh.com dicgdsp.org dzxecapiw.info epwqbyya.com fogzchqe.org gkenjj.biz iwtrubh.biz jvikldgo.net kcgxgnny.net lyhivgkd.org mefenydz.com mfqal.net nprzq.biz ojzarbw.net rheni.org syqxvsid.com tyoxnaqjrlu.org ukdikl.org uqruninkqca.net uzapl.com vyuiwltf.com xskeqrcl.net xxhdy.net xxztb.org yeofa.org yeynxe.net yjodeikka.org yprpg.biz ytcqft.com

Narkolayev Shlomi Information Security Expert