W32/Conficker.worm

1

W32/Conficker.worm

offline
  • Pridružio: 18 Avg 2008
  • Poruke: 92
  • Gde živiš: Beograd/Geneva

Ne znam da li ste obavesteni ali neka se nadje,nece skoditi,u slucaju da vec ima informacija,naravno obrisati temu Smile.

"Virus Conflicker zarazio milione računara

Virus Conflicker, poznat još i kao Downadup i Kido, pojavio se u oktobru 2008, a već je zarazio preko devet miliona računara brzinom koja do sada nije zabeležena – u poslednja četiri dana zarazio je preko šest miliona računara. Stručnjaci upozoravaju da hakeri tek treba da aktiviraju tovar koji je doneo sa sobom.

Virus se širi kroz slabo obezbeđene kompanijske mreže, personalne računare na kojima nije instalirana najnovija antivirusna zakrpa i USB memorije. Za to koristi slabost Windows Server Servicea i nekoliko mehanizama napada i samozaštite među kojima su pogađanje mrežnih lozinki i skrivanje u šumi nasumično generisanih imena datoteka i veb lokacija.

Zaraženi računar skenira mrežu u potrazi za drugim računarima i pokušava da im pristupi služeći se propustom u sistemu bezbednosti Windowsa. Ako mu za to zatreba lozinka, u slučaju da je kratka otkriće je metodom sirove sile – čistim pogađanjem, a tamo gde ne uspe aktiviraće automatsko zaključavanje koje služi kao zaštita u slučajevima kad korisnik previše puta unese pogrešnu lozinku. Zbog toga je jedan od problema koje prouzrokuje mrežnim korisnicima taj što im zaključava nalog za pristup.

Kad ovaj zlonamerni softver uđe u mrežu veoma ga je teško ukloniti, jer se veoma agresivno štiti tako što se restartuje u ranoj fazi podizanja sistema i menja prava pristupa datotekama i ključevima pod kojima je zaveden u registru, pa ih korisnici ne mogu ni ukloniti, ni promeniti. Pored toga onemogućava i restauriranje sistema u stanje pre infekcije.

Kad uđe u sistem virus brzo evoluira, jer preuzima modifikovane verzije samog sebe sa veb lokacije skrivene u dugom spisku lokacija čija imena generiše poseban algoritam služeći se uz to i podacima o datumu i vremenu. Pošto se na ovaj način pravi na stotine različitih imena domena, kompanijama specijalizovanim za bezbednost je izuzetno teško da lociraju onaj pravi i ugase ga na vreme.

Mada se čini kao da je njegovo širenje dostiglo plafon, postoje strahovi da bi neko lako mogao da preuzme kontrolu nad nekim, ili čak svim zaraženim računarima kojih trenutno ima preko devet miliona.

Glavni istraživač kompanije F-Secure, Miko Hiponen, smatra da su korisnici još uvek izloženi velikom riziku. „Ukupan broj zaraženih računara izgleda da je dostigao vrh. Teško je reći koliko je to računara, jer se ne zna koliko mašina je u međuvremenu očišćeno, ali procenjujemo da ih je sigurno više od devet miliona širom sveta. Zastrašujuća je i sama pomisao koliku kontrolu bi hakeri mogli da imaju nad svim tim računarima, jer bi imali pristup s punim administratorskim pravima. To se još nije desilo jer se možda plaše, i to je dobra vest, ali postoji i scenario po kome bi neko drugi mogao da sazna kako da aktivira virus. To je već zabrinjavajuća mogućnost.“

Stručnjaci kažu da korisnici treba da ažuriraju svoj antivirusni softver i instaliraju Microsoftovu zakrpu MS08-067 poznatu i kao KB958644.

Grejam Kluli, viši konsultant u antivirusnoj kompaniji Sophos, rekao je da epidemija takvih razmera nije viđena već neko vreme. „Microsoft je uradio dobar posao time što je ažurirao softver korisnika kućnih računara, ali virus nastavlja da inficira poslovne računare u kompanijama koje su ignorisale savet da ažuriraju svoj softver. Tome je verovatno doprineo manjak IT stručnjaka zbog prethodnih praznika, a i činjenica da instaliranje zakrpe na velikom broju računara nije baš lako. S druge strane, ukoliko korisnici upotrebljavaju slabe lozinke – 12345, QWERTY i sl. – virus ih brzo provali.“

Prema Microsoftu, virus radi tako što u Windowsu traži izvršnu datoteku „services.exe“ i kad je nađe ubaci se u nju i postane deo njenog koda.

Potom se prekopira u sistemski direktorijum Windowsa kao datoteka s nasumično izabranim imenom od pet do osam znakova i s nastavkom „dll“, na primer piftoc.dll, a zatim promeni bazu Registry, u kojoj su spiskovi ključnih parametara Windowsa, da bi, kad se računar restartuje, izvršavao zaraženu dll datoteku kao da je standardni servis.

Virus potom pravi HTTP server i resetuje tačku za restauraciju sistema (čime dodatno otežava oporavljanje sistema), a zatim skida datoteke sa hakerove veb lokacije. Većina zlonamernog softvera koristi manji broj lokacija sa kojih preuzima datoteke, tako da se one lako mogu naći i ugasiti. Međutim, Conficker to radi drugačije.

Antivirusna kompanija F-Secure kaže da virus koristi složen algoritam da generiše na stotine različitih imena domena svakog dana, kao recimo mphtfrxs.net, imctaef.cc i hcweu.org. Samo jedan od njih će zapravo biti onaj sa koga uzima hakerske datoteke. Imajući to u vidu nalaženje tog domena je gotovo nemoguće.

Specijalista iz Kaspersky Labsa, Edi Vilems, rekao je da novi soj ovog virusa dosta zakomplikovao stvari.

„Većinu problema pravi nova varijanta koja se pojavila pre dve nedelje“, rekao je on. „Metodi razmnožavanja su joj veoma dobri. Koristi nekoliko različitih mehanizama, uključujući USB memorije, tako da ako se neko zarazi u jednoj kompaniji, a potom sa svojom USB memorijom ode u drugu, zaraziće i njenu mrežu. Pored toga, virus prevlači s interneta mnogo sadržaja i pomoću tog mehanizma stvara nove varijante. Naravno, pravi problem je to što ljudi nisu zakrpili svoj softver.“

Antivirusne kompanije upozoravaju rukovodioce mreža da provere jesu li instalirali najnovije Microsoftove zakrpe i da li im je antivirusni softver ažuran, da isključe Autorun i Autoplay za USB memorije, da utvrde jesu li lozinke korisnika jake i da posebno povedu računa o lozinkama administratora domena.

Dezinfekcija virusa je veoma složena i zahteva isključivanje delova mreže. Zato kompanije koje su se našle na udaru ovog virusa treba da ograniče korišćenje USB memorija i blokiraju nepotreban saobraćaj na mrežnom zaštitnom zidu.

Microsoft je objavio da je virus inficirao računare u raznim delovima sveta, a najviše u Kini, Brazilu, Rusiji i Indiji. (M.V.)

izvor : MikroVesti
IZDANJE ČASOPISA MIKRO-PC WORLD
Sreda 21.01.2009.


link za..... "Security Update for Windows XP (KB958644)"

microsoft.com/downloads/details.aspx?fa.....g=en"

Dopuna: 27 Jan 2009 1:09

Dopuna:

Novi skype virus pod imenom “VIlizara-Kiflata”, je bugarski virus. Uništava ceo hard disc.
Skype nik je veli4ka don4eva
Pošalji ovo na sve tvoje skype kontakte zato što, ako ga neko od njih prihvati, automatski se prenese i kod tebe.
Ponavljam, prenesi svim tvojim Skype prijateljima da ne prihvataju nikoga sa Skype imenom “vilito.0077? ??? “veli4ka don4eva”, zato što je veoma zloćudan.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 24 Jul 2007
  • Poruke: 12280
  • Gde živiš: Höganäs, SE

A kakve veze imaju ta dva? Ili: po čemu je to dopuna post-u o Conficker crvu?

Btw, kako to uništava ceo HDD? Imaš neki link sa opisom tog malware-a?



offline
  • Pridružio: 26 Dec 2008
  • Poruke: 440

Ovo za skype me podseca na obican spam.

offline
  • Pridružio: 14 Dec 2007
  • Poruke: 33
  • Gde živiš: BG iz ApV

Nastavak verovatno sledi.



Virus Downadup ulazi u drugu fazu?

Virus Downadup – poznat i kao Conflicker i Kido – do sada je zarazio oko 10.000.000 računara širom sveta, a stručnjaci za bezbednost smatraju da će uskoro uslediti i njegova druga faza u kojoj će izbaciti svoj opasni tovar.

Smatra se da ovaj virus ima potencijal da zarazi do 30% Windows sistema povezanih sa Internetom, što znači između 300 i 350 miliona personalnih računara. Virus je prvi put identifikovan u novembru prošle godine - sumnja se da je potekao iz Ukrajine - a naročito brzo se proširio u poslednjih nekoliko nedelja. Mada još nije zlonameran u smislu da uništava datoteke – njegov glavni trik je da blokira pristup Web lokacijama antivirusnih kompanija na kojima korisnici zaraženih računara mogu dobiti odgovarajuća zaštitu – još uvek je u stanju da sa Mreže preuzme kôd za neke mračnije svrhe. Mnogi stručnjaci očekuju da će se to desiti uskoro.

Šta bi ta mračna strana mogla biti predmet je nagađanja, ali neki smatraju da bi to mogao biti „nemilosrdni antivirusni softver“ koji od korisnika traži da ga kupi kako bi uklonio virus, što je u osnovi iznuđivanje.

Čak i IBM smatra da je druga faza ovog virusa izvor zabrinutosti. „Za sada ništa ne uništava i ne krade već se samo mota okolo i gradi svoju mrežu“, komentariše Tom Kros, istraživač grupe X-Force u IBM-ovom odeljenju Internet Security Systems (ISS), koje je specijalizovano za razvoj rešenja za bezbednost na Internetu.

Mada niko ne zna tačno kakav će teret da istovari, jedan od razloga što polako ali sigurno napreduje je to što koristi Windowsovu funkciju „AutoRun“ da bi se kopirao kroz sistem za deljenje datoteka i USB memorije, smatra Kros. Čak i kad je računar „zakrpljen“ još uvek se možete zaraziti ukoliko se u njega umetne zaražena USB memorija ili koriste deljene datoteke, tako da Kros savetuje da se funkcija AutoRun isključi.

Da bi otkrio administratorske naloge i druge računare virus koristi „razbijač lozinki“, ali mu jače lozinke zasada bolje odolevaju. (M.V.)

izvor : MikroVesti
IZDANJE ČASOPISA MIKRO-PC WORLD
Ponedeljak26.01.2009.

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

E, da su ove tekstove barem pisali ljudi koji su malo pismeniji po pitanju virusa...
Ovako, lici na tekst koji bih ja mogao da napisem o Atlantidi.

Kao prvo i osnovno, ovo nije virus vec crv...

offline
  • Pridružio: 13 Nov 2008
  • Poruke: 467
  • Gde živiš: Beograd

90% ljudi pod viruse ubrajaju i crve,trojane,adware,spyware,dilere... nemaju pojma da su virusi zasebna kategorija ni ja nisam preterano upucen u te stvari ali toliko sam uspeo da ukapiram.

offline
  • Pridružio: 25 Mar 2004
  • Poruke: 816

Razlika između crva i virusa se sastoji u tome da crvi iskorišćavaju propuste u programima i operativnim sistemima za svoje širenje, dok virusi to rade infekcijom drugih fajlova. Crv je mahom samostalan program, dok virusu treba nosilac da se za njega zakači. To može biti i sam crv, tj. da virus inficira ili bude deo crva.

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

@Kerber
Yup.
Ono sto odudara od tvoje definicije je da ni virusi nisu vise ono sto su nekada bili.
Nekada, da bi se virus ucitao u memoriju bilo je potrebno da pokrenes program koji je inficiran.
Danas crvi sebi obezbedjuju automatski start zajedno sa Windowsom tako sto instaliraju svoje servise itd.

offline
  • Pridružio: 25 Mar 2004
  • Poruke: 816

Dodaš jedan rootkit da fino posakrije te servise i eto zanimacije na šire staze Wink

offline
  • Pridružio: 18 Avg 2008
  • Poruke: 92
  • Gde živiš: Beograd/Geneva

Ljudi samo sam hteo da podelim informaciju???????? smešak

Ko je trenutno na forumu
 

Ukupno su 1059 korisnika na forumu :: 44 registrovanih, 8 sakrivenih i 1007 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: 357magnum, A.R.Chafee.Jr., bbogdan, bojank, bokisha253, Boris90, brundo65, Chainsaw, djboj, djuradj, draganl, Duh sa sekirom, h8propaganda, hatman, havoc995, Klecaviks, kokodakalo, Kubovac, lord sir giga, mackenzie, Mendonca, Mercury, MiG-29M2, mikrimaus, Milicija Krajine, milimoj, oldtimer, pein, Povratak1912, procesor, sasovsky, sevenino, Silvertooth, Sirius, torivoje, Tvrtko I, UAV operator, Viktor Petrenko, VJ, Vlada1389, wolf431, zillbg, zoranis, šumar bk2