Veliko število Windows aplikacij vsebuje ranljivost, ki napadalcu omogoča podtikanje izvršljivih datotek ali DLL knjižnic. Napadalec lahko to izkoristi s tem, da žrtvi ponudi datoteko za prenos. Če to datoteko odpre program, ki ranljivost vsebuje, lahko napadalec podtakne knjižnico DLL (ali celo svoj EXE ali COM program) in dobi dostop do sistema v okviru pravic uporabnika, ki je program zagnal. 

DLL (Dynamic Link Library) so programske knjižnice, ki vsebujejo programske funkcije, ki jih uporablja več aplikacij. Za opravljanje posameznih opravil aplikacija naloži DLL knjižnico in nato uporablja funkcije v njej. Preko DLL knjižnic programi odpirajo, kopirajo in brišejo datoteke, odpirajo komunikacijska vrata, upravljajo z zaslonskimi okni itn.

Zgodaj spomladi je mariborsko podjetje ACROS Security odkrilo ranljivost v več Windows aplikacijah (preko 500).

Metode širjenja

Binarno datoteko lahko napadalec podtakne preko USB ključa, SMB mape v skupni rabi ali WebDAV mape.

Ranljive verzije

Večje število aplikacij za Windows operacijske sisteme.

Rešitev

Microsoft je izdal začasni popravek 2264107, preko katerega skrbnik lahko omeji nabor direktorijev, na katerih aplikacija išče DLL knjižnice. Dodatno lahko omejite dostop do zunanjih SMB naprav in izklopite WebClient storitev. Natačna navodila so navedena v Microsoftovem varnostnem obvestilu 2269637: “Insecure Library Loading Could Allow Remote Code Execution”.

Razvijalcem svetujemo, da sledijo navodilom za varno nalaganje DLL knjižnic.

Povezave

• ACROS Security Blog
• Microsoft Security Advisory (2269637): Insecure Library Loading Could Allow Remote Code Execution
• Microsoft Support: A new CWDIllegalInDllSearch registry entry is available to control the DLL search path algorithm
• MSDN: Dynamic-Link Library Security

Windows družina operacijskih sistemov vsebuje ranljivost pri obravnavi bližnjic (shortcut, datoteke s podaljškom LNK), ki napadalcu lahko omogoči zagon poljubne podtaknjene programske kode. Gre za t.i. 0-day ranljivost, kar pomeni, da se že aktivno izrablja, čeprav še ni na voljo uradnega popravka. Ranljiv je tudi Windows 7 operacijski sistem z nameščenimi vsemi popravki.

Do zagona kode pride pri prikazu bližnjice (recimo z Windows Explorer ali Total Commander programoma), če pa je na računalniku nastavljen Autorun samodejni zagon programov, lahko do zagona kode pride tudi brez posredovanja uporabnika.

Na omrežju se ranljivost aktivno uporablja za namestitev gonilnikov mrxnet.sys in mrxcls.sys, ki zlonamerno kodo injicirata v sistemske procese in skrijeta datoteki, tako da na USB pogonih nista vidni. Gonilnika sta bila podpisana s sicer veljavnim digitalnim podpisom podjetja RealTek, ki pa mu je potekel rok veljavnosti. V drugem primeru je bil uporabljen veljavni podpis podjetja JMicron Technology Corp.

Analiza kode, ki se aktivno širi je pokazala, da vsebuje komponento za dostop do Simatic WinCC in PCS7 sistemov podjetja Siemens. Gre za t.i. SCADA sisteme (Supervisory Control and Data Acquisition), ki so namenjeni upravljanju in nadzoru industrijskih procesov, elektrodistribucije ipd.

Protivirusna podjetja sporočajo, da so dodala omenjeno kodo v baze znanih virusov. 

Metode širjenja

Okužba se širi preko USB ključev in map v skupni rabi.

Ranljive verzije

• Microsoft Windows 7
• Microsoft Windows Server 2003 Datacenter Edition
• Microsoft Windows Server 2003 Enterprise Edition
• Microsoft Windows Server 2003 Standard Edition
• Microsoft Windows Server 2003 Web Edition
• Microsoft Windows Server 2008
• Microsoft Windows Storage Server 2003
• Microsoft Windows Vista
• Microsoft Windows XP Home Edition
• Microsoft Windows XP Professional

Rešitev

Microsoft je izdal uradni popravek MS10-046. 

Posodobljeni protivirusni program lahko zaznajo in preprečijo namestitev zlonamerne kode. Uporabnikom Siemensove programske opreme Simatic svetujemo, da obiščejo uradno Siemensovo stran z opisom problema in navodili za ukrepanje.

Povezave 

• Microsoft Security Bulletin MS10-046
• Siemens: SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan
• Microsoft KB 2286198: "Fix It" obvod ranljivosti 
• Microsoft Security Advisory (2286198)
• Sophos Windows Shortcut Exploit Protection Tool
• AusCERT: Malware targeting Siemens SCADA
• Siemens: Update on Virus Affecting Simatic WinCC SCADA Systems
• Secunia Advisory SA40647
• F-Secure: Espionage Attack Uses LNK Shortcut Files

Zadnji popravek: 3. 8. 2010

Produkta Flash Player 10 in Acrobat/Acrobat Reader 9 vsebujeta kritično ranljivost, ki omogočata zagon poljubne kode na računalniku. Prizadeti so produkti na Windows, Macintosh, Solaris in Linux operacijskih sistemih. Ranljivost se že aktivno izrablja v napadih na internetu (0-day ranljivost).

Pričakovani scenariji napada so predvsem: 

• posredovanje PDF dokumentov, ki vsebujejo skonstruirane SWF komponente za izrabo ranljivosti,
• preusmerjanje na lažna spletna mesta, ki posnemajo Youtube, Vimeo in druga spletna mesta, namenjena ogledu video posnetkov na spletu.

Priporočamo previdnost pri obravnavi datotek s PDF priponkami in sporočil, ki vas vabijo k ogledu posnetkov. Zlonamerne priponke in povezave se lahko širijo preko elektronske pošte, sistemov za hipno sporočanje (MSN, Skype, Google Talk) ali družabnih omrežij (Facebook).

Ranljive verzije

• Adobe Flash Player verzije 10.0.45.2, 9.0.262 ali zgodnejše za Windows, Macintosh, Linux, ali Solaris operacijske sisteme,
• Adobe Reader in Acrobat verzije 9.3.2 ali zgodnejše za Windows, Macintosh, ali UNIX operacijske sisteme.

Rešitev

Adobe je izdal uradni popravek za Flash Player, ki to in druge ranljivosti odpravlja. Popravek je na voljo na naslovu:

http://www.adobe.com/support/security/bulletins/apsb10-14.html

Povezave

• Security update available for Adobe Flash Player
• Security Advisory for Flash Player, Adobe Reader and Acrobat
• Secunia Advisory SA40034, Adobe Reader/Acrobat authplay.dll Unspecified Code Execution Vulnerability
• Secunia Advisory SA40026, Adobe Flash Player Unspecified Code Execution Vulnerability

Posodobljeno: 11. 6. 2010

Opis

Mozilla Firefox vsebuje ranljivost, ki napadalcu omogoča izvajanje poljubne programske kode in posledično nadzor nad sistemom. V tipičnem scenariju se ranljivost izkoristi s podtaknjeno kodo, ki med brskanjem podtakne trojanskega konja na sistem.

Ranljive verzije:

• Mozilla Firefox verzije 3.6 in razvojna različica 3.7.

Rešitev

Na voljo je že Firefox verzije 3.6.2, ki odpravlja kritično ranljivost. Uporabnikom svetujemo čimprejšnjo nadgradnjo s prenosom iz spletne strani ali s pomočjo avtomatskega posodabljanja (meni Help -> Check for updates...).

Povezave

• Mozilla Security Blog: Update on Secunia Advisory SA38608
• Secunia Advisory SA38608: Mozilla Firefox Unspecified Code Execution Vulnerability

Microsoft Internet Explorer vsebuje ranljivost, ki napadalcu omogoča izvajanje poljubne programske kode in posledično nadzor nad sistemom. Ranljivost je vrste 0-day, kar pomeni, da se je na omrežju že aktivno izkoriščala, še preden je bila javno znana. Ranljivost je bila recimo uporabljena v nedavnih napadih na Google.

Ranljive verzije:

• Microsoft Internet Explorer verzije 6, 7 in 8; za podrobnejše informacije glej Microsoftovo razpredelnico.

V običajnem scenariju napadalec ustvari spletno stran, ki ranljivost izkoristi in podtakne virus ali trojanskega konja, žrtev pa nanjo usmeri preko elektronske pošte ali podtaknjene povezave na drugi spletni strani.

Rešitev

Microsoft je 21.1.2010 izdal izredni popravek 201001-OOB, ki ranljivost odpravlja. Vsem uporabnikom Internet Explorerja svetujemo takojšnjo namestitev popravka preko Microsoft Update mehanizma.

Povezave

• Microsoft Security Advisory 979352
• Secunia SA38209, Microsoft Internet Explorer Arbitrary Code Execution
• US-CERT Vulnerability Note VU#492515

Potek goljufije

Goljufi iz tujine brskajo po bolha.com in iščejo izdelke, ki bi jih lahko preprodali doma. Ko najdejo ustrezen predmet, navežejo stik s prodajalcem in se dogovorijo za nakup. V vseh dosedanjih primerih, ki jih je obravnaval SI-CERT, je šlo za osebo iz tujine. Ta lahko omeni, da živi v državi članici EU (npr.: Veliki Britaniji), predmet pa želi kupiti kot darilo sorodniku v neki drugi državi (npr.: Nigeriji). Na ta način skuša pri prodajalcu povečati občutek zaupanja v posel.

Pri spletnih nakupih med posamezniki plačilo običajno poteka preko posrednika. Ta od kupca prejme nakazilo dogovorjenega zneska, in o tem obvesti prodajalca. Ko prodajalec odda pošiljko, posredniku sporoči sledilno številko pošiljke ali drugo potrdilo o oddaji. S tem podatkom posrednik lahko preveri, da je predmet nakupa res na poti h kupcu in zato nakaže zadržani denarni znesek prodajalcu. Najbolj znan in razširjen posrednik je PayPal.

Goljuf zgornji mehanizem izkoristi tako, da prodajalcu pošlje ponarejena sporočila v imenu posrednika in v njih navede, da je zahtevani znesek že plačan. Ta naj bi bil posredovan prodajalcu, ko bo oddal paket in posredoval sledilno številko ali drugo potrdilo o oddani pošiljki. Sporočila uporabljajo zavajajoče domene, ki jih je registriral goljuf (recimo pay-palcontactservice.com).

Nasveti

1. Bodite previdni pri prodaji v tujino.

   Goljufije je najlažje preprečiti oz. jih preganjati, če gre za prodajo znotraj iste države. Naslednji krog predstavljajo članice EU, kjer se je zaradi sorodne zakonodaje in sodelovanja institucij znotraj EU vseeno možno na goljufije odzvati. Zavedajte se, da poslujete s popolnimi tujci, za katere ne veste kdo v resnici so, kakšni so njihovi motivi in iz katere države so vas kontaktirali.

2. Preverite, kdo zares komunicira z vami.

   Preverite, kdo vam je poslal sporočila o plačilu. Poglejte naslov pošiljatelja in zaglavje sporočila. Če se iz zaglavja vidi, da je domnevno sporočila posrednika poslano iz ponudnika brezplačne spletne pošte (Gmail, Yahoo, Hotmail, ...), potem gre zelo verjetno za lažno sporočilo, saj banke in finančni posredniki uporabljajo lastno poštno infrastrukturo.

3. Ne hitite pri prodaji.

   Če vas "kupec" prepričuje, da je treba prodajo opraviti takoj (denimo zato, ker bo predmet darilo nečaku v Nigeriji, rojstni dan pa ima čez par dni), postanite zelo previdni.

4. Izberite ustrezen način plačila.

   Nekateri posredniški sistemi ponujajo tudi zavarovanje rizika do določenega zneska. Dobro je, če se lahko sami prepričate, ali je znesek res nakazan posredniku in se ne zanašate le na sporočila po elektronski pošti, ker je ta enostavno ponarediti. Če "kupcu" običajne metode plačila in posredniški mehanizmi niso všeč, gre verjetno za sumljiv posel.

5. Ukrepajte hitro.

   Če ste ugotovili, da ste žrtev goljufije, nemudoma preverite, ali je pošiljko še mogoče zaustaviti oz. preprečiti, da bi jo goljuf prevzel. Goljufijo prijavite policiji. Čas je pri tem zelo pomemben - dlje kot je minilo od goljufije, manj možnosti boste imeli škodo omejiti.

Povezave

• SI-CERT 2009-04 / " Porast spletnih goljufij", opisi nekaterih drugih aktualnih spletnih goljufij

Ranljive verzije:

• Microsoft Office PowerPoint 2000
• Microsoft Office PowerPoint 2002
• Microsoft Office PowerPoint 2003
• Microsoft Office 2004 for Mac

Rešitev

Popravek trenutno še ni na voljo. Vsem uporabnikom svetujemo, da ne odpirajo MS Powerpoint datotek, za katere niso prepričani o njihovem izvoru oz. namenu. Powerpoint se pogosto uporablja za razpošiljanje zbirke zabavnih ali zanimivih fotografij večjemu številu naslovnikov. Uporabnikom še posebeh svetujemo, da takšnih datotek sploh ne odpirajo.

Povezave

• Secunia: PowerPoint Unspecified Code Execution Vulnerability
• Microsoft Security Advisory (969136)
• SANS ISC: PowerPoint zero-day vulnerability (969136)

Opis

Na slovenskem centru za posredovanje pri internetnih incidentih SI-CERT smo prejeli več prijav, ki se nanašajo na različne goljufije preko interneta. Sicer gre za različne primere, vendar pa jim je skupno to, da želijo žrtev prepričati v prodajo ali nakup nekega produkta ali storitve. V tem obvestilu je opisanih nekaj konkretnih primerov, na koncu pa podajamo splošna priporočila pri uporabi interneta v spletnih nakupih in prodajah.

Prijateljeva prošnja za pomoč

Po elektronski pošti se vam javi prijatelj ali znanec in vas prosi za pomoč. Na hitro opiše, kako so mu na potovanju po Afriki ukradli denar in vse dokumente. Sedaj nujno potrebuje denar, da si bo lahko kupil hrano in se vrnil domov.

Sporočila seveda ni poslal vaš prijatelj, ampak nekdo, ki mu je ukradel geslo za dostop do brezplačnega poštnega predala (kot sta recimo hotmail.com ali gmail.com). Ukradeno geslo mu omogoči, da sporočila pošlje samo osebam, s katerimi se tudi sicer vaš prijatelj dopisuje. Spodaj je primer sporočila (nedvomno je bil avtomatsko preveden v slovenščino).

Nigerijske "419" prevare in spletni nakupi

V t.im. nigerijski prevari želi goljuf prepričati žrtev, da ji lahko ponudi dobro plačilo za prenos velike vsote denarja preko žrtvinega bančnega računa. Za izvedbo transakcije si izmisli sorazmerno nizek strošek, ki ga mora žrtev najprej plačati, da se lahko transakcija izvede. Goljuf nato niza še druge stroške enega za drugim, dokler žrtev ne spregleda prevare. Zlorabe, ki smo jim priča v zadnjem obdobju pa so nadgrajene z nekaterimi dodatki, ki skušajo povečati navidezno verodostojnost goljufa.

Žrtev najdejo preko spletnega oglasa, recimo na bolha.com. Tam bodoča žrtev oglašuje, da želi prodati denimo mobilni telefon. Goljuf se predstavi kot možni kupec, pri tem pa navede da je rezident evropske države, kupuje pa telefon za sorodnika v Nigeriji. Sporočila so včasih tudi prevedena v slovenščino s pomočjo Google Translate, kar je iz vsebine jasno opazno.

Pri plačilu naj bi posredoval sistem PayPal, kot zaupanja vreden sistem plačevanja preko omrežja. Žrtev naj pošlje paket in posreduje njegovo identifikacijsko številko na PayPal, ki potem sprosti plačilo. Pri tem goljuf podtakne lažna elektronska sporočila in zahteva v imenu PayPala dodatne kavcije za izvedbo transakcije. V nekem primeru je žrtev dobila tudi sporočila, ki naj bi prišla iz carinske službe v Nigeriji, seveda pa je šlo še za dodaten gradnik goljufije. Spodnje slike so primeri elektronskih sporočil z opombami:

Prodaja avtomobila 

Scenarij iz prejšnje točke deluje le za blago, ki je manjših dimenzij in se ga da hitro prodati. Goljufija pa lahko deluje tudi v drugi smeri: na slovenskem spletnem portali za prodajo rabljenih vozil goljuf objavi oglas za prodajo avtomobila po ugodni ceni. Pri tem navede, da je avto kupil v Sloveniji, medtem ko je bil tu na začasnem delu. Sedaj pa naj bi se preselil nazaj domov (pogosto je navedena Velika Britanija) in zato prodaja avto po tako ugodni ceni. Z lažnimi sporočili logističnega podjetja vas želi prepričati, da bo avto odpremljen, le da morate najprej nakazati del kupnine (običajno nekaj tisoč eurov):

specialphones.eu

Na Evropski potrošniški center pri Zvezi potrošnikov Slovenije se je obrnilo nekaj uporabnikov, ki so želeli kupiti mobilne telefone na spletnem mestu specialphones.eu. Na lažni spletni trgovini so telefone oglaševali po četrtini siceršnje cene. Kupci so plačevali s kreditnimi karticami, telefonov pa niso prejeli. SI-CERT je dosegel umik spletne strani, primer pa preiskuje estonska policija (tam je specialphones.eu gostoval).

Lažna turistična agencija

Uporabnik nas je obvestil o tem, da je pri tuji agenciji preko interneta naročil letalske karte in namestitev za potovanje na Tajsko. Kart in ostalih materijalov ni nikoli prejel.

Priporočila

1. Preverite ali naslov sogovornika v korespondenci ustreza osebi ali instituciji, ki jo predstavlja.
2. Izdelkov in storitev, ki jih kupujete preko spleta, ne plačujte z Western Union sistemom, saj ta ne omogoča sledenja nakazilu. Pri nakazilu preverite, ali bo denar nakazan v pravo državo.
3. Če ponudba izrazito odstopa od ostalih, poskušajte pridobiti mnenje o prodajalcu oz. ponudniku (v nekaterih primerih lahko najdete opise goljufij kar na spletu).
4. Ne uporabljajte spletnih povezav, ki so vam ponujene v korespondenci oz. natančno preverite, ali vodijo na pravo spletno mesto.
5. Presodite, ali razlika v ceni pri nakupu pri ponudniku v tujini odtehta rizik, ki ga pri tem prevzamete. Spore najlažje rešujete, če je ponudnik v Sloveniji oz. v EU, težje pa recimo, če gre za podjetje na Tajskem ali v Afriki.
6. Nikoli ne uporabljajte javno dostopnih računalnikov (cybercafe) za dostop do vaše elektronske pošte ali celo e-bančnih storitev, gesla se lahko prestrezajo (z ali brez vednosti lastnika računalnika). Elektronsko pošto pošiljajte s svoje naprave (pametni telefon, netbook, prenosnik), pri tem pazite, da je povezava šifrirana.
7. Če ste žrtev goljufije in je prišlo do oškodovanja, to prijavite policiji. Pozanimajte se na banki, kakšne so možnosti za preklic plačila.
8. Za tehnično pomoč pri izsleditvi pošiljatelja elektronske pošte in lokacije spletnega mesta se lahko obrnete na SI-CERT na elektronski naslov si-cert@arnes.si.

Družabna omrežja (angl. social networks) se uporabljajo tudi za prevare in goljufije. Kraja identitete na Facebook omrežju (in podobnih) goljufom pomeni dostop do omrežja prijateljev, znancev in sodelavcev, ki ga izkoristijo v svoje namene.

Najbolj neposreden primer take prevare je, ko goljuf z ukradeno identiteto prosi za denarno pomoč. Družabno omrežje zaradi same svoje zasnove goljufu omogoča raziskovanje odnosov in ozadij med povezanimi osebami. To mu nato omogoča konstrukcijo dovolj verodostojne zgodbe, preko katere prepriča prijatelje (osebe, ki ji je identiteto ukradel), da finančno pomagajo. Denar seveda pride v roke goljufu. Primere takšnih prevar si lahko ogledate v MSNBC posnetku in na blogu podjetja F-Secure.

Prevare se zaenkrat odvijajo v angleškem jeziku, kar zmanjša izpostavljenost slovenskih uporabnikov popularnih družabnih omrežij. Vseeno pa prevare pa lahko "vstopijo" v naše okolje preko znanstev v tujini. Poročila tudi omenjajo slabo odzivnost skrbnikov Facebooka ob teh prevarah.

Priporočila

• izberite gesla, ki jih je težko uganiti in vsebujejo male in velike črke, številke in tudi kakšno ločilo (ki ga spletno mesto dovoli uporabiti); če geslo po dolžini ni omejeno, si izberite daljšo frazo namesto ene besede; uporabite lahko tudi daljši stavek, ki si ga boste zlahka zapomnili in ga nekoliko spremenite oz. iz njega vzamete dele po nekem ključu,
• če prejmete obvestilo po elektronski pošti, ki od vas zahteva da vpišete uporabniško ime in geslo, nanj ne reagirajte,
• poskrbite za ustrezno zaščito svojega računalnika,
• nikoli ne uporabljajte javnih računalnikov (cyber cafeji, knjižnice) za dostop do družabnih omrežij in drugih spletnih mest, kjer se morate izkazati z uporabniškim imenom in geslom, saj so ti računalniki lahko okuženi s programi za krajo gesel,
• nikoli ne uporabljajte nezaščitenih brezžičnih omrežij za dostop do teh spletnih mest,
• če vas prijatelj na družabnem omrežju prosi za denarno pomoč, se prej prepričajte, da jo res zahteva oseba, ki jo poznate - če je možno, uporabite drug način vzpostavitve kontakta, vprašajte po dejstvih, za katera veste, da so znana samo tej osebi in niso navedena na družabnem omrežju (poglejte si primer, ki ga opisuje F-Secure),
• vprašajte se, zakaj vas nekdo prosi za pomoč preko družabnega omrežna na internetu, čeprav običajno komunicirata osebno, preko elektronske pošte ali po telefonu,
• uporabljajte uradne poti; primer: če vam prijatelj dopoveduje, da so ga okradli med potjo v tujini in želi nakazilo preko Western Union, mu svetujte, naj kontaktira najprej Slovensko ambasado oz. ambasado katerekoli članice EU, če slovenske v tej državi ni,
• če vas za pomoč prosi prijatelj, ki zna slovensko, piše pa vam v angleščini, nadaljujte komunikacijo v slovenščini in pazljivo ocenite v odgovorih, ali vas je dejansko razumel.

Povezave

• SAFE-SI, nacionalna točka osveščanja o varni rabi interneta za otroke in mladostnike
• MSNBC: Facebook ID Theft Targets Friends
• F-Secure: Social Networking Hack.

Opis

Število računalnikov, okuženih s črvom Conficker še vedno narašča. Črv izkorišča več različnih načinov za širjenje, zato ga je še posebej težko odstraniti iz lokalnih omrežij organizacij. Uporablja ranljivost MS08-067, po okužbi pa se poskuša širiti na bližnje sisteme tudi s poskušanjem gesel in kopijami na mapah v skupni rabi. Črv poskusi kontaktirati predefinirane domene in prenesti dodatno zlonamerno kodo. Te domene so izračunane glede na datum.

Različica Conficker C, ki se bo aktivirala 1. aprila 2009 vsebuje napredne načine za prikrivanje delovanja in onemogočanje varnostnih mehanizmov operacijskega sistema. Nadgradnje lahko prejme iz ene od 50.000 domen (prej le 250). Prav ta različica je bila deležna večje medijske pozornosti, a na dan aktivacije ni povzročila vidnih posledic.

Ranljive verzije:

• Windows XP,
• Windows Server 2003,
• Windows Server 2008,
• Windows Vista.

Preverjanje okužbe

Conficker črv preprečuje dostop do nekaterih spletnih mest, ki dajejo na voljo orodja za njegovo odstranitev. Če z računalnika ne morete dostopati do naslednjih spletnih mest (povzeto po obvestilu US-CERT): 

• www.symantec.com/norton/theme.jsp
• www.microsoft.com/protect/computer/viruses/worms/conficker.mspx
• www.mcafee.com

Rešitev 

Črva lahko odstranite s posebnim programom, ki ga je dal na voljo protivirusni proizvajalec F-Secure, ali z Microsoftovim orodjem za odstranjevanje zlonamerne kode.

Ponudnikom svetujemo, da prenesejo seznam domen, ki jih črv uporablja med 17.1. in 31.1.2009, ter preverijo promet do ustreznih spletnih mest, kamor se črv javlja. Stranke naj obvestijo o možnosti okužbe in možnih rešitvah problema. Za seznam IP naslovov, dodatne informacije ali pomoč, se lahko ponudniki obrnejo na elektronski naslov si-cert@arnes.si.

Seznam domen:

• http://www.f-secure.com/weblog/archives/downadup_domain_blocklist_17_31.txt 

Povezave

• SRI International: "Conficker C Analysis"
• Microsoft: Conficker.C
• Microsoft Security Bulletin MS08-067
• F-Secure Malware Information Pages: Worm:W32/Downadup.AL