Skoči na vsebino

SI-CERT 2009-02 / Širjenje črva Downadup/Conflicker

Zadnja sprememba: 1.4.2009

Opis

Število računalnikov, okuženih s črvom Conficker še vedno narašča. Črv izkorišča več različnih načinov za širjenje, zato ga je še posebej težko odstraniti iz lokalnih omrežij organizacij. Uporablja ranljivost MS08-067, po okužbi pa se poskuša širiti na bližnje sisteme tudi s poskušanjem gesel in kopijami na mapah v skupni rabi. Črv poskusi kontaktirati predefinirane domene in prenesti dodatno zlonamerno kodo. Te domene so izračunane glede na datum.

Različica Conficker C, ki se bo aktivirala 1. aprila 2009 vsebuje napredne načine za prikrivanje delovanja in onemogočanje varnostnih mehanizmov operacijskega sistema. Nadgradnje lahko prejme iz ene od 50.000 domen (prej le 250). Prav ta različica je bila deležna večje medijske pozornosti, a na dan aktivacije ni povzročila vidnih posledic.

Ranljive verzije:

  • Windows XP,
  • Windows Server 2003,
  • Windows Server 2008,
  • Windows Vista.

Preverjanje okužbe

Conficker črv preprečuje dostop do nekaterih spletnih mest, ki dajejo na voljo orodja za njegovo odstranitev. Če z računalnika ne morete dostopati do naslednjih spletnih mest (povzeto po obvestilu US-CERT): 

Rešitev 

Črva lahko odstranite s posebnim programom, ki ga je dal na voljo protivirusni proizvajalec F-Secure, ali z Microsoftovim orodjem za odstranjevanje zlonamerne kode.

Ponudnikom svetujemo, da prenesejo seznam domen, ki jih črv uporablja med 17.1. in 31.1.2009, ter preverijo promet do ustreznih spletnih mest, kamor se črv javlja. Stranke naj obvestijo o možnosti okužbe in možnih rešitvah problema. Za seznam IP naslovov, dodatne informacije ali pomoč, se lahko ponudniki obrnejo na elektronski naslov si-cert@arnes.si.

Seznam domen:

Povezave

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več