Skoči na vsebino

SI-CERT 2009-02 / Širjenje črva Downadup/Conflicker

Zadnja sprememba: 1.4.2009

Opis

Število računalnikov, okuženih s črvom Conficker še vedno narašča. Črv izkorišča več različnih načinov za širjenje, zato ga je še posebej težko odstraniti iz lokalnih omrežij organizacij. Uporablja ranljivost MS08-067, po okužbi pa se poskuša širiti na bližnje sisteme tudi s poskušanjem gesel in kopijami na mapah v skupni rabi. Črv poskusi kontaktirati predefinirane domene in prenesti dodatno zlonamerno kodo. Te domene so izračunane glede na datum.

Različica Conficker C, ki se bo aktivirala 1. aprila 2009 vsebuje napredne načine za prikrivanje delovanja in onemogočanje varnostnih mehanizmov operacijskega sistema. Nadgradnje lahko prejme iz ene od 50.000 domen (prej le 250). Prav ta različica je bila deležna večje medijske pozornosti, a na dan aktivacije ni povzročila vidnih posledic.

Ranljive verzije:

  • Windows XP,
  • Windows Server 2003,
  • Windows Server 2008,
  • Windows Vista.

Preverjanje okužbe

Conficker črv preprečuje dostop do nekaterih spletnih mest, ki dajejo na voljo orodja za njegovo odstranitev. Če z računalnika ne morete dostopati do naslednjih spletnih mest (povzeto po obvestilu US-CERT): 

Rešitev 

Črva lahko odstranite s posebnim programom, ki ga je dal na voljo protivirusni proizvajalec F-Secure, ali z Microsoftovim orodjem za odstranjevanje zlonamerne kode.

Ponudnikom svetujemo, da prenesejo seznam domen, ki jih črv uporablja med 17.1. in 31.1.2009, ter preverijo promet do ustreznih spletnih mest, kamor se črv javlja. Stranke naj obvestijo o možnosti okužbe in možnih rešitvah problema. Za seznam IP naslovov, dodatne informacije ali pomoč, se lahko ponudniki obrnejo na elektronski naslov si-cert@arnes.si.

Seznam domen:

Povezave

Preberite tudi

SI-CERT 2021-03 Širjenje okužb s trojanskim konjem QBot

Povzetek QBot (tudi Qakbot) je trojanski konj, prvenstveno namenjen kraji podatkov iz okuženega sistema, ki je v različnih oblikah prisoten že več kot 10 let. V zadnjih različicah je pridobil …
Več

SI-CERT 2021-02 / Kritične ranljivosti Exim poštnega strežnika

V sistemu za posredovanje e-sporočil (MTA) Exim je bilo odkritih več varnostnih pomanjkljivosti, med njimi so tudi take, ki omogočajo izvajanje ukazov na daljavo s povišanimi (root) pravicami (remote command execution – RCE). Ranljivosti so prisotne v vseh različicah Exim MTA izdanih do trenutno zadnje verzije 4.94.2. Vsem uporabnikom svetujemo takojšnjo posodobitev na zadnjo dostopno različico.
Več

SI-CERT 2021-01 / Kritične ranljivosti Microsoft Exchange strežnikov

Microsoft je izdal popravke, s katerimi je zakrpal več 0-day kritičnih ranljivosti Microsoft Exchange strežnikov. Po podatkih Microsofta naj bi se pred izdajo popravkov ranljivosti že izkoriščale v posameznih napadih, po podatkih drugih odzivnih centrov pa naj bi bil obseg izkoriščanja ranljivosti precej večji, kot je bilo prvotno domnevano.
Več