Conficker - A halhatatlanság halála

2015. november 16. 13:33 - Csizmazia Darab István [Rambo]

A 2008. decembere óta toplistás Conficker féreg elképesztően sokáig szerepelt a 10 leggyakoribb kártevő között, sőt 2009. október óta éveken át még listavezető is tudott lenni. Ez egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjedt, és bár már 2008. óta létezett rá javítás, ám sajnos a frissítést sokan nem végezték el azóta sem. 2014. szeptemberében aztán eljött a vég, és végre kiesett a mezőnyből a Conficker.

Eltemettük, és emlékét kegyelettel megőriztük. A napokban azonban nagyjából egy esztendő múltán nem kis meglepetésre újra felbukkant a Conficker féreg - szívóssága szemlátomást akkora, hogy ebben talán csak az USA elnökének készülő John McAfee körözheti le ;-)

És nem is akárhol tűnt fel, ugyanis a beszámolók szerint a floridai rendőrségnek szánt testen viselhető Martel kamerákban találtak rá, amikor azokat a PC számítógéphez csatlakoztatták.

Az eszközök már gyárilag fertőzöttek lehettek, viszont a kaliforniai illetőségű beszállító cég egyenlőre még nem reagált az eseményekre.

Az egy kicsit érdekes, hogy az eredményeknél 14 darab olyan vírusirtó szerepel, amely nem detektálja a 8 éves Conficker férget.

Nem ez volt azonban az egyetlen Confickerrel kapcsolatos érdekesség, ugyanis 2010. szeptemberében egyes németországi hivatalokban 170 fertőzött gépet vírusmentesítés és megtisztítás helyett egész egyszerűen kidobtak a szemétbe és újakat vettek helyettük.

Az ottani számvevőszék később megrovásban részesítette a felelősöket, akik ezzel nem kicsi, hanem 187 ezer Euró (ma nagyjából 58 millió HUF) kárt okoztak.

De rendőrséggel kapcsolatos események is fordultak már elő, ugyanis 2010. január végén a manchesteri rendőrség számítógépein bukkant fel a Conficker, és ezzel körülbelül három napra meghiúsult a feltételezett elkövetők és a gyanús gépjárművek ellenőrzése. A gyorshajtók és autótolvajok néhány napra talán fellélegezhettek.

A korabeli beszámolók szerint nagy valószínűséggel egy külső csatlakoztatott USB eszközről jutott be a fertőzés a rendőrségi gépekre, ami adatvesztést ugyan nem okozott, kiesést és fennakadást viszont igen - a buszsáv bírságok határidőre való kézbesítése szenvedett némi nemű késedelmi csorbát.

A Conficker számtalan terjedési módot (a Microsoft Windows egyik biztonsági hibáját kihasználó exploit kóddal, gyenge admin jelszavak elleni szótáralapú támadással, illetve az automatikus Autorun futtatási lehetőségén keresztül is terjedt a fertőzés) volt képes igénybe venni.

Így a védekezéshez elsősorban magának az operációs rendszernek kell frissítettnek lennie, azaz a hibajavításokat kell telepíteni. A másik fő védelmi bástya pedig természetesen a naprakész vírusirtó.

4 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Hóhér az utolsó barátod · http://internetszemete.blog.hu 2015.11.16. 14:19:20

Mondd, néha válaszolsz is az ide íróknak? :)
Neked nem gyanús, hogy a McAfee és a Malwarebytes egyike a nyolcnak?
Valami ott nem kerek...

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2015.11.16. 15:17:03

Szia Hóhér!

Mindig válaszolok :-)

A felismerésekkel kapcsolatban először is egy idei, 2015. júniusi adat: a nyilvántartott egyedi virus minták száma már 317 millió. Ezt kell úgy megvalósítania egy vírusirtónak, hogy egyetlen régi mintára se mondthatja, hogy "ugyan, az már régi, azzal már úgysem talalálkozunk." Gép és memória igénnyel képtelenség is lenne lefedni ekkora számot, és a számtalan kiegészítőmodul (heurisztika, stb.) mellett a mintákat is generikus felismerésekkel igyekeznek lefedni.

Megintcsak árnyalja a képet az is, hogy Confickernél olvasható okokon - lusta felhasználók nem frissítenek, többféle terjedési módja (USB, net, hálózati jelszótörés, stb.) - felül rengeteg variáns jelent meg belőle, szándékosan azért, hogy az antivírus felismeréseket elkerülje.

Amikor teritékre kerül egy-egy új, fel nem ismert kód, akkor a szereplők gyorsan bele fogják tenni az adatbázisba, később pedig generikusak közé. Vedd figyelembe, hogy ez egy örök harc, rengeteg munkával, egy neverending story.

Hóhér az utolsó barátod · http://internetszemete.blog.hu 2015.11.16. 15:50:42

@Csizmazia Darab István [Rambo]: bocs, 14, nem 8. De ennek fényében mire véljem azt a reklamációt, hogy x év után még mindig van aki nem ismeri fel? ;)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2015.11.16. 16:10:44

Kicsit úgy tekintek már erre a levitézlett Confickerre, mint az szabvány EICAR teszt kódra: elképzeltem, hogy már *.* ismeri, ez nem is lehet kérdés, és ehhez képest meglepődtem az eredményen, ennyi. Okés, nem reklamálok :-)))
süti beállítások módosítása