“Навстречу северной Авроры, звездою севера явись!”
А.С.Пушкин
Если среднестатистического гражданина нашей необъятной страны спросить про Аврору, у большинства из них возникнет ассоциация с военно-историческим памятником и достопримечательностью города на Неве. У других в сознании всплывут советские кинотеатры. Возможно, кто-то вспомнит про древнеримскую богиню (хотя вряд ли). Но если сегодня спросить об этом ИТ-специалиста, он наверняка что-то скажет о ряде широкомасштабных атак, совершённых во второй половине декабря прошлого года на целый ряд крупных американских компаний включая Google, Adobe, Yahoo, Symantec, Juniper Networks и McAffee. Массированные атаки, целями которых явились более 30 компаний силиконовой долины, продолжались в течении трех недель с середины декабря 2009 до 4 января 2010 года. Большинство атак использовало целый коктейль из 0day-уязвимостей, разбавленный технологиями социальной инженерии, десятком вредоносных программ и backdoor-модулем, подключающемуся к командному центру по маскировочному SSL-соединению.
Данное событие получило название “Операция Аврора” (Aurora) по названию каталога в системе злоумышленников, в котором был скомпилирован вредоносный код. Одной из уязвимостей используемых в рамках данных атак была ранее неизвестная уязвимость в браузере Microsoft Internet Explorer. Критической уязвимости оказались подвержены версии Internet Explorer 5.01, 6 SP1, 7, 8 под управлением Windows 2000, XP, Windows Server 2003, Vista, Windows Server 2008, 7 и Windows Server 2008 R2. НО! Здесь есть крайне важное “но”. Успешная экспуатация уязвимости была зафиксирована только на системах с Internet Explorer 6. “Как же так?”, – воскликнете Вы – “Ведь уязвимость найдена во всех версиях браузера”. Давайте остановимся на этом моменте более подробно…
Читать далее…
Я уже не раз писал о самом популярном сетевом черве последних лет W32.Conficker. В продолжение долгосрочной баталии с этим вредоносом хочу обратить ваше внимание на статью сайта WindowSecurity.com “Using Group Policy to Negate Conflicker on Windows“.
Статья посвящена подробному описанию методов централизованной защиты рабочих станций домена Active Directory от заражения сетевым червем W32.Conficker. Защита реализуется засчет создания объектов групповой политики GPO (Group Policy Object) с определенными параметрами. Эти параметры относятся к контролю членства в административных группах, включению User Account Control в системах под управлением Windows Vista/Windows Server 2008, созданию эффективной политики паролей учетных записей, а также отключению функции автоматического запуска AutoPlay.
Рекомендую добавить процедуры, описанные в данной статье, к вашему арсеналу противостояния Conficker’у. Помимо этого можно обратиться к статье Centralized Information About The Conficker Worm, написанной специалистами Microsoft Malware Protection Center.
Будьте во всеоружии, а то Conficker вон какой грозный =)
Уже не раз на страницах этого блога я писал о вирусном триумфаторе 2009 года — сетевом черве W32.Conficker, также известном как W32.Downadup (Symantec), Net-Worm.Win32.Kido (Лаборатория Касперского). Но несмотря на то, что многие уже справились с подобной инфекцией, в прошлую пятницу, 20 февраля, всемирно известный “пакостник” Conficker вновь напомнил о себе. На сей раз Conficker порадовал нас своей новой модификацией.
Согласно информации, представленной Microsoft Malware Protection Center, новая модификация Worm:Win32/Conficker.С, именуемая в сети Conficker.B++, обладает функционалом backdoor. Прошлая модификация Conficker.B вносила изменения в библиотеку netapi32.dll, дабы предотвратить дальнейшее эксплуатирование уязвимости в службе “Сервер”, описанной в бюллетене MS08-067. Читать далее…
Недавно в блоге Microsoft® Malware Protection Center появилась статья, аккумулирующая в себе всю необходимую информацию по удалению сетевого червя Win32.Conficker с зараженных компьютеров, а также перечень процедур, необходимых для предотвращения повторного заражении этим червем.
Статья содержит небольшую “историческую” справку о появлении первой модификации Worm:Win32/Conficker.A ещё 21 ноября 2008 года, а также широко известного Worm:Win32/Conficker.B, ставшего причиной недавней глобальной эпидемии.
Также приведено описание всех возможных векторов распространения Win32.Conficker.B, и вносимых им изменений в зараженную систему. Помимо перечня процедур для удаления Win32.Conficker.B и защиты компьютерных систем от заражения им в будущем статья содержит подборку ссылок на полезные ресурсы, информации в которых хватит для детального изучения Win32.Conficker.B и способов борьбы с ним. Итак сама статья доступна по этому адресу.
Желаю приятного чтения и периодически обновляйте своё ПО!
Новый 2009 год сразу “порадовал” достаточно серьёзной вирусной эпидемией.
1 января Microsoft Malware Protection Center (MMPС) опубликовал информацию о сетевом черве Win32.Conficker.B (MMPС), также известном как Net-Worm.Win32.Kido.dv (Лаборатория Касперского), W32/Downadup.B (Symantec), W32/Downadup.AL (F-Secure), Win32/Conficker.B (Computer Associates), W32/Confick-D (Sophos), WORM_DOWNAD.AD (Trend Micro).
На данный момент в сети Интернет появилась информация о множественных заражениях компьютерных систем несколькими версиями этого сетевого червя (описание более старшей модификации можно прочитать в вирусной энциклопедии Лаборатории Касперского).
Win32.Conficker.B использует критическую уязвимость в службе “Сервер (Server)”, подробно описанную в Бюллетене по безопасности компании Microsoft MS08-067, для распространения через локальные сети и съёмные устройства хранения информации. Помимо этого червь отключает функцию Восстановление системы (System Restore), блокирует доступ к сайтам, посвящённым информационной безопасности, скачивает на заражённые компьютеры дополнительные вредоносные программы и отключает некоторые системные службы, в частности службу обновления Windows (Windows Automatic Update Service).
Читать далее…
“Навстречу северной Авроры, звездою севера явись!”
Последние комментарии