BitDefender sustine ca a gasit remediul pentru virusul Conficker
Viermele, odata instalat, dezafecteaza anumite servicii, ca Windows Automatic Update, Windows Security Center, Windows Defender si Windows Error Reporting. Apoi se conecteaza la un server si asteapta instructiuni aditionale, care il vor face fie sa adune informatii, fie sa downloadeze si sa instaleze malware suplimentar. Virusul se ataseaza si anumitor procese, ca svchost.exe, explorer.exe si services.exe.
Vlad Valceanu, Senior Security Researcher in cadrul BitDefender:
V.V.: As vrea sa incepem cu backgroundul, cu un strop despre downadup. Prima versiune a aparut anul trecut, folosind o vulnerabilitate in Windows pentru care Microsoft publicase un patch in noiembrie. De atunci au mai aparut 2 versiuni, ultima din ele acum cateva zile. Interesant e faptul ca virusul e teribil de agresiv in raspandire, si rezistent la dezinfectie.
Rep: In ce sens agresiv?
V.V.: SE RASPANDESTE AGRESIV: ataca vulnerabilitatea din Windows prin retea, infecteaza memory stickuri care apoi infecteaza la randul lor alte calculatoare, si in plus face atacuri "brute force" in retea, adica incearca sa "ghiceasca" parolele la conturile de administrator ale calculatoarelor vecine prin testarea cu multe parole standard, sau generate automat. E REZISTENT LA DETECTIE SI DEZINFECTIE.
Rep: Pe sistemele de operare cu "patchul" instalat mai are efect?
V.V.: Aici voiam sa ajung. Odata ajuns in sistem, virusul se tine tare pe pozitii. Dezactiveaza Windows update. Deci nu se mai poate pune patchul. Oricum si daca aveai patchul facut de dinainte, dar ai introdus un memory stick, e la fel de rau. Pentru ca nu se raspandeste doar prin acel exploit, cum am scris si mai sus. Apoi - si asta e foarte important! - blocheaza accesul la site-urile producatorilor de antivirusi. Asta inseamna ca utilizatorii infectati nu isi mai pot face update de semnaturi antivirus, si nici nu pot sa intre pe site-urile producatorilor, ca sa isi ia tool-uri de dezinfectie.
Toti producatorii (inclusiv noi) au creat tooluri de dezinfectie. Singura problema e ca odata ce ai virusul, nu poti intra pe site-urile lor ca sa il descarci! Virusul are o lista de domenii pe care le blocheaza, de exemplu symantec, kaspersky, sau bitdefender. Ca sa rezolvam asta am facut doua lucruri:
1. Am creat un tool care detecteaza toate variantele acestul virus (cred - nu am confirmat cu echipa de antivirus - ca toolul ar prinde si eventuale versiuni viitoare, dar asta e irelevant);
2. AM FACUT ACEL TOOL ACCESIBIL. Adica l-am publicat si in alt loc, de unde oricine e infectat sa poata intra sa il descarce. Gratuit. Indiferent ce antivirus ar folosi.
Practic, am incercat sa adresam problema REALA a celor infectati, "cum scap de virus?" Majoritatea producatorilor au pus tooluri de dezinfectie, mai bune sau mai rele, dar ele nu sunt accesibile de catre cei infectati, dupa cum am discutat, ceea ce la face mai mult sau mai putin inutile.
Rep: Sa inteleg ca virusul blocheaza adresele de web ale firmelor de securitate. E vorba doar de pagina principala sau de toate paginile siteului?
V.V.: Virusul are o lista destul de completa de domenii. Nu e vorba doar de pagina principala, ci de site-uri intregi.
Rep: Si variantele "proaspete" ale virusului nu vor bloca noua locatie a uneltei?
V.V.: Daca se va intampla asta, avem in minte cateva masuri de contraatac. Vom publica asociat un IP, de exemplu. Virusul nu poate bloca IP-uri. Mai avem cateva idei pe care le tin pentru noi pentru ca nu stiu cine va citi articolul. Solutii exista, si suntem pregatiti pentru situatia in care virusul ar bloca aceasta adresa.
Rep: Spuneai de stick. Fata de virusii "clasici", unde era necesar sa folosesti un fisier infectat, Conficker infecteaza un calculator doar prin simpla introducere a unui stick infectat?
V.V.: E vorba de "autorun". Un stick infectat, daca il introduci intr-un calculator cu autorun activat, si fara antivirus, va infecta calculatorul pentru ca virusul se pune pe memory stick intr-o sectiune "autorun.inf" care se executa la introducerea unui nou mediu de stocare in calculator.
Rep: Daca am inteles bine, exista practic doua solutii ca sa nu iti infectezi calculatorul: sa ai un antivirus bun si sa instalezi patchul pentru sistemul de operare.
V.V.: Nu e suficient! Sa ai un antivirus bun SI PE CARE SA IL TII ACTUALIZAT (adica sa il lasi sa isi descarce update-urile) si da, sa instelezi patchul de la Microsoft (adica sa iti tii sistemul actualizat la zi).
Rep: Cu patchul instalat, mai poti lua virusul?
V.V.: Numai cu patchul nu ai scapat! Mai poti inca sa il iei, pentru ca virusul se propaga: 1. prin gaura de securitate; 2. prin memory stickuri (independent de patch sau nu); 3. prin atacuri "brute force" in retea asupra conturilor de administrator, cu parole generate automat.
Rep: Sa vedem un pic punctul 3: Daca un calculator aflat in reteaua din care faci parte are virusul, acesta va incerca sa-ti infecteze si calculatorul tau?
V.V.: Da. Un calculator aflat in reteaua din care faci parte va incerca sa infecteze alte calculatoare. Va incerca prin atacuri repetate sa iti "ghiceasca" parola de la contul de administrator si va verifica daca ai vulnerabilitatea. De aceea, pentru dezinfectia unei intregi retele, calculatoarele se deconecteaza toate de la retea si trebuiesc conectate inapoi numai dupa ce s-a terminat dezinfectia intregii retele. Un singur calculator le poate reinfecta pe celelalte.
Rep: Hai sa vorbim despre cel mai important aspect, modul in care omul scapa de virus.
V.V.: E destul de simplu: intra pe net la adresa: http://bdtools.net/ unde gaseste tool-ul de dezinfectie, care e arhivat intr-un zip, si apoi urmeaza instructiunile afisate acolo.
Rep: Poti intoarce armele impotriva virusului? Sa iei programul pe un stick si sa il duci cuiva?
V.V.: Sigur ca da. Ceva foarte interesant! Virusul blocheaza si dupa NUMELE PROGRAMULUI. Sa spunem ca iei de pe un site programul numit RemoveDownadup.exe. Virusul nu te va lasa sa il rulezi pe un calculator infectat, pentru ca isi da seama ca e un program care l-ar ucide. Deci virusul nu blocheaza doar adrese de web, ci si programe, dupa numele lor, ca sa se protejeze suplimentar la dezinfectie. Dar toolul nostru rezista, adica nu e blocat de virus.
Rep: Scanarea si curatarea in retea functioneaza? de pe un calculator cu antivirus pe cel infectat?
V.V.: Pregatim o unealta destinata unor retele care sa permita unui administrator sa ruleze dezinfectia pe intreaga retea.
Rep: In ce data a aparut ultima varianta si in cand ati pus toolul pe pagina care nu este blocata?
V.V.: Ultima varianta a aparut sambata. Tot sambata produsul nostru mare (antivirusul) o detecta. Atunci am dezvoltat si toolul. Si marti mi se pare ca l-am pus pe pagina care nu e blocata.
Rep: Ati anuntat?
V.V.: Da. Am inceput sa postam si pe Twitter, aici: http://twitter.com/BitDefenderLabs si aici: http://twitter.com/MalwareCity. Atunci cand se va intampla ceva mai "breaking news" vom posta aici inainte de a trimite comunicate.
Rep: Crezi ca mai e ceva important de adaugat?
V.V.: Pai mi se mai pare relevant faptul ca prindem virusii cu o semnatura generica. Adica avem detectie proactiva. Dincolo de asta, mie mi se pare cel mai important sa ai sistemul cu update-uri la Windows. Adica... patch-ul dateaza de aproape sase luni! Si virusul inca se raspandeste... Cu un sistem actualizat, si cu un antivirus bun, si actualizat si el, nu ai de ce sa te temi.
Rep: Am inteles ca virusul se updateaza si el. Se conecteaza la anumite adrese si isi cauta si el "patchul"?
V.V.: Da! E un mecanism destul de sofisticat, care isi genereaza nume de domenii pe care le verifica, si isi cauta acolo "update". Nu e naiv, isi verifica patchul si numai daca vede ca a fost autentificat de creatorul virusului, numai atunci il instaleaza, astfel incat ideea de a pune un "removal tool" pe domeniile alea pe care le cauta virusul esueaza, pentru ca nu isi instaleaza decat update-uri semnate.
Se vede ca cineva a depus mult efort in a crea acest virus, din punct de vedere ingineresc e foarte bine realizat, chiar daca efectele lui sunt neplacute. Si cu atat mai mult ma bucur ca putem sa il anihilam, cu cat e vorba de un adversar asa redutabil. Nu e un virus de rand.
Alex Sima - TownPortal
Stirea pe Slashdot
Stirea pe Computerworld

Când marketingul ne păcălește să cădem în capcana consumului irațional/ Sunt diamantele valoroase sau nu?
Medicii de familie admit că unii dintre ei au refuzat să își programeze pacienții la vaccinarea împotriva COVID-19 și recomandă "utilizarea celorlalte 6 modalități de programare"
VIDEO Autostrada A1 Sibiu - Pitești: Cum arată acum lucrările avansate de pe prima secțiune
VIDEO. A lăsat jobul din City-ul londonez pentru a cumpăra o clădire monumentală părăsită de pe o insulă grecească, pe care a transformat-o în hotel de lux
VIDEO REPORTAJ Libearty Sanctuary, cel mai mare sanctuar de urși bruni din Europa/ Care este populația reală de urși? Cât de mare ar trebui să fie ea?
Reversul medaliei .. de nimeni recunoaste ca instalarea numeroaselor patch-uri ( cel putin pe Windows ) duce mai mult sau mai putin la o reducere de performante al sistemului .
Deci fiecare alege .. si sau nu se infecteaza .. in rest noroc ca exista virusi .. ca altfel nu am fi auzit de antivirusi .. sau invers ...
Eu sunt utilizator de BitDefender Free Edition v10 si in tandem cu Lavasoft Ad-Aware Freeware nu am nicio problema...
Shields up!
respectiv :
"...adica daca ai BitDefender pe calculator, nu mai ai de ce sa iti faci griji oricum." ... wow again ! ati putea garanta lucrul asta ?? eu unul n-as dormi asa de linistit...
Vai de voi si de produsul vostru de 2 lei!
Este posibil fiindca prietenul nostru "defective by design" Windows are autorun pornit by default. Si ca user neprivilegiat vei rula un proces neprivilegiat numit conficker.exe sau downloadup.exe..
Ar trebui oprit autorun, aratate fisierele ascunse, aratate extensiile.
Am avut un virusache (l-am salvat pe un floppy) care avea iconul de folder. dar extensia .exe. Pentru cine nu vede extensiile, e folder. -> Dublu Click! :)
In Windows fiecare serviciu sta la socket cu ochiul pe vizor. Normal ca vine conficker sa-i bage degetul in ochi. :-)
Windows. Defective by design!
Linux is user friendly. It's just careful who his friends are.
http://www.youtube.com/watch?v=sdF5IsyOxU4
la cuplarea unui stick empty(used 0 B),pe unhide system file folder,apare un autorun.inf-umflat cu worms.formatati stickul cu fat dos si vedeti ca are in used 0 byte.stickul astfel formatat(used 0 B) il pastrati ca tester.de cum,la cuplare,nu mai are 0 B,inseamna ca a intrat, iar de pe net, conficker.
apoi,pt. a evita altadata la introducerea stick,autorun.inf,
1.tastati si run fisierul (autorun.reg) pt.w2000 si xp
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
2cautati pe net Malicious Software Removal Tool,
.****://***.microsoft.com/security/malwareremove/default.mspx si urmati instructiunile ms pt. deparazitare.
In 99% din cazuri toate drive-urile (partitii memorii usb sau memorii de aparat foto, hard-uri externe)sunt infectate si trebuie repetata operatiunea si pentru ele. Un semn important ca esti infectat este ca dublu click in My computer pe un drive se comporta ca Open with si choose Program
Succes
sterge fiesere ? ingreuneaza calculatorul ?
cum se manifesta ?
in w2k, cind esti nedocumentat si fara antivir,vezi sfaturile de la 20:02. si de mai jos:
1.la inceput ingreuneaza startul pina apare complet desktopul si se termina clepsidra-dureaza din ce in ce mai mult.ajunge la zeci de minute
2.dezinstaleaza local area conection
3.nero expres nu se mi poate lansa-apare o lozinca noua,care-ti spune ca ai virus
4.int.explorerul,incepe si deschide f.greu.,de asemenra folderele de pe desktop
5.daca scanezi cu un clean,o sa constati ca acesta iti sterge aproape toate exe-le(fiindca le-a gasit infectate).e bine sa ai paritii de docomente ,sa d,e, cit te tine cureaua
6.in final,ajungi la format c:, reinstall os.
7. Iti iei un Mac.... (si nu mai esti nevoit sa suporti primele 6 puncte)
Daca esti mai bazat si nu prea ai timp de joaca, poate un BSD.
De ce nu, si un open solaris. Care are suport hardware excelent si vine cu acceleratie 3D pentru desktop din start.
Mult succes!
"Romanians are the ones who released Conficker. BitDefender (a Romanian company) has an army of Romanian hackers who write and release computer viruses, in order to keep BitDefender in business. This is not a conspiracy theory. It is a fact."
http://www.osnews.com/comments/21130
e bine de stiut ca nu suntem toti violatori si hoti...acum suntem hackeri :)
Dar din pacate varfurile au plecat de mult.
O zi buna!
ca si :
MRT.exe de la MS ,
Fsecure.exe de la FS
Econfcikeremover de la Nod32 ,
Antidownup de la BD
si Kidokiller de la Kaspersky.
Sincer treaba a facuto Kidokiller.
Problema cea mai mare ce a facut acest virus a fost ca deconeccta sharurlie facute pe servere...si multe altele dar asta a fsot cel mai nasol pt cazul meu.
A iesit de pe multe pcuri cu kido killer si cu indicatiile MS.(diable Sched task , admin users , autorun si mai cateva ...)
Am sa raman la Avira e free si o sa raman pana o sa ma din nou probleme.
este drept ca mai blocheaza (nu mereu) accesul catre site-uri, dar cu un simplu restart poti accessa si kaspersky, si restul.
daca stie careva cum scap de el, pls help!!!!!
iar daca virusul se raspandeste in retea, asta inseamna ca si reteaua providerului de net este infestata??
Am "contactat"un virus care blocheaza absolut orice site care contine denumirea ...bitdefender... sau antivirus...avem la firma antivirusul instalat pe un server care face filtrare pt mai multe pc-uri...am incercat solutia de mai sus...(nu functioneaza) ...nu as vrea sa reinstalez os ca implica multe...in speranta ca aveti un sfat....va multumesc anticipat...