BitDefender sustine ca a gasit remediul pentru virusul Conficker
BitDefender sustine ca a gasit solutia de indepartare a Downadup (Conficker), considerat unul dintre cei mai periculosi virusi ca raspandire si grad de pericol din toate timpurile, cu peste 15 milioane de calculatoare infectate in ultima jumatate de an. Vinovata este in principal o vulnerabilitate in serviciul Windows Server folosit de Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008 si Windows 7 Beta.
Viermele, odata instalat, dezafecteaza anumite servicii, ca Windows Automatic Update, Windows Security Center, Windows Defender si Windows Error Reporting. Apoi se conecteaza la un server si asteapta instructiuni aditionale, care il vor face fie sa adune informatii, fie sa downloadeze si sa instaleze malware suplimentar. Virusul se ataseaza si anumitor procese, ca svchost.exe, explorer.exe si services.exe.
Vlad Valceanu, Senior Security Researcher in cadrul BitDefender:
V.V.: As vrea sa incepem cu backgroundul, cu un strop despre downadup. Prima versiune a aparut anul trecut, folosind o vulnerabilitate in Windows pentru care Microsoft publicase un patch in noiembrie. De atunci au mai aparut 2 versiuni, ultima din ele acum cateva zile. Interesant e faptul ca virusul e teribil de agresiv in raspandire, si rezistent la dezinfectie.
Rep: In ce sens agresiv?
V.V.: SE RASPANDESTE AGRESIV: ataca vulnerabilitatea din Windows prin retea, infecteaza memory stickuri care apoi infecteaza la randul lor alte calculatoare, si in plus face atacuri „brute force” in retea, adica incearca sa „ghiceasca” parolele la conturile de administrator ale calculatoarelor vecine prin testarea cu multe parole standard, sau generate automat. E REZISTENT LA DETECTIE SI DEZINFECTIE.
Rep: Pe sistemele de operare cu „patchul” instalat mai are efect?
V.V.: Aici voiam sa ajung. Odata ajuns in sistem, virusul se tine tare pe pozitii. Dezactiveaza Windows update. Deci nu se mai poate pune patchul. Oricum si daca aveai patchul facut de dinainte, dar ai introdus un memory stick, e la fel de rau. Pentru ca nu se raspandeste doar prin acel exploit, cum am scris si mai sus. Apoi – si asta e foarte important! – blocheaza accesul la site-urile producatorilor de antivirusi. Asta inseamna ca utilizatorii infectati nu isi mai pot face update de semnaturi antivirus, si nici nu pot sa intre pe site-urile producatorilor, ca sa isi ia tool-uri de dezinfectie.
Toti producatorii (inclusiv noi) au creat tooluri de dezinfectie. Singura problema e ca odata ce ai virusul, nu poti intra pe site-urile lor ca sa il descarci! Virusul are o lista de domenii pe care le blocheaza, de exemplu symantec, kaspersky, sau bitdefender. Ca sa rezolvam asta am facut doua lucruri:
1. Am creat un tool care detecteaza toate variantele acestul virus (cred – nu am confirmat cu echipa de antivirus – ca toolul ar prinde si eventuale versiuni viitoare, dar asta e irelevant);
2. AM FACUT ACEL TOOL ACCESIBIL. Adica l-am publicat si in alt loc, de unde oricine e infectat sa poata intra sa il descarce. Gratuit. Indiferent ce antivirus ar folosi.
Practic, am incercat sa adresam problema REALA a celor infectati, „cum scap de virus?” Majoritatea producatorilor au pus tooluri de dezinfectie, mai bune sau mai rele, dar ele nu sunt accesibile de catre cei infectati, dupa cum am discutat, ceea ce la face mai mult sau mai putin inutile.
Rep: Sa inteleg ca virusul blocheaza adresele de web ale firmelor de securitate. E vorba doar de pagina principala sau de toate paginile siteului?
V.V.: Virusul are o lista destul de completa de domenii. Nu e vorba doar de pagina principala, ci de site-uri intregi.
Rep: Si variantele „proaspete” ale virusului nu vor bloca noua locatie a uneltei?
V.V.: Daca se va intampla asta, avem in minte cateva masuri de contraatac. Vom publica asociat un IP, de exemplu. Virusul nu poate bloca IP-uri. Mai avem cateva idei pe care le tin pentru noi pentru ca nu stiu cine va citi articolul. Solutii exista, si suntem pregatiti pentru situatia in care virusul ar bloca aceasta adresa.
Rep: Spuneai de stick. Fata de virusii „clasici”, unde era necesar sa folosesti un fisier infectat, Conficker infecteaza un calculator doar prin simpla introducere a unui stick infectat?
V.V.: E vorba de „autorun”. Un stick infectat, daca il introduci intr-un calculator cu autorun activat, si fara antivirus, va infecta calculatorul pentru ca virusul se pune pe memory stick intr-o sectiune „autorun.inf” care se executa la introducerea unui nou mediu de stocare in calculator.
Rep: Daca am inteles bine, exista practic doua solutii ca sa nu iti infectezi calculatorul: sa ai un antivirus bun si sa instalezi patchul pentru sistemul de operare.
V.V.: Nu e suficient! Sa ai un antivirus bun SI PE CARE SA IL TII ACTUALIZAT (adica sa il lasi sa isi descarce update-urile) si da, sa instelezi patchul de la Microsoft (adica sa iti tii sistemul actualizat la zi).
Rep: Cu patchul instalat, mai poti lua virusul?
V.V.: Numai cu patchul nu ai scapat! Mai poti inca sa il iei, pentru ca virusul se propaga: 1. prin gaura de securitate; 2. prin memory stickuri (independent de patch sau nu); 3. prin atacuri „brute force” in retea asupra conturilor de administrator, cu parole generate automat.
Rep: Sa vedem un pic punctul 3: Daca un calculator aflat in reteaua din care faci parte are virusul, acesta va incerca sa-ti infecteze si calculatorul tau?
V.V.: Da. Un calculator aflat in reteaua din care faci parte va incerca sa infecteze alte calculatoare. Va incerca prin atacuri repetate sa iti „ghiceasca” parola de la contul de administrator si va verifica daca ai vulnerabilitatea. De aceea, pentru dezinfectia unei intregi retele, calculatoarele se deconecteaza toate de la retea si trebuiesc conectate inapoi numai dupa ce s-a terminat dezinfectia intregii retele. Un singur calculator le poate reinfecta pe celelalte.
Rep: Hai sa vorbim despre cel mai important aspect, modul in care omul scapa de virus.
V.V.: E destul de simplu: intra pe net la adresa: http://bdtools.net/ unde gaseste tool-ul de dezinfectie, care e arhivat intr-un zip, si apoi urmeaza instructiunile afisate acolo.
Rep: Poti intoarce armele impotriva virusului? Sa iei programul pe un stick si sa il duci cuiva?
V.V.: Sigur ca da. Ceva foarte interesant! Virusul blocheaza si dupa NUMELE PROGRAMULUI. Sa spunem ca iei de pe un site programul numit RemoveDownadup.exe. Virusul nu te va lasa sa il rulezi pe un calculator infectat, pentru ca isi da seama ca e un program care l-ar ucide. Deci virusul nu blocheaza doar adrese de web, ci si programe, dupa numele lor, ca sa se protejeze suplimentar la dezinfectie. Dar toolul nostru rezista, adica nu e blocat de virus.
Rep: Scanarea si curatarea in retea functioneaza? de pe un calculator cu antivirus pe cel infectat?
V.V.: Pregatim o unealta destinata unor retele care sa permita unui administrator sa ruleze dezinfectia pe intreaga retea.
Rep: In ce data a aparut ultima varianta si in cand ati pus toolul pe pagina care nu este blocata?
V.V.: Ultima varianta a aparut sambata. Tot sambata produsul nostru mare (antivirusul) o detecta. Atunci am dezvoltat si toolul. Si marti mi se pare ca l-am pus pe pagina care nu e blocata.
Rep: Ati anuntat?
V.V.: Da. Am inceput sa postam si pe Twitter, aici: http://twitter.com/BitDefenderLabs si aici: http://twitter.com/MalwareCity. Atunci cand se va intampla ceva mai „breaking news” vom posta aici inainte de a trimite comunicate.
Rep: Crezi ca mai e ceva important de adaugat?
V.V.: Pai mi se mai pare relevant faptul ca prindem virusii cu o semnatura generica. Adica avem detectie proactiva. Dincolo de asta, mie mi se pare cel mai important sa ai sistemul cu update-uri la Windows. Adica… patch-ul dateaza de aproape sase luni! Si virusul inca se raspandeste… Cu un sistem actualizat, si cu un antivirus bun, si actualizat si el, nu ai de ce sa te temi.
Rep: Am inteles ca virusul se updateaza si el. Se conecteaza la anumite adrese si isi cauta si el „patchul”?
V.V.: Da! E un mecanism destul de sofisticat, care isi genereaza nume de domenii pe care le verifica, si isi cauta acolo „update”. Nu e naiv, isi verifica patchul si numai daca vede ca a fost autentificat de creatorul virusului, numai atunci il instaleaza, astfel incat ideea de a pune un „removal tool” pe domeniile alea pe care le cauta virusul esueaza, pentru ca nu isi instaleaza decat update-uri semnate.
Se vede ca cineva a depus mult efort in a crea acest virus, din punct de vedere ingineresc e foarte bine realizat, chiar daca efectele lui sunt neplacute. Si cu atat mai mult ma bucur ca putem sa il anihilam, cu cat e vorba de un adversar asa redutabil. Nu e un virus de rand.
Alex Sima – TownPortal
Stirea pe Slashdot
Stirea pe Computerworld