Robak atakuje przez stary błąd w Windows

W ostatnich dniach odnotowano znaczny wzrost aktywności robaka komputerowego Conficker.c - alarmują specjaliści. Sprawa jest o tyle dziwna, że "szkodnik" infekuje system Windows przez lukę, która została załatana przez Microsoft już... prawie trzy miesiące temu.

"Zaobserwowaliśmy ostatnio wyraźny wzrost zarówno liczby infekcji, jak i kopii robaka, krążących w Internecie" - mówi Ryan Sherstobitoff z firmy Panda Security. Jej przedstawiciele są na tyle zaniepokojeni wzmożoną aktywnością Conficker.c, że zdecydowali się na zmianę wskaźnika zagrożenia Global ThreatWatch na status pomarańczowy (co oznacza, że Panda uznaje robaka za istotne i realne zagrożenie dla użytkowników).

Pierwsze kopie szkodnika zaobserwowano w Internecie pod koniec grudnia 2008 r. - Conficker.c atakował komputery korzystając z luki w module Windows Server, występującym we wszystkich popularnych wersjach Windows (czyli Windows 2000, XP, Vista, Server 2003 oraz Server 2008). Już wtedy możliwe było załatanie tej luki przez użytkowników - Microsoft opublikował stosowną poprawkę ponad dwa miesiące wcześniej, 23 października (było to jedno z rzadkich uaktualnień, udostępnianych poza zwyczajowym, comiesięcznym cyklem).

Zasada działania szkodnika jest dość prosta - Conficker.c pinguje maszyny działające w sieci odpowiednio spreparowanymi pakietami RPC (Remote Procedure Call). W ten sposób wykrywa komputery, w których użytkownik nie zainstalował jeszcze poprawki. Po zainfekowaniu systemu robak próbuje atakować inne maszyny działające w tej samej sieci - przeprowadza ataki typu brute-force, usiłuje też kopiować się na wszystkie podłączane do komputera urządzenia USB (pendrive'y, odtwarzacze audio, cyfrowe aparaty fotograficzne). Conficker.c potrafo także sam się uaktualniać, blokować instalowanie w systemie poprawek bezpieczeństwa, a także pobierać dodatkowe złośliwe aplikacje.

"Największym problemem jest intensywna replikacja w Sieci. Możliwość kopiowania się na urządzenia USB też jest niebezpieczna, ale na razie nie odnotowaliśmy zbyt wielu przypadków zainfekowania systemu w ten sposób" - mówi Sherstobitoff.

Zwiększoną aktywność Conficker.c odnotowali również przedstawiciele firmy Symantec (oni nazywają tego szkodnika Downadup.b), aczkolwiek koncern nie zdecydował się na podniesienie swojego wskaźnika zagrożenia - ThreatCon pozostał na najniższym, pierwszym, poziomie.

Z ich analiz wynika, że wzmożona liczba infekcji spowodowana jest pojawieniem się w Sieci nowej odmiany szkodnika - Symantec szacuje, że zdołał on już zarazić ok. 3 mln systemów na całym świecie. "Nie zaskakuje mnie to, że w Sieci wciąż pracują komputery, w których nie zainstalowano poprawek sprzed trzech miesięcy - ale dziwi mnie, że jest ich aż tak wiele. Za każdym razem, gdy Microsoft udostępnia poza swoim zwykłym cyklem jakąś poprawkę, użytkownicy powinni zwrócić na nią szczególną uwagę" - mówi Ben Greenbaum, menedżer działu badań w Symantec.

Wygląda jednak na to, że użytkownicy uwagi nie zwracają - to zaczyna irytować nawet przedstawicieli Microsoftu. Jeden z nich nazwał niedawno takie zachowanie "graniem w rosyjską ruletkę" (uwaga ta dotyczyła przede wszystkim firm korzystających z rozwiązań koncernu z Redmond). Roger Halbheer, główny doradca ds. bezpieczeństwa Microsoft Europe napisał ostatnio w swoim blogu: "Jeśli decydujesz się na zignorowanie poprawki, która jest tak krytyczna, że zdecydowaliśmy się na jej udostępnienie poza terminarzem, to grasz w rosyjską ruletkę w swojej sieci. Musisz spodziewać się, że ataki przeprowadzane z wykorzystaniem tej luki zaczną się bardzo szybko..."$.

Więcej informacji o luce oraz poprawkę znaleźć można w biuletynie MS08-067 Microsoftu.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200