Biztonsági cégek még a hónap közepén arra hÃvták fel a figyelmet, hogy a sok millió PC megfertÅ‘zéséért felelÅ‘ssé tehetÅ‘ Conficker/downadup féreg várhatóan április 1-jén újabb, jelentÅ‘s mértékű támadást fog indÃtani. A cégek többsége elegendÅ‘nek véli védelmi rendszerei felkészültségét, de vannak olyan vállalatok is, ahol rendkÃvüli intézkedéseket vezetnek be.
A Magyar Posta például körlevélben értesÃtette ügyfeleit, hogy egy nagyon veszedelmes vÃrus miatt két napig semmilyen adatot sem közvetÃt. Egész pontosan a posta informatikai rendszereinek védelme érdekében keretében március 31-én 22.00 órától várhatóan 2 munkanapig korlátozásokat vezet be.
Tisztelt Ügyfelünk (3)
„A korlátozás idején a Magyar Posta külsÅ‘ e-maileket nem tud fogadni. Az érkezÅ‘ e-maileket csupán szervereink fogadják, de nem engedik be a belsÅ‘ hálózatba. Az Ãgy késleltetett levelek a korlátozás feloldását követÅ‘en kerülnek kézbesÃtésre.
A postai honlapok elérhetÅ‘ek lesznek, viszont a honlapon biztosÃtott online szolgáltatások - mint nyomonkövetés, posta- és irányÃtószám-keresÅ‘, fiókbérlet-keresÅ‘, csomag és levél-dÃjkalkulátor - ideiglenesen nem működnek."
Az óvintézkedések sejthetÅ‘en az április elsejére Ãgért Conficker támadás esetleges következményeit szándékoznak kivédeni.
Symantec: Nem tréfa
A Conficker hatására a fertÅ‘zött számÃtógépek már eddig is terjesztettek levélszemetet, adathalászatra és e-mailes csalásokra használták Å‘ket, és személyes információkat - például felhasználóneveket, jelszavakat és társadalombiztosÃtási számokat - loptak, hogy a többi kártékony tevékenység mellett személyazonosság-lopásra használhassák.
A Symantec Security Response szakértÅ‘i folyamatosan figyelik a helyzetet, elemzik a veszélyt és annak lehetséges hatásait. A frissÃtett Symantec Norton védelmi termékek felhasználói védettek, de azok, akiknek nincs védelmi megoldásuk, érintettek lehetnek, és rendszereikre hatással lehet ez a veszély.
Mivel nem világos, hogy a várható támadás a vÃrusÃrók áprilisi tréfája, vagy általános biztonsági problémává fog válni, a Symantec azt tanácsolja, hogy minden felhasználó ellenÅ‘rizze és frissÃtse számÃtógépe védelmi rendszerét.Â
A Conficker igazi közellenséggé vált az utóbbi idÅ‘ben, mivel a fertÅ‘zési tevékenységének elsÅ‘ szakaszában hatástalanÃtja a különbözÅ‘ windowsos és egyéb biztonsági alkalmazásokat, majd véletlenszerű fájlnevekkel valamint dll kiterjesztéssel bemásolja saját magát az operációs rendszer különbözÅ‘ könyvtáraiba. A féreg az Internet Explorer, a Movie Maker valamint a Windows Media Player könyvtárába is betelepszik. Ezt követÅ‘en létrehoz egy Windows-os szolgáltatást.
A Downadup.C igyekszik manipulálni a webböngészést, amelynek során biztonsági cégek weboldalainak megtekintését is lehetetlenné teszi a fertÅ‘zött rendszerekrÅ‘l. Eközben arról is gondoskodik, hogy a számÃtógépeket ne lehessen csökkentett módban elindÃtani.
Befoltozott rést támad - sikerrel
A féreg terjedése tanulságos, hiszen egyrészt a Microsoft Windows operációs rendszerek azon kritikus sebezhetÅ‘ségét használja ki, amelyre a redmondi szoftveróriás már 2008. október 23-án figyelmeztette a nagyérdeműt, hozzáférhetÅ‘vé téve rögtön az arra alkalmazott gyógymódot. „A rés kihasználásával a támadók azonosÃtás nélkül programokat futtathatnak Windows 2000, Windows XP és Windows Server 2003 rendszereken" - olvasható a közleményben, amelyhez késÅ‘bb még hozzáteszik a Microsoft szakemberei, hogy egy jól beállÃtott tűzfal már védelmet jelenthet. A kártevÅ‘ Ãrója azonban jól ráérzett azon trendre, hogy egyrészt kevesen használnak jól beállÃtott tűzfalakat, másrészt sokan az elrettentÅ‘ sorok ellenére sem frissÃtik operációs rendszereiket, telepÃtve az MS08-067 kódnevű biztonsági foltozást. Ezt a figyelmetlenséget a vÃrus Ãrója megköszönheti, hiszen a nem túl kreatÃv kártevÅ‘je Ãgy gyorsan terjedhet.
Egy adott hálózaton belülre kerülve a Downadup/Conficker ráadásul újra támadásba lendül, ahol a gyenge, sablonos jelszavak éltetik. A féreg szótárában gyakori számkombinációk és olyan szavak találhatóak meg, mint az „admin", a „pass", vagy a „root123", melyeket a feledékeny rendszergazdák gyakorta használnak. SÅ‘t a kártevÅ‘ az automatikus indÃtást is a maga javára fordÃtja, megfertÅ‘zve az autorun fájlokat. A féreg Ãgy az USB-s háttértárolókon, például Pendrive-on, és mp3-lejátszón keresztül is képes terjedni. A gyanútlan felhasználó pedig vagy hazaviszi a fertÅ‘zést az otthoni gépére, vagy éppen ellenkezÅ‘leg az otthoni zombi géprÅ‘l fertÅ‘zi meg cége egy gépét, Ãgy kockáztatva az egész céges-hálózat biztonságát...
