для расчета стоимости абонентского обслуживания компьютеров Вашей организации
Найден способ обнаружения Conficker в сети |
30.03.2009 | |||
Эксперты по безопасности совершили решающий прорыв в их пятимесячной битве с червем Conficker. Определены легко обнаруживаемые приметы, которые Conficker оставляет на инфицированных компьютерах. Это открытие позволит системным администраторам получить простые средства диагностики и идентификации зараженных компьютеров в их сетях. К полудню понедельника сигнатуры червя уже были доступны для нескольких сетевых сканеров, включая Nmap, McAfee Foundstone Enterprise и Nessus. До последнего времени существовало только два способа обнаружить Conficker. Первый заключался в мониторинге внешних соединений для каждого компьютера в сети, что было весьма затруднительно для компаний с сотнями компьютеров. Дополнительную сложность создавала встроенная хитрость варианта Conficker C: червь оставался латентным и не проявлял внешней активности до 1 апреля. Второй метод идентификации Conficker состоял в индивидуальном сканировании каждого компьютера, что опять-таки часто превышало возможности системных администраторов в сетях с сотнями или тысячами машин. Открытие примет Conficker за два дня до активации может дать отличный козырь специалистам по безопасности. Честь открытия примет Conficker принадлежит Дэну Камински (Dan Kaminsky, IOActive), в сотрудничестве с Тильманом Вернером (Tillmann Werner, Honeynet Project) и Феликсом Ледером (Felix Leder, Honeynet Project). Они обнаружили, что присутствие Conficker вносит изменения в действия операционной системы Windows: изменяется последовательность системных процедур, выполняемых перед аутентификацией перед вводом пароля пользователя для использования общих файлов. Действия червя после активизации 1 апреля по-прежнему невозможно прогнозировать. |