Найден способ обнаружения Conficker в сети
30.03.2009

Эксперты по безопасности совершили решающий прорыв в их пятимесячной битве с червем Conficker.

Определены легко обнаруживаемые приметы, которые Conficker оставляет на инфицированных компьютерах. Это открытие позволит системным администраторам получить простые средства диагностики и идентификации зараженных компьютеров в их сетях.

К полудню понедельника сигнатуры червя уже были доступны для нескольких сетевых сканеров, включая Nmap, McAfee Foundstone Enterprise и Nessus.

До последнего времени существовало только два способа обнаружить Conficker. Первый заключался в мониторинге внешних соединений для каждого компьютера в сети, что было весьма затруднительно для компаний с сотнями компьютеров. Дополнительную сложность создавала встроенная хитрость варианта Conficker C: червь оставался латентным и не проявлял внешней активности до 1 апреля.

Второй метод идентификации Conficker состоял в индивидуальном сканировании каждого компьютера, что опять-таки часто превышало возможности системных администраторов в сетях с сотнями или тысячами машин.

Открытие примет Conficker за два дня до активации может дать отличный козырь специалистам по безопасности.

Честь открытия примет Conficker принадлежит Дэну Камински (Dan Kaminsky, IOActive), в сотрудничестве с Тильманом Вернером (Tillmann Werner, Honeynet Project) и Феликсом Ледером (Felix Leder, Honeynet Project).

Они обнаружили, что присутствие Conficker вносит изменения в действия операционной системы Windows: изменяется последовательность системных процедур, выполняемых перед аутентификацией перед вводом пароля пользователя для использования общих файлов.

Действия червя после активизации 1 апреля по-прежнему невозможно прогнозировать.

 
Ваш системный администратор / Новости / Найден способ обнаружения Conficker в сети