Skoči na vsebino

SI-CERT 2009-02 / Širjenje črva Downadup/Conflicker

Zadnja sprememba: 1.4.2009

Opis

Število računalnikov, okuženih s črvom Conficker še vedno narašča. Črv izkorišča več različnih načinov za širjenje, zato ga je še posebej težko odstraniti iz lokalnih omrežij organizacij. Uporablja ranljivost MS08-067, po okužbi pa se poskuša širiti na bližnje sisteme tudi s poskušanjem gesel in kopijami na mapah v skupni rabi. Črv poskusi kontaktirati predefinirane domene in prenesti dodatno zlonamerno kodo. Te domene so izračunane glede na datum.

Različica Conficker C, ki se bo aktivirala 1. aprila 2009 vsebuje napredne načine za prikrivanje delovanja in onemogočanje varnostnih mehanizmov operacijskega sistema. Nadgradnje lahko prejme iz ene od 50.000 domen (prej le 250). Prav ta različica je bila deležna večje medijske pozornosti, a na dan aktivacije ni povzročila vidnih posledic.

Ranljive verzije:

  • Windows XP,
  • Windows Server 2003,
  • Windows Server 2008,
  • Windows Vista.

Preverjanje okužbe

Conficker črv preprečuje dostop do nekaterih spletnih mest, ki dajejo na voljo orodja za njegovo odstranitev. Če z računalnika ne morete dostopati do naslednjih spletnih mest (povzeto po obvestilu US-CERT): 

Rešitev 

Črva lahko odstranite s posebnim programom, ki ga je dal na voljo protivirusni proizvajalec F-Secure, ali z Microsoftovim orodjem za odstranjevanje zlonamerne kode.

Ponudnikom svetujemo, da prenesejo seznam domen, ki jih črv uporablja med 17.1. in 31.1.2009, ter preverijo promet do ustreznih spletnih mest, kamor se črv javlja. Stranke naj obvestijo o možnosti okužbe in možnih rešitvah problema. Za seznam IP naslovov, dodatne informacije ali pomoč, se lahko ponudniki obrnejo na elektronski naslov si-cert@arnes.si.

Seznam domen:

Povezave

Preberite tudi

SI-CERT 2025-03 / Več VMware ranljivosti

Izraba verige treh ranljivosti napadalcem omogoča prehod iz virtualnega sistema v gostiteljski sistem (t.i. VM Escape). Po podatkih proizvajalca naj bi se ranljivosti že izrabljale v posameznih napadih.
Več

SI-CERT 2025-02 / Okužbe s kombinacijo tipk v lažnih CAPTCHA preverjanjih

Zlorabljena spletna stran zahteva izpolnitev lažnega CAPTCHA obrazca prek kombinacije na tipkovnici Win + R, Ctrl + V in Enter. V primeru izvedbe teh pritiskov na tipkovnici, pride do okužbe računalnika
Več

SI-CERT 2025-01 / Prevzemi in kreiranje Telegram računov brez vednosti uporabnikov telefonskih številk

Že nekaj mesecev obravnavamo primere ustvarjanja uporabniških računov na platformi Telegram s slovenskimi telefonskimi številkami, pri čemer računov niso kreirali uporabniki teh številk. Na podoben način prihaja do prevzema obstoječih Telegram računov, ki niso zaščiteni z dodatnim geslom. Trenutno zbrane informacije kažejo, da ne gre za ciljane napade.
Več