Software criado por pesquisadores indica se a falha no Windows foi “corrigida” pelo Conficker dias antes do seu ataque.
Dias antes da data em que o Conficker está programado para entrar em contato com os crackers por novas instruções, pesquisadores de segurança descobriram uma falha no worm que facilitam a detecção por parte das vítimas.
Dias antes da data em que o Conficker está programado para entrar em contato com os crackers por novas instruções, pesquisadores de segurança descobriram uma falha no worm que facilitam a detecção por parte das vítimas.
Os membros do Honeynet Project, Tillmann Werner e Felix Leder, descobriram que PCs infectados retornam mensagens de erro quando recebem mensagens Remote Procedure Call (RPC).
PCs infectados com o Conficker.c, terceira versão do worm, estabelecerão um link com servidores para que os crackers responsáveis pelo malware mandem mais códigos maliciosos. O prazo estimado para download é 1º de abril."Você pode perguntar a um serviço se está infectado com Conficker, e ele lhe dirá", afirmou Dan Kaminsky, pesquisador de segurança responsável pela falha no Domain Name System, em seu blog.Após publicada, a tecnologia foi modificada e adicionada a sistemas de detecção corporativos de empresas como McAfee, nCircle e Qualys, que serão atualizados.
O software de código aberto Nmap também deverá incluir a atualização para apontar uma suposta infecção.Máquinas infectadas respondem a mensagens RPC de maneira diferente já que o worm, que explora uma falha no Windows corrigida em outubro pela Microsoft, usa um patch próprio para "fechar a porta" após a infecção.Resolver uma falha de segurança após explorá-la é uma tática comum entre criminosos para prevenir que outros crackers usem o mesmo caminho para roubar informações.Por corrigir a falha que explora, o Conficker dificulta a detecção de máquinas infectadas por softwares de segurança.
A descoberta de Werner e Leder é uma maneira de indicar se a correção no PC é legítima ou não.O patch aplicado pelo worm, porém, não fecha totalmente a brecha de segurança no Windows, o que faz com que muitos se preocupem que a ferramenta divulgada pelos pesquisadores possa ser usada por criminosos que queiram sequestrar as cerca de 12 milhões de máquinas infectadas com Conficker."Não acho que a falha será explorada por qualquer um além dos autores do Conficker", disse ele. "Este é um time esperto, determinado e atualizado".
Werner e Leder publicarão mais informações sobre suas descobertas em um estudo chamado "Know Your Enemy: Containing Conficker -- To Tame a Malware", que será publicado no site da Honeynet Project quando estiver pronto.
Ainda sobre o Conficker, Domínios permitiriam, segundo especialistas, que sejam divulgadas informações para downloads e operações ilegais com worm.
Ainda sobre o Conficker, Domínios permitiriam, segundo especialistas, que sejam divulgadas informações para downloads e operações ilegais com worm.
Mais de 100 provedores pelo mundo estão tentando bloquear o registro de dezenas de milhares de domínios que o worm Conficker pode começar a usar para obter instruções relacionadas a botnets, na próxima quarta-feira (01/04), quando será ativado nos PCs infectados.
Os resultados de busca do Google estão repletos de links para páginas maliciosas que prometem um software de segurança - falso - que elimina o Conficker dos PCs infectados.
Saiba mais sobre o Conficker:
> Dicas: saiba se proteger do Conficker
> Conficker: ferramenta indica PC infectado
O esforço começou em fevereiro deste ano, quando o Conficker Working Group, que inclui a Internet Corporation for Assigned Names and Numbers (ICANN) e a Microsoft, se uniram para combater o malware Conficker, que já infectou milhões de PCs com o Windows instalado.
No dia 1º de abril, o Conficker pode ser ativado para infectar cerca de 50 mil domínios por dia, durante meses - em um processo que especialistas de segurança acreditam permitir a divulgação de instruções para downloads e operações destrutivas com o worm.
A ideia é que os provedores de domínios de primeiro nível (do inglês Top Level Domains) façam o que puderem para bloquear o registro dos milhares de domínios em que o Conficker parece programado para buscar. Este processo, embora em andamento, não necessariamente terá sucesso.
Segundo o vice-presidente sênior da operadora de registros Afilias, Roland LaPlante, embora o ICANN tente coordenar os provedores de domínio para bloquear o registro dos domínios, parece que menos da metade cooperam.
Fonte:http://idgnow.uol.com.br/seguranca/2009/03/31/provedores-trabalham-para-bloquear-dominios-usados-pelo-conficker/
Fonte:http://idgnow.uol.com.br/seguranca/2009/03/31/provedores-trabalham-para-bloquear-dominios-usados-pelo-conficker/
Até Mais...
Nenhum comentário:
Postar um comentário