אבטחת מידע: וירוס ושמו קונפיקר (Confiker)

image כבר נכתב רבות על הוירוס הנ”ל, וירוס שתוקף ללא רחם מחשבי Windows מגירסאות Windows 2000 ומעלה כולל את כל הגרסאות. הוירוס מנטרל עדכונים, מנטרל גם עדכוני אנטי וירוס למיניהם וחוסם גישה לאתרי אבטחה ואתרי אנטי וירוס שונים, ובקיצור – די משבית את המחשב מבחינת הגנות.

חוץ מלהפיץ את עצמו בכל צורה הניתנת על הדעת (דיסקים ניידים, דיסק-און קי, דוא”ל וכו’) ולבטל שרותים, הוירוס עדיין לא עושה כלום.. עד למחר, ה-1 לאפריל, או אז הוא יתחיל לקבל פקודות מאי שם לעשות דברים שיוצרי הוירוס ירצו לעשות, ומכיוון שהוירוס יושב ברמה של מנהל המחשב, הוא טכנית יכול לעשות כמעט הכל, החל בלמחוק קבצים, לשלוח דברים אישיים שלכם, סיסמאות ועוד דברים שלא כל כך הייתם רוצים שיצאו החוצה ממחשבכם.

מבחינת הגנת המחשב הבודד, יש מגוון פתרונות ובוואלה כתבו על כך מאמר מה לעשות, אבל זה רק ברמת המשתמש הבודד.

מה עם מנהל הרשת? כן, אני בטוח שלכל המחשבים בחברה יש אנטי וירוס עם עדכונים, ובכל זאת, לפעמים העדכונים לא תמיד רצים, אנשים לפעמים מחברים מחשבים נוספים שאינם מחשבי החברה, מישהו יכול להביא דיסק-און-קי עם הוירוס ואם האנטי וירוס לא עובד כרגע או אינו מעודכן עקב בעיות שונות (בכל זאת.. Windows), מחשבים אחרים בחברה יותקפו, קצב האינטרנט יואט ויהיו עוד כל מיני צרות.

בשביל זה יש כלי אבטחה שמיועדים עבור מנהלי הרשתות, ולא למשתמשים הרגילים, כלים המשמשים לסריקת הרשת הפנימית ומציאת בעיות. כלים כמו  Nessus, nmap, ncircle ועוד.

לאחרונה הצליח דן קמינסקי, יחד עם עוד מס’ חברים ופרויקט Honey pot למצוא “טביעות אצבע” שהוירוס משאיר אחריו, וכשיש טביעות אצבע, אפשר לא רק לאתר את המחשב המודבק, אלא גם לחסום את הוירוס ולטפל במחשב. הכלים הנ”ל עודכנו בחתימת טביעות האצבע וכל מה שנותר למנהלי הרשת הוא לעדכן את החתימות בתוכנות הנ”ל ולעשות את הפעולות הבאות:

  • להריץ סריקה מאסיבית על כל הרשת הפנימית (כן, זה כולל שרתי Windows server שמשום מה רבים ממנהלי רשתות Windows אינם מתקינים עליהם אנטי-וירוס. לא ברור לי מדוע).
  • לבדוק עם הכלי המרכזי של האנטי וירוס שלכם (יש לכם כלי כזה, נכון?) שכל המחשבים עם עדכונים אחרונים. אין לאנטי וירוס כלי שלכם? תתחילו להזרים דרך הכלים שאתם משתמשים בהם לניהל מרכזי של הרשת עדכון אחרון של האנטי וירוס.
  • לנעול פורטים USB במחשבי המשתמשים שאינם צריכים להשתמש בציודי USB, כי משם בד”כ מתחילה הרעה. אל תסגרו דרך ה-Windows אלא דרך ה-BIOS.
  • מומלץ לעבור למצב של Strict DHCP (נשמע טריוויאלי, אך שוב, ראיתי גם בחברות גדולות דברים מוזרים): המשתמשים היחידים שיכולים לקבל כתובת IP הם אך ורק מחשבי החברה שכתובת ה-MAC רשומה בשרת DHCP וגם בחוקים של ה-Firewall, כך שמחשבים אחרים של אנשים חיצוניים המנסים להתחבר לרשת הפנימית בחברה לא יקבלו שום כתובת ושום תעבורה, וכך אם המחשב האורח נמצא עם הוירוס, הוירוס לא יוכל להתפשט הלאה כי לא תהיה לו תקשורת.

התולעת מתחילה לעבוד מחר, את הדברים האלו צריכים לעשות היום.

בהצלחה.

Comments

comments

10 תגובות בנושא “אבטחת מידע: וירוס ושמו קונפיקר (Confiker)

  1. אומרים על קונפיקר (או בשמו השני: downupad) שהוא לא וירוס אלא אפליקציה (וזאת באמת חתיכת אפליקציה…)

  2. חצות כבר היה מזמן במספר מדינות. ידוע כבר על נתונים לגבי התקיפה? יש לנו עוד שעתיים וחצי להתכונן. 🙂

  3. אם המחשב יהיה דלוק , אבל אני לא אפתח את האינטרנט ..
    זה גם יכול לתפוק את המחשב או שלא ?
    תשובה דחופה בבקשה !

  4. זה דופק את המחשב בכך שהוא לא יתן לך לגלוש (ברגע שכן תתחברי לאינטרנט) לאתרי אבטחת מידע, אנטי וירוסים ועוד.
    הוירוס גם מבטל את כל עניין עדכוני האבטחה ואת האנטי וירוס כך שגם אם המחשב לא יהיה מחובר לאינטרנט, הוירוס ידביק כל ציוד כמו דיסקים קשיחים ניידים או Disk On Key.
    אם תסתכלי בכתבה בוואלה, יש כלים פשוטים שאפשר להוריד ולסרוק ולנקות את הוירוס.

  5. וואלה? ממתי יש בכלל בוואלה מדור מחשבים מתפקד? זה לא המקום הזה שבוריס כותב בו לפעמים ושאין בו אפילו RSS?

  6. יש לו דווקא RSS, אבל וואלה סוגרים אותו ולא מפרסמים את הכתובת, ונותנים לשימוש אך ורק אם תשתמש ב-reader שלהם. החלטה… אההממ… לא ממש חכמה.

  7. צר לי לבעס את המגיב הראשון, כבר נמצא וריאנט ללינוקס, אין נתונים של ממש אודות תקיפת מחשבי לינוקס מהסיבה הפשוטה: אחוזים נמוכים מאוד מתוכם עושים שימוש באנטיוירוס ולכן הדרכים המקובלות לדיווח אינן קיימות במקרה הזה (אצל משתמשי WIN נאספים גם נתונים דרך מנשקי סריקה מקוונים)

    הדיווחים שהגיעו אלי מוסרים שהווירוס מסוגל להדביק מחשבים המריצים מערכות מבוססות דביאן חדישות יחסית, כדוגמת הפצות אובונטו האחרונות, עוד נמסר בדיווח שאובונטו בגירסה 7.10 אינו סובל מהמחלה כיוון שהוא עושה שימוש בגירסת קרנל ישנה מדי

    אשמח לשמוע אם מישהו יודע על דרך להגן מפני התופעה, לצערנו הפעם לווירוס נחשפים גם חברי קהילת הלינוקס שתמיד ישבו בצד וציחקקו בקול רם על אותם אלו שלא השכילו לעשות כמותם, לדאבוננו המצב מעט שונה הפעם

  8. ירון, לפני שכתבתי את הפוסט הזה עשיתי בדיקה די רצינית והיחוס היחיד של Linux מול הוירוס הזה, הוא שימוש ב-nmap כדי לסרוק את המערכת ואיך, ומי שלא מכיר nmap יכול לראות זאת כאן. מעבר לכך לא ראיתי שום גירסת קונפיקר שרצה על Linux, ואם אתה מכיר משהו (למעט הבדיחה שהופצה ב-1 באפריל), לינק יתקבל בברכה.
    בעבר הופיע אב-טיפוס של וירוס ללינוקס, אך זה מה שהוא היה, אב טיפוס. אתה צריך לזכור שבעולם הלינוקס אין לך חולירע כמו מיקרוסופט שמחליטים שאם העותק של ה-Windows שלך "אינו חוקי" (קרה לי פעם למרות שיש לי את כל הרשיונות. טוב נו, שילמתי 10 ש"ח על 10 מדבקות של XP מחברת סטארט-אפ שפשטה רגל בעבר 🙂 ) אז היא זורקת אותך ממעגל עדכוני האבטחה ואז תתפלל שלא תידפק. בלינוקס בד"כ כל מה שתצטרך לעשות בד"כ זה פשוט לעדכן את המערכת (אם אתה משתמש בסביבה גרפית אז אתה תקבל הודעות על כך) ועוד כמה צעדים פשוטים בשביל למנוע מצב להידבק בכל מיני וירוסים גם בעתיד.

סגור לתגובות.