Mack IT d.o.o. :: Članci :: Kako riješiti Downad / Conficker zarazu u mreži

Početna » Članci	\|
Kako riješiti Downad / Conficker zarazu u mreži 21.09.2009. 13:56:30
Downad ili Conficker je vrlo rašireni crv koji se najviše zahvaljujući sigurnosnom propustu u Microsoft operativnim sustavima od početka godine proširio na više od 15 miliona računala. Kod zaraze unutar mreže, najčešće se u praksi događa sljedeći scenario: većina računala je zakrpana sa sigurnosnom zakrpom MS08-067, kao što je Microsoft i preporučio čim je otkriven propust odnosno činjenica da Downad/Conficker iskorištava navedenu sigurnosnu rupu; ipak, neka racunala u mreži nisu popisana/pokrivena AV zaštitom i/ili zakrpana (tzv. rogue machines) - dovoljno je jedno takvo neidentificirano računalo unutar mreže da proizvede niz detekcija po različitim računalima; Conficker je probio neke administrativne passworde (lokalne ili domenske), što mu omogućava udaljeno spajanje i izvršavanje programa sa administrativnim privilegijama; sa jednog ili vise neidentificiranih računala (rogue machines), Conficker se uredno spaja na računala u mreži koristeći admin pristup; rezultat: zakrpana i AV zaštitom pokrivena računala prijavljuju opetovane zaraze. Za uspješno uklanjanje Downad zaraze, potrebno je: na sva računala instalirati Microsoft Security Patch MS08-067 (radi se o zakrpi za propust koji iskorištava upravo ovaj crv). Napominjemo da bez ovog patch-a na svim računalima, nije moguće riješiti problem. nadograditi Officescan na verziju 8.0 (uz najnovije patch-eve, trenutno SP1+Patch3) ili verziju 10. obavezno uključiti Web Reputation i Officescan Firewall na svim klijentima! pratiti firewall logove na serveru (uz prethodni upload sa klijenata), sve dok iz logova ne nestanu detekcije napada koje Officescan firewall detektira kao: MS08-067_SERVER_SERVICE_REMOTE_EXECUTION_EXPLOIT na tako identificiranim računalima kao izvorište Conficker aktivnosti, izvrsiti SysClean alat, posebno prilagođen za Downad/conficker crv: download link Fix tool u toku instalacije onemogućuje stvaranje scheduled taskova, te je potrebno nakon izvršenog čišćenja omogućiti scheduled taskove. Također, potrebno je pridružiti ovom file-u odgovarajuće pattern file-ove, kako pise u Readme-u. Obavezno pročitajte detelje u SysClean_WORM_DOWNAD.zip/ReadMe.txt u odjeljku VII. Known Issues. Ukoliko i dalje imate problema sa zarazom, možete nam poslati Officescan Virus i Firewall logove sa Officescan servera za posljednjih mjesec dana (eksportirani u CSV).
Ocjena članka: \| \| \| \| \| \|
Ostali članci u ovoj sekciji: Sigurnosni trendovi u 2012. (06.12.2011. 12:59:09) Primjenjivost Software as a Service zaštite web prometa, 1. dio (05.07.2011. 09:34:24) Pogledajte koliko je jednostavno iscrpiti i najveći bandwidth (08.04.2011. 16:42:42) Sigurnost, sukladnost i performanse u virtualiziranom data centru (08.04.2011. 09:39:15) Uložili ste mnogo u sigurnosni sustav, no kakvi su vam temelji? (29.03.2011. 15:18:15) Iako u opadanju, spam može i dalje predstavljati problem: povremeni napadi to potvrđuju (23.03.2011. 17:45:31) Sve češće korištenje SSL-a na online servisima: kakve su sigurnosne implikacije za organizacije? (19.03.2011. 20:21:54) Smart telefoni i mobilni uređaji: sigurnosna noćna mora? (14.03.2011. 11:54:13) Filtriranje URL-ova i web prometa: nekoliko pitanja prije kupnje rješenja (16.03.2011. 10:40:20) Korištenje web-a na poslu opet dobilo pozornost medija: blokiranje nije potrebno, a tehnologija nam omogućava pametno upravljanje sadržajem (12.03.2011. 14:05:13) Dijelite li ovlasti šakom i kapom? (29.11.2010. 14:42:31) Otkrijte malware u mreži i ostvarite popust! (03.12.2010. 17:53:30) Zašto će vam upravljanje web prometom biti još važnije u 2011. (08.02.2011. 13:48:18) Uvedite vidljivost, sigurnost i kontrolu web komunikacija (23.07.2009. 13:33:09) Tipičan primjer isporuke malware-a preko web-a (03.02.2011. 15:21:27) Novi sigurnosni propust u Internet Exploreru omogućava širenje web prijetnji (25.01.2010. 08:07:37) Trend Micro OfficeScan 10 (07.07.2009. 09:48:44) Safenet ProtectDrive: transparentno kriptiranje diskova (13.10.2009. 11:14:41) Filtriranje web stranica i zaštita od najnovijih web prijetnji (27.03.2009. 16:24:01) Transparentno kriptiranje baza podataka pomoću Microsoft EKM i Oracle TDE tehnologija (13.10.2009. 10:07:21) Antivirusni firewall na klijentima - zašto je bitan? Najnoviji primjer Downad/Conficker crva (30.03.2009. 09:26:19) Web stranice i web opasnosti (02.03.2009. 17:21:38) Web reputacija općenito (02.12.2008. 13:06:24) Web Reputacija u Trend Micro Officescan-u (26.02.2009. 16:34:34) Blue Coat Web Pulse: nova razina web sigurnosti (21.05.2009. 09:53:52) Povratak file infector malware-a (11.05.2009. 15:34:59) Zašto testirati IronPort messaging security rješenja? (02.12.2008. 13:57:04) Autorun: popularan mehanizam širenja malware-a (26.02.2009. 23:18:31) Proxy - transparentna ili eksplicitna intercepcija - kako, kada? (02.12.2008. 12:45:41) Društvene mreže: novi kanal za širenje malware-a (01.06.2009. 12:00:25) Email spam u opadanju, spammeri se okreću novim kanalima komunikacije. (23.11.2010. 09:03:14) Napredne malware prijetnje: što treba znati (15.11.2010. 13:03:05) Trend Micro Worry Free Business Security v7 (10.11.2010. 10:00:24) Zašto vam je ipak potreban proxy (02.12.2008. 12:59:17) Spam opet popularan način širenja malware-a (13.09.2010. 14:11:15) Safenet DataSecure: transparentno kriptiranje podataka (13.10.2009. 10:23:36) Legitimne web stranice postaju izvor malware-a (13.10.2009. 08:29:14) Kako portali šire malware (24.12.2010. 12:30:49) Trend Micro problemi sa aktivacijom licenci: često postavljana pitanja (23.04.2010. 13:04:11) Lažni antivirusni softver: česti malware (13.10.2009. 08:17:16) Virtualna klijentska računala: sigurnost, vidljivost i kontrola aplikacijskog prometa - što to sve znači za moje poslovanje u 2010. i zašto je povezano? (07.10.2010. 16:15:42) Kontrolirajte Facebook i ostale društvene mreže (09.11.2010. 17:13:44) Safenet HSM tehnologija i kriptografski standardi (13.10.2009. 08:47:51) Zaštita podataka u mirovanju (data-at-rest) koristeći kriptiranje podataka (16.07.2009. 15:57:59) Procera Networks - novost u distribucijskoj ponudi (02.09.2010. 13:33:36) Blokirati ili ne pristup web sadržaju? Postoji i dodatna mogućnost (13.09.2010. 14:48:42) Zašto i kako prijeći na Trend Micro Virtual Appliance? (03.05.2010. 13:46:21) Upravljanje propusnošću linka (bandwidth management) na razini sadržaja odnosno aplikacije (05.06.2009. 09:49:50) Zašto aplikacije u udaljenim uredima rade tako sporo? (21.10.2009. 11:24:05)