Tietoturva nyt!

31.3.2009

Confickerin saastuttamien koneiden löytämiseen on kehitetty työkalu

Ryhmä asiantuntijoita on kehittänyt työkalun, jolla Conficker-haittaohjelman saastuttamat työasemat voidaan löytää verkosta.

Conficker ja sen eri versiot ovat tartuttaneet useita miljoonia koneita maailmanlaajuisesti. Tutkijat ovat löytäneet keinon jolla verkkomato voidaan havaita verkossa. Conficker tarttui koneisiin alun perin käyttäen hyväksi haavoittuvuutta Windowsin server-komponentissa. Haavoittuvuus korjattiin MS08-067 päivityksellä, joka julkaistiin päivityssyklin ulkopuolella lokakuussa 2008.

Verkkomadon tartuttaessa tietokoneen se myös korjaa osittain haavoittuvuuden. Haittaohjelman korjaama ohjelmakomponentti on kuitenkin tunnistettavissa yksilöllisestä verkkojäljestä. Käytännössä tietokoneelta voidaan kysyä onko se saanut tartunnan. Työkalu, jonka tutkijat ovat kehittäneet, on tarkoitettu lähinnä verkon ja järjestelmien ylläpitäjille. Työkalun käyttö vaatii Python-komentotulkin lisäksi myös Impacket-kirjaston. Lisäksi Confickerin saastuttaneen työaseman tunnistus on liitetty useisiin verkkoskanneriohjelmistoihin, kuten Nessus, McAfee/Foundstone, nmap, ncircle ja Qualys.

Windowsin kotikäyttäjille paras tapa suojautua madolta on edelleen virustorjuntaohjelmiston sekä käyttöjärjestelmän päivityksestä huolehtiminen. Useimpien valmistajien virustutkat tunnistavat Confickerin nykyiset versiot, joskin nimikäytäntö eroaa valmistajasta riippuen. Yleisimmät nimitykset ovat Conficker ja Downadup.

Lisätietoa

• http://www.honeynet.org/papers/conficker
• http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/
• http://www.doxpara.com/?p=1285
  

Sivua päivitetty 31.03.2009

Tulostusversio