Artikel top billede

Microsoft opdaterer for at fjerne hårdnakket orm

Microsoft har nu opdateret sit gratis sikkerhedsværktøj for at bekæmpe en hårdnakket orm, der går direkte efter en alvorlig sårbarhed, der findes i adskillige server-produkter.

Ifølge en Microsoft-blog kan den seneste opdatering til firmaets Malicious Software Removal Tool (MSRT) nu også fjerne de infektioner, der stammer fra ormen Conficker, der inficerer servere og får dem til hente ny, ondsindet software.

Conficker går direkte efter en fejl i Windows serverservice. Microsoft mente, at fejlen var så alvorlig, at en utidig patch 23. oktober blev udsendt til både Windows 2000, Vista, Server 2003 og Server 2008.

Microsoft har nu observeret en ny variation af den server-inficerende orm, der bliver kaldt Win32/Conficker.B. Systemerne bliver inficerede, når en hacker konstruerer et ondsindet Remote Procedure Call (RPC), der ringer op til en sårbar server, der så til gengæld giver tilladelse til at køre kode på maskinen.

Cristian Craioveanu og Ziv Mador skriver på Microsofts blog, at Conficker.B også bruger andre spredningsmetoder. For eksempel ved at kopierer sig selv ind i delte netværksmaskiner via gættede passwords, eller ved at sprede sig via transportable medier.

Conficker benytter sig af forskellige tricks for at undgå at blive opdaget. Den bruger for eksempel en teknik kaldet 'polymorphism', som er kendetegnet ved at bruge kompression og kryptering til at få koden til at se anderledes ud for antivirus-software og dermed gøre den vanskeligere at opdage.

Denne teknik gør samtidig filerne sværere at se, ligesom den ændrer i adgangsbetingelserne.

Udbruddet af Conficker.B påvirker først og fremmest kunder, som arbejder i større netværk. Microsoft fortæller desuden, at flere lande er påvirkede, deriblandt USA, Mexico, Frankrig, Spanien, Canada, Italien, Brasilien, Sydkorea, Tyskland, Malaysia og Tjekkiet.

Stærkere passwords

Microsofts MSRT er et simpelt sikkerhedsværktøj, der skanner PC'en og som kan fjerne visse former for ondsindet software. Det er langt fra en fuld antivirus-sikring, men Microsoft har investeret en del i, at værktøjet skal kunne fjerne de mest åbenbare og irriterende malware, som påvirker Windows PC'er og servere.

Firmaet anbefaler, at administratorer gør password til delte netværk stærkere, ligesom det er vigtigt at køre en MSRT-skanning.

Nogle inficerede computere vil ikke selv være stand til at få adgang til Windows Update, som er Windows' indbyggede opdateringstjeneste. Derfor har Microsoft udarbejdet instruktioner, der fortæller, hvordan man kan downloade MSRT via en ikke-inficeret computer og derefter distribuere den videre.

"Ondskabsfuld mekanisme"

Mange europæiske firmaer har i løbet af de sidste uger måttet se Conficker sprede sig på deres netværk, siger Mikko Hypponen, som er forskningschef for det finske sikkerhedsfirma F-Secure.

Han fortæller, at F-Secure har analyseret Conficker og har i den forbindelse fundet ud af, at den indeholder en algoritme, der generer domænenavne til 'command-and-control'-servere. Opfinderne af Conficker kan dermed bruge et af disse domænenavne til en rigtig hjemmeside, som de inficerede PC'er derefter kan besøge med henblik på at få opdateret malware eller instruktioner.

Denne teknik er ofte blevet brugt af andre botnet, som for eksempel Mebroot. Eftersom det er svært at vide, hvilke af de hundredvis af 'command-and-control'-hjemmesider, der rent faktisk findes på nettet, er det også meget vanskeligt at vide, hvilke af dem, man skal lukke for, påpeger Mikka Hypponen.

"Det er i det hele taget en rigtig ondskabsfuld mekanisme."

F-Secure har registreret nogle af de domænenavne, som algoritmen har genereret, med det formål at give et bud på hvor mange inficerede computere, der findes. Tirsdag lød vurderingen, at der er mere end 2,5 millioner. Mikko Hypponen fortæller, at onsdag havde F-Secure set mere end 3,5 millioner maskiner på de hjemmesider, der indeholder instruktioner. Men analytikerne hos F-Secure mener, at det virkelige antal inficerede maskiner kan være langt højere.

Mikka Hypponen siger, at F-Secure ikke har set Conficker.B's netværk af computere udføre andre ondsindede handlinger end at inficere nye computere. Men med så massivt et botnet er der potentiale for virkelige ødelæggelser.

Omdirigeret til Rusland

En tidligere version af Conficker gik for eksempel ind og pillede ved PC'ens DNS (Domain Name System) indstillinger. Dette kan betyde, at computeren begynder at besøge andre hjemmesider, end dem, der står i browserens adressefelt.

I dette tilfælde omdirigerede Conficker brugerne fra Google.com til forskellige russiske hjemmesider, som var fyldte med reklamer, fortæller Mikka Hypponen. Confickers ændringer betød desuden, at brugerne oplevede, at pop-ups begyndte dukke op. I begge tilfælde fik Confickers opfindere sørget for massiv trafik til disse reklamer, og således skabte de en enorm, falsk omsætning.

F-Secure har skabt deres eget værktøj til at fjerne Conficker med, som de har valgt at kalde 'Downandup'.

Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere