Salve ragazzi girovagando sul web ho trovato un nome di un virus.Dikono ke è il virus più potente del mondo. Cercando il nome su wikipedia finalmente ho trovato la spiegazione e tutto: ekko qua:
Conficker, conosciuto anche come Downup, Downadup e Kido, è un worm scoperto nell'ottobre 2008 che si diffonde sulle piattaforme Microsoft Windows. Il worm sfrutta una falla del servizio di rete di Microsoft Windows per diffondersi, rubando le password degli utenti.
Propagazione
Il worm, si propaga sui temi Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, e Windows Server 2008 R2 Beta. Sfrutta una vulnerabilità nel servizio "Server" di Microsoft Windows (MS08-067), o ancora può essere trasmesso da computer a computer, senza che siano connessi in rete, attraverso memorie di massa USB (pendrive e hard disk esterni). Una volta infettato un computer in una rete, il worm prova a propagarsi sulla rete interna cercando ulteriori computer vulnerabili o altrimenti provando a violare le credenziali degli utenti accreditati sui computer in rete.
Sintomi dell'infezione
È impossibile fare aggiornamenti di Windows (Windows Update).
Windows Defender è disattivato.
La rete è congestionata: è impossibile caricare anche delle semplici pagine web.
Gli accessi ai siti relativi agli antivirus sono bloccati.
Utilizzando il software Snort con la semplice regola (in experimental.rules)
alert tcp any any -> any 445 (sid:1000000;msg:"Possibile Conficker.worm"
alert tcp any any -> any 139 (sid:1000001;msg:"Possibile Conficker.worm"
si possono individuare tentativi ripetuti di accedere a cartelle condivise in rete; se questi tentativi sono numerosi possono essere un sintomo dell'infezione.
Esempio (sul file alert prodotto da Snort):
grep ':445' *
produce il risultato:
alert:08/14-11:51:35.942871 10.64.1.13:1117 -> 10.64.1.5:445
alert:08/14-11:51:37.162632 10.64.1.13:1118 -> 10.64.1.6:445
alert:08/14-11:52:08.113339 10.64.1.13:1184 -> 10.64.1.37:445
alert:08/14-11:52:09.331510 10.64.1.13:1185 -> 10.64.1.38:445
alert:08/14-12:42:55.466951 10.64.1.13:1130 -> 10.64.1.5:445
alert:08/14-12:42:56.763753 10.64.1.13:1131 -> 10.64.1.6:445
alert:08/14-12:43:29.806946 10.64.1.13:1194 -> 10.64.1.37:445
alert:08/14-12:43:31.119931 10.64.1.13:1195 -> 10.64.1.38:445
alert:08/14-12:43:49.602320 10.64.1.13:1219 -> 10.64.1.52:445
in questo caso il server 10.64.1.13 tenta di connettersi in rete ad altri server, e questo è un possibile sintomo dell'infezione. (Effettivamente confermata poi utilizzando Tools come Stinger etc.)
Danni
Secondo il New York Times il worm ha infettato 9 milioni di computer al 22 gennaio 2009 mentre The Guardian ha stimato in 3,5 milioni i computer colpiti. Il produttore di software antivirus F-Secure ha affermato che fino al 16 gennaio 2009 Conficker ha colpito almeno 9 milioni di computer. Si stima che Conficker sia una delle più grandi botnet create, perché il 30% dei computer con Microsoft Windows non ha ancora installato la patch rilasciata nell'ottobre del 2008. Il Ministero della Difesa inglese ha annunciato che alcuni dei suoi sistemi principali sono stati infettati. Il worm si è diffuso su alcune navi e sottomarini da guerra. Gli ospedali della città di Sheffield hanno annunciato l'infezione di oltre 800 computer. Il worm inoltre ha causato gravissimi danni al sistema di comunicazione dell'Aeronautica Militare Francese. Secondo gli esperti è la peggior infezione da quella del 2003 chiamata SQL Slammer. Microsoft ha messo in palio un premio di 250.000 dollari a chi darà informazioni sul programmatore che ha realizzato il virus
Prevenzione
Microsoft ha rilasciato una patch già nel mese di diffusione del virus, è consigliabile utilizzare un software antivirus costantemente aggiornato, un firewall che limiti l'accesso alle risorse di rete, o meglio ancora un IDS. In grosse aziende con centinaia o migliaia di computer in rete, fin quando tutti i computer nella rete non sono stati aggiornati con la patch di microsoft, rimane l'alto rischio che il worm riparta dal singolo computer vulnerabile per poi infettare nuovamente tutta la rete.
Fine. X qualsiasi informazioni,domande o dubbi io sono qui
Fonte: un po' mia x la scoperta e x la definizione Wikipedia
Ciao alla prossimaaa
Conficker, conosciuto anche come Downup, Downadup e Kido, è un worm scoperto nell'ottobre 2008 che si diffonde sulle piattaforme Microsoft Windows. Il worm sfrutta una falla del servizio di rete di Microsoft Windows per diffondersi, rubando le password degli utenti.
Propagazione
Il worm, si propaga sui temi Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, e Windows Server 2008 R2 Beta. Sfrutta una vulnerabilità nel servizio "Server" di Microsoft Windows (MS08-067), o ancora può essere trasmesso da computer a computer, senza che siano connessi in rete, attraverso memorie di massa USB (pendrive e hard disk esterni). Una volta infettato un computer in una rete, il worm prova a propagarsi sulla rete interna cercando ulteriori computer vulnerabili o altrimenti provando a violare le credenziali degli utenti accreditati sui computer in rete.
Sintomi dell'infezione
È impossibile fare aggiornamenti di Windows (Windows Update).
Windows Defender è disattivato.
La rete è congestionata: è impossibile caricare anche delle semplici pagine web.
Gli accessi ai siti relativi agli antivirus sono bloccati.
Utilizzando il software Snort con la semplice regola (in experimental.rules)
alert tcp any any -> any 445 (sid:1000000;msg:"Possibile Conficker.worm"
alert tcp any any -> any 139 (sid:1000001;msg:"Possibile Conficker.worm"
si possono individuare tentativi ripetuti di accedere a cartelle condivise in rete; se questi tentativi sono numerosi possono essere un sintomo dell'infezione.
Esempio (sul file alert prodotto da Snort):
grep ':445' *
produce il risultato:
alert:08/14-11:51:35.942871 10.64.1.13:1117 -> 10.64.1.5:445
alert:08/14-11:51:37.162632 10.64.1.13:1118 -> 10.64.1.6:445
alert:08/14-11:52:08.113339 10.64.1.13:1184 -> 10.64.1.37:445
alert:08/14-11:52:09.331510 10.64.1.13:1185 -> 10.64.1.38:445
alert:08/14-12:42:55.466951 10.64.1.13:1130 -> 10.64.1.5:445
alert:08/14-12:42:56.763753 10.64.1.13:1131 -> 10.64.1.6:445
alert:08/14-12:43:29.806946 10.64.1.13:1194 -> 10.64.1.37:445
alert:08/14-12:43:31.119931 10.64.1.13:1195 -> 10.64.1.38:445
alert:08/14-12:43:49.602320 10.64.1.13:1219 -> 10.64.1.52:445
in questo caso il server 10.64.1.13 tenta di connettersi in rete ad altri server, e questo è un possibile sintomo dell'infezione. (Effettivamente confermata poi utilizzando Tools come Stinger etc.)
Danni
Secondo il New York Times il worm ha infettato 9 milioni di computer al 22 gennaio 2009 mentre The Guardian ha stimato in 3,5 milioni i computer colpiti. Il produttore di software antivirus F-Secure ha affermato che fino al 16 gennaio 2009 Conficker ha colpito almeno 9 milioni di computer. Si stima che Conficker sia una delle più grandi botnet create, perché il 30% dei computer con Microsoft Windows non ha ancora installato la patch rilasciata nell'ottobre del 2008. Il Ministero della Difesa inglese ha annunciato che alcuni dei suoi sistemi principali sono stati infettati. Il worm si è diffuso su alcune navi e sottomarini da guerra. Gli ospedali della città di Sheffield hanno annunciato l'infezione di oltre 800 computer. Il worm inoltre ha causato gravissimi danni al sistema di comunicazione dell'Aeronautica Militare Francese. Secondo gli esperti è la peggior infezione da quella del 2003 chiamata SQL Slammer. Microsoft ha messo in palio un premio di 250.000 dollari a chi darà informazioni sul programmatore che ha realizzato il virus
Prevenzione
Microsoft ha rilasciato una patch già nel mese di diffusione del virus, è consigliabile utilizzare un software antivirus costantemente aggiornato, un firewall che limiti l'accesso alle risorse di rete, o meglio ancora un IDS. In grosse aziende con centinaia o migliaia di computer in rete, fin quando tutti i computer nella rete non sono stati aggiornati con la patch di microsoft, rimane l'alto rischio che il worm riparta dal singolo computer vulnerabile per poi infettare nuovamente tutta la rete.
Fine. X qualsiasi informazioni,domande o dubbi io sono qui
Fonte: un po' mia x la scoperta e x la definizione Wikipedia
Ciao alla prossimaaa
Ultima modifica:
