Перейти к содержанию
Guest Просто_Юзер

Исследователи использовали ошибку в Conficker, чтобы найти зараженные компьютеры

Recommended Posts

Guest Просто_Юзер

Всего за несколько дней до предполагаемой даты получения червем Conficker новых инструкций исследователям удалось обнаружить в нем уязвимость, существенно облегчающую для пользователей процедуру обнаружения зараженных машин.

Участники Honeynet Project Тильман Вернер и Феликс Ледер выяснили, что зараженные червем Conficker компьютеры в ответ на сообщения Remote Procedure Call (RPC) возвращают нетипичные ошибки. По этому адресу можно прочитать выложенные ими предварительные результаты исследования. http://iv.cs.uni-bonn.de/wg/cs/appli...ing-conficker/

До первого апреля остается все меньше времени, поэтому тревога нарастает. Именно в эту среду зараженные последней версией червя компьютеры через обновленную процедуру связи обратятся к контролирующим серверам за новыми приказаниями. Что произойдет вслед за этим никто не знает.

Воспользовавшись своей находкой, Вернер и Ледер вместе с Дэном Камински разработали сканер, позволяющий выявить машины, пораженные червем Conficker.

Вчера на своем блоге Дэн Камински написал, что можно будет в буквальном смысле спросить сервер насчет заражения и он ответит.

Модифицированная версия этого сканера вошла в состав выпущенных вчера обновлений корпоративных продуктов по обеспечению безопасности от McAfee, nCircle и Qualys. Бесплатный сканер с отрытым исходным кодом Nmap также будет способен обнаружить Conflicker.

©virusinfo.info

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ Просто_Юзер

Ссылка для прочтения выложенных ими предварительных результатов исследования у вас не работает, поэтому я повторяю:

http://iv.cs.uni-bonn.de/wg/cs/application...ning-conficker/

P.S.: © = xakep.ru.

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Vvvyg
    • akoK
      А обсуждение еще живое или форум по UVS переехал?
    • PR55.RP55
      Тема:  https://forum.esetnod32.ru/messages/forum3/topic16196/message111006/#message111006 Как видно применён твик: № 18 В итоге по логу FRST видим: HKLM\...\Policies\Explorer: [DisallowRun] 0
      HKLM\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-19\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-19\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-20\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-20\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-21-1616146017-2463400075-1735324224-1000\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-21-1616146017-2463400075-1735324224-1000\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-18\...\Policies\Explorer: [RestrictRun] 0 т.е. мало того, что от uVS   на данный момент БЕСПОЛЕЗЕН так ещё и создаются параметры которых  НЕ было изначально. т.е. мусор. uVS не проверяет - есть там, что, или нет. Просто вносит\добавляет свои записи. Почему uVS Бесполезен ? Достаточно посмотреть темы - на любом форуме. Антивирусы\сканеры, как правило, ещё до применения таких программ как: FRST; uVS и т.д. зачищают угрозы. Остаются внесённые в систему изменения: Правила\запреты; Папки\Каталоги; Сетевые Параметры и т.д. Какова роль uVS  ? 
    • PR55.RP55
      Пока форум не работал по ошибкам, предложениям, замечаниям публиковал здесь: https://forum.esetnod32.ru/forum8/topic15904/?PAGEN_1=5 ------------ ------------
      Образ в теме:  https://forum.esetnod32.ru/messages/forum6/topic16189/message110932/#message110932    
    • santy
      Форум открыт для доступа и комментариев и предложений. Можно продолжить по  работе с uVS здесь.
×