Ochrana proti červu Sars

18. únor 2009 VaDo

O červu Sars toho bylo již napsáno hodně. Microsoft dokonce nabízí odměnu za dopadení autora viru.

V podstatě si nikdo nemůže být jistý tím, že nějaký virus nebo červa nechytí. Důležitým předpokladem je mít zabezpečený systém, aktualizovaný, dobrý antivir, též aktualizovaný,

ConFicker má dvě varianty. Poprvé se objevil v listopadu 2008. Tato první varianta nebyla tak závažná a obsahovala chybu. Druhá varianta již byla opravena a je nebezpečná. Microsoft vydal opravu (buletin MS08-67). Další generace červa ConFicker z prosince 2008 již měla smrtící účinek pro napadené počítače. Něco si o tom můžete přečíst zde.

ConFicker vede svůj útok na systém v několika úrovních. Jde hlavně o to, aby se dokázal zamaskovat. Pokud je odhalen, aby bylo jeho odstranění co nejtěžší. Kde tedy všude se ConFicker pokouší napadnout Vás systém??

  • Skrytá DLL  v systémovém adresáři Windows
  • Skryté DLL soubory v %ProgramFiles% \ Internet Explorer nebo %ProgramFiles% \ Windows Movie Maker
  • Zázanam v regisstru HKCU \ Software \ Microsoft\Windows \ CurrentVersion \ Run
  • Záznam do registru HKLM \ System \ CurrentControlSet \ Services - to mu zajistí spuštění jako služba
  • Pokusí se uhádnout hesla na lokálním počítači. Ne u všech účtů, pouze u těch, u který jsou příznaky toho, že mají slabá hesla.
  • Pokud najde jméno a heslo, vytvoří skryté plánované úlohy pod účtem kompromitovaného uživatele
  • Zkopáruje se na všechny vyjímatelné jednotky
  • Vytvoří autorun.inf na všech výměnných médiích. To mu zajistí spuštění pro každém vložení kompromitovaného média - pokud he povolena funkce AutoPlay.
  • Vypne zobrazování skrytých souborů
  • Upravuje nastavení TCP protokolu tak, aby umožnil velký počet současnýh připojení. Nenastavuje vždy stejné číslo, ale generuje náhodné v horním rozsahu povolených hodnot.
  • Vypne Windows Defender
  • Resetuje System Restore Points - nemáte možnost použít funkci pro návrat k poslední známé konfiguraci.
  • Začne stahovat soubory z různých webů

Je to tedy pěkně aktivní mrcha.

Jak se chránit

Stáhněte si "náplast" od Microsftů. To je samozřejmě začátek.

Pokud uživatel, pod kterým byl systém napaden, NENÍ členem skupiny Administrators, červ to bude mít velmi težké. Proto se ujistěte, že účet, který používáte k práce není členem skupiny Administrators.

Konfigurace skupiny Administrators

Červ se pokusí zaútočit na seznam uživatelských účtů. Takže nejlépe bude zajistit, že existují jen a pouze uživatelské účty, které skutečně na počítači potřebujete. A že členem skupiny Administrators není nikdo další, jan a pouze určený administrator.

Další nastavení není dostupné na systémech Windows XP (Windows 2003 server). Ale na systémech WIndows Vista (Windows 2008 server) velmi pomůže. Spočívá v konfigurace UAC (User Account Control). Spousta uřivatelů tuto vlastnost vypíná, ale je to velmi cené zabezpečení. UAC je totiž ve výchozím nastavení nastavena tak, aby pro správce požadovala odsouhlasení požadované akce a pro normální uživatele požadovala elevaci na správce (tedy povýšení). UAC umožňuje nastavit tak, aby pro správce požadovala schválení, ale pro běžného uživatele by měla akce vyžadující elevaci práv tiše odmítat. To velmi účině zněmožní birům a červům v modifikaci systémových nastavení.

Tuto možnost najdete v Místních zásadách \ Konfigurace počítače \ Nastavení systému Windows \ Nastavení zabezpečení \ Místní zásady \ Možnost zabezpečení. Další informace hledejte v článku Top 5 důvodů, proč používat Windows Vista.  Na obrázku jsou vidět nastavení zabezpečení.

  • Řízení uživatelských účtů: Chování výzvy ke zvýšení oprávnění pro správce v Režimu schválení správce
  • Řízení uživatelských účtů: Chování výzvy ke zvýšení oprávnění pro standardní uživatele

Další konfogurace se týká nastavení uživatelských účtů, tedy jejich hesel. ConFlicker hádá hesla pomocí slovníkových útoků a pokud nespěje, zkouší to pomocí brutal force útoku. Tomu by měly odolat silná a komplexní hesla. V doménách by toto měli nastavit správci v zásadách domény. Ale na lokálních - domácích - počítačích si toto můžete nastavit sami. Najdete to nastavení v Místní počítač - zásady \ Konfigurace počítače \ Nastavení systému Windows \ Nastavení zabezpečení \ Zásady hesel.

  • Heslo musí splňovat požadavky na složitost - povoleno
  • Minimální délka hesla - alespoň 8 znaků
  • Minimální stáří hesla - alespoň jeden den

A konečně nastavení AutoPlay funkce. Tedy vypnout ji. Červ totiž může být zaveden ze souboru autorun.inf. Konfiguraci najdete v Mistní počítač - zásady \ Konfigurace počítače \ Šablony pro správu \ Součásti systému Windows \ Zásady automatického přehrávání.

ConFicker je stále aktivní. A bohužel, je to hlavně v liknavosti přístupu správců. Oprava, která červu ConFicker  zabrání napadaení počítače je k dispozici. Pokud by správci, uživatelé a společnosti přijmuli opatření - (instalace zabezpečení a nastavení politik), červ ConFicker by neměl být hrozbou.

Nejlepší obranou je zamezení přístupu do systému jako správce. A silná hesla.

Přeji hodně zdraví a počítač bez červů!

 

Klíčová slova: červ Sars, ochrana, ConFicker, malware, Conficker

Pokračujte ve čtení

Další
Windows Vista SP2 RC
Předchozí
Odkazy