Win32.Worm.Downadup foloseste noi metode de a se raspândi fara a mai fi detectat cu usurinta.
Specialistii laboratoarelor BitDefender® au detectat astazi un virus extrem de agresiv care se raspândeste prin exploatarea unei vulnerabilitati din Windows RPC Server Service, numit Win32.Worm.Downadup. Virusul nu este o noutate în piata, acesta fiind cunoscut si sub denumirea de Conflicker sau Kido, si a aparut pentru prima oara la sfârsitului lunii noiembrie 2008, exploatând vulnerabilitatea descrisa in buletinul de securitate MS08-067 pentru a obtine acces la directoare partajate în retele locale, cu scopul de a instala aplicatii antivirus false pe calculatoare infectate.
La sfârsitul lunii decembrie, laboratoarele BitDefender au descoperit Win32.Worm.Downadup.B, o noua versiune îmbunatatita a acestui vierme, cu noi functionalitati. Principala modalitate de raspândire este acum prin intermediul stickurilor USB, viermele având posibilitatea de a se copia într-un fisier aleatoriu creat în directorul RECYCLER, folosit de Recycle Bin pentru a stoca fisierele sterse. Ulterior, trece la crearea unui fisier executabil autorun.inf în directorul radacina , rularea acestuia (prin facilitatea Autorun din Windows) provocând inevitabil infectarea sistemului.
Virusul modifica de asemenea si anumite functionalitati în protocolul TCP pentru a bloca accesul la site-uri ce contin informatii despre amenintarile de securitate prin filtrarea fiecarei adrese introduse care contine anumite cuvinte cheie. Acest lucru îngreuneaza si mai mult procesul de eliminare de pe sistem al acestui virus, tinând cont de faptul ca sansele de a obtine informatii despre el de pe un calculator infectat sunt aproape nule. În plus, pentru a-si proteja fisierele create, virusul sterge orice drepturi de acces ale utilizatorului pe directorul in care rezida, cu exceptia executarii comenzilor si a folosirii directorului.
O alta îmbunatatire fata de versiunea originala este faptul ca acum are posibilitatea de a evita detectia programelor antivirus prin utilizarea unor functii rar folosite din Windows APIa acestea nefiind de obicei implementate în emulatoare sau masini virtuale. Dar pentru o raspândire mai facila, virusul comanda dezinstalari ale update-urilor de Windows si oprirea anumitor functionalitati pentru traficul în retea.
Versiunea îmbunatatita Win32.Worm.Downadup.B dispune de un algoritm de generare a numelor de domeniu, similar cu cel descoperit în retelele botnet precum Rustock, având capacitatea de a compune 250 de noi nume în fiecare zi si de a verifica existenta unor actualizari sau a altor fisiere care pot fi descarcate si instalate.
Cu un sistem de actualizare de ultima generatie, o buna capacitate de auto-protejare si având la îndemâna milioane de utilizatori care nu-si protejeaza corespunzator calculatoarele, acest vierme are potentialul de a deveni rivalul deja consacratelor retele virale precum Storm sau Srizbi.
Pentru a obtine mai multe informatii tehnice despre acest virus va rugam sa vizitati blogul Malwarecity http://www.malwarecity.com/blog.html sau sa consultati descrierea realizata de BitDefender http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html.
Sursa : bitdefender.ro
Postări
