Norman varoittaa W32/Conficker-haittaohjelmasta: yhä uhka
W32/Conficker on verkossa leviävä haittaohjelmaperhe, joka on saastuttanut miljoonia tietokoneita sen jälkeen, kun ohjelma tunnistettiin ensimmäisen kerran syksyllä 2008. Haittaohjelma on hankala tunnistaa, sillä se ei tuo näkyviin viestejä tai varoituksia, kun tietokone on saanut tartunnan.
Haittaohjelmasta on useita muunnelmia, ja eräs sen ominaisuuksista on kyky levitä toisiin laitteisiin Windows Server palvelussa olevan haavoittuvuuden kautta. Haavoittuvuus sallii etäkoodin suorittamisen. Microsoft julkaisi haavoittuvuudesta lokakuussa 2008 korjaustiedoston, joka estää haittaohjelman leviämisen. Haittaohjelmassa on myös muita ominaisuuksia, kuten leviäminen Windows-osuuksien ja tartunnan saaneiden USB-tikkujen kautta.
Haittaohjelman uusi versio W32/Conficker.C leviää nopeasti. Tämä versio havaittiin ensimmäisen kerran helmikuussa 2009 ja siinä on useita "parannuksia", joilla se voi välttää vastatoimet.
Esimerkkejä W32/Conficker.C-haittaohjelman uusista ominaisuuksista:
- Kattava yhteystoiminto ohjauspalvelimeen (komentokeskus, jolla hallitaan asennettuja haittaohjelmia) yhdistämiseksi päivitysten lataamista ja panosten muuttamista varten. Päivittäin luodaan yli 50 000 uutta URL-osoitetta. Tämän takia haittaohjelma on entistä vaikeampi pysäyttää URL-osoitteita estämällä.
- Siitä on luotu useita muunnelmia (polymorfi). Muunnelmat luodaan dynaamisesti käyttämällä morfologisia salaus- ja pakkausalgoritmeja.
- Haittaohjelma poistaa käytöstä virustorjunnan ja haittaohjelmien poisto-ohjelmat sekä tietoturvapalvelut ja analysointi- ja järjestelmätyökalut, kuten filemon, regmon ja wireshark.
Miten Norman tunnistaa ja suojaa:
- Haittaohjelman uusien muunnelmien allekirjoitukset lisätään lennossa, jotta käyttäjä voidaan suojata uusilta muunnelmilta.
- Useiden versioiden DNA Matching allekirjoitussuojaus sisältyy Normanin virustorjuntaohjelmiin.
Normanin virustorjuntaohjelmat tunnistivat tämän haittaohjelman ensimmäisen kerran 27.11.2008. Myöhemmin luotuja muunnelmia lisätään jatkuvasti.
Norman Malware Cleaner - työkalulla haittaohjelman ja sen haitalliset osat voi poistaa kokonaan. Haavoittuvuudet korjaavat päivitykset on saatavissa Windowsin automaattisen päivitysjärjestelmän kautta sitä tukeviin järjestelmiin. Päivitykset voi myös ladata osoitteesta http://windowsupdate.microsoft.com.
Norman kehottaa kaikkia käyttäjiä, joita asia koskee, lataamaan tietoturvapäivitykset mahdollisimman nopeasti mahdollisilta haitoilta suojautumiseksi.
Lisätietoja W32/Conficker-haittaohjelmasta
Lisätietoja antavat:
Are Føllesdal Tjønn, CTO, +47 415 39 750
virusanalyytikko Snorre Fagerland +47 415 39 755
markkinointi- ja kehitysjohtaja Audun Lødemel + 47 934 46 531.
Tietoja Normanista
Norman ASA perustettiin Oslossa 1984. Yritys on maailman johtava ennakoivien sisältösuojausratkaisujen ja haittaohjelmien torjuntatyökalujen toimittaja. Norman kehittää asiakkaiden tietoturvatarpeiden täyttämiseksi haittaohjelmien analysointityökaluja, verkkoturvallisuuden ja päätelaitteiden suojausratkaisuja. Normanin ratkaisut ovat saatavissa Normanin tytäryhtiöiden ja kumppaniverkoston kautta ympäri maailman. www.norman.com