Conficker se mění, v květnu přestane napadat počítače v síti

Může mi někdo poslat stránku kde by byly o confickeru nějaké speficičtější informace jako kde přesně v systému zanechává stopy a jak přesně se dá detekovat nějaká jeho činnost. Na stárnkách symantecu je celkem prd, jen že nějaké klíče v registru. Ale mě zajímá v jakém běží procesu a kam zapisuje případné soubory, zatím jsem toho moc nenašel...

řešil jsem totiř jeden očividně napadený pc, kde se po připojení do netu vždycky hned objevila zpráva že symantec antivirus smazal nějaký soubor objevivší se v tempu. Co ho tam zapsalo se mi ale nepodařilo zjistit a nějaký podezřelý proces jsem taky nenašel a to ani tooly pro hledání hidden procesů ani tím f-secure antidownadup toolem :-\ Pak se tam rozjel nějaký Virut.CF, který začal napadat všecky exáče a symantec se mohl s alerty zbláznit. Jestli ten Virut byl nějakej "kamarád" Confickera to nevim a vlastně si ani nejsem jistý jestli na tom pc byl conficker sakra :-]

Tady něco je ale spíš pro programátory v assembleru...

http://stevekarma.blogspot.com/2009/02/conficker-memory-... ...

test k810 wif-edima-kart

ani bych se nedivil kdyby ten vir vyvíjela nějaká tajná odnož Microsoftu, samozřejmě by nevěděla kdo jí na to dal peníze(kvůli kecalům kteří by to rozkecli a hned by byl microsoft v diskuzích všude na světě vypi*ovaný) .. a hlavní úkol by byl přinutit lidi zapnout si aktualizace a zlegalizovat Wokna .. zajímavá představa, ne? ..

Nebo ESET

to ani ne, já bych to viděl spíš na práci na mrkvosoftu když už.. a nebo možná mrkvosoft s ESETem dohromady ..

.. akorát se od minulého pátku začali objevovat zavirované počítače jak o život. Ale jinak se nic neděje....

Pricinou je primarne to, ze laicti uzivatele maji zapnutou velmi nebezpecnou featuru Win - autorun.

Teprve sekundarni pricina je vypnuti aktualizaci / neaktualizovani OS (typicky zrejme z neoduvodnenych obav z WGA).

Co je na autorunu špatného? Svým diskům věřím, cizí si nepůjčuji, warez nestahuji a nevypaluji a na originálech Conficker nebude.

A co treba flashdisky tvarici se jako hdd? Vedel jste, ze i z nich se spousti autorun? Verite tedy flashdisku od kamse? Nebo si od vas nikdo nikdy zadna data kopirovat nechce?

.. to je imho ta nejlepsi featura Windows. Staci si sehnat flashdisk s U3 technologii, nejak ho nepozorovane dopravit k USB portu a o zbytek se postara autorun a nejaky vas programek na flashdisku.. Pak neni problem takto vydumpovat zajimava data i ze zajimavych pocitacu (resp. z pocitacu patricich zajimavym lidem)

A to vsechno diky logice podobne/stejne te vase: "Autorun prece neni nebezpecny" :)

Diky :) Myslim to uprimne :)

Chtelbych se zeptat, proc odbornici nepouziji reverse engineering aby se dostali k puvodnimu kodu a zjistili tak jak worm vlastne funguje?

takhle akorat hadaji ze na aprila se muze neco stat.

No oni ho pouziju. Tu je screenshot z disassembly confickeru: http://vil.nai.com/images/153464a.gif... (kratka ukazka)

A co sa tyka 1.4., tak ak si dobre pametam, tak pomocou disassembly zistili, ze v tento datum bude kontaktovat nejake servre pre nove prikazy, co ma robit alebo zavedie novy update mechanizmus. Nakoniec sa vsak ukazalo, ze ziadne nove prikazy nedostal (uvazuje sa, ze slo len o prvoaprilovy zart).