Русская группа пользователей Snort

Мы уже рассказывали о Рабочей группе Соnficker (CWG) - профессионалов в области информационной безопасности, объединенных борьбой с одним из самых распространенных и зловредных компьютерных вирусов. Первые результаты уже есть. Участник группы, Филипп Поррас (Phil Porras) из компании SRI International разработал препроцессор для IDS Snort, обнаруживающий P2P-трафик вируса Conficker.C. Шифрованный P2P-канал используется вирусом для безопасного обновления.

Другой участник группы, Алекс Кирк (Alex Kirk) из Sourcefire VRT, переписал этот препроцессор в виде правил SO Snort. Это было сделано из тех соображений, что конечному пользователю будет удобнее закинуть файл с правилами в папку и прописать в конфиге путь до него, чем устанавливать новый препроцессор (как известно, что бы добавить препроцессор в Snort требуется править исходники).

Сочетание правил Sourcefire MS06-040, MS08-067, а также общих правил компании для обнаружения шеллкодов обеспечивает многоуровневую защиту.

29 января 2009 — новатор в области ПО с открытым исходным и создатель Snort, лидер в области управления угрозами предприятия, компания Sourcefire, Inc (NASDAQ: Fire) объявила сегодня, что ее клиенты и пользователи Snort имели защиту «нулевого дня» от быстро распространяющегося червя W32.Downadup/Conficker.

По сообщениям, в настоящее время Conficker инфицировал более 10 миллионов систем, и близок к тому чтобы стать одним из самых распространенных червей за всю историю. Сочетание правил Sourcefire MS06-040 , выпущенных в 2006 году, правил MS08-067, выпущенных 23 октября 2008 г., и общих правил компании для обнаружения шеллкодов обеспечило многоуровневую защиту от Conficker, даже до его появления в конце ноября 2008 года.