Главная

Conficker

Новые правила Snort для определения P2P трафика Conficker.С

Втр, 14/04/2009 - 18:32 — admin

Мы уже рассказывали о Рабочей группе Соnficker (CWG) - профессионалов в области информационной безопасности, объединенных борьбой с одним из самых распространенных и зловредных компьютерных вирусов. Первые результаты уже есть. Участник группы, Филипп Поррас (Phil Porras) из компании SRI International разработал препроцессор для IDS Snort, обнаруживающий P2P-трафик вируса Conficker.C. Шифрованный P2P-канал используется вирусом для безопасного обновления.

Другой участник группы, Алекс Кирк (Alex Kirk) из Sourcefire VRT, переписал этот препроцессор в виде правил SO Snort. Это было сделано из тех соображений, что конечному пользователю будет удобнее закинуть файл с правилами в папку и прописать в конфиге путь до него, чем устанавливать новый препроцессор (как известно, что бы добавить препроцессор в Snort требуется править исходники).

Простейшая проверка на Conficker

Втр, 07/04/2009 - 22:20 — admin

А ведь и правда, все гениальное просто!
Джо Стюарт из Рабочей Группы Conficker создал визуальную схему, позволяющую идентифицировать инфекции Conficker B и C.

http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

Тест на Conficker

Как известно, Conficker ведет черный список IP-адресов, принадлежащих популярным фирмам-разработчикам антивирусов и средств безопасности (в том числе Microsoft), чтобы избежать их заражения. Тест проверяет, можете ли вы загрузить контент с различных страниц. Если вы можете просмотреть все изображения, вы, скорее всего, не заражены Conficker. По сообщениям Honeynet, "этот метод обнаружения должен быть более надежным, чем тесты основанные на сетевом сканировании". Удачного сканирования!

Conficker.C Первоапрельский концерт

Чт, 26/03/2009 - 12:01 — admin

Conficker.C также известен как W32/Conficker.C.worm, WORM_DOWNAD.AD, W32.Downadup, Net-Worm.Win32.Kido.cn

Microsoft предложила 250 000 $ за поимку авторов червя. Но как мы видим, проект развивается и вероятно монетизация самого большого ботнета в истории не за горами.

Conficker.C по-прежнему использует уязвимость MS08-067 для распространения, точно так же, как варианты A и B, поэтому релиз правил Snort от 2008-10-23 успешно генерирует события на основе этого механизма распространения.

Пользователи Snort были надежно защищены от червя W32.Downadup/Conficker еще до его появления

Втр, 10/02/2009 - 16:16 — admin

Сочетание правил Sourcefire MS06-040, MS08-067, а также общих правил компании для обнаружения шеллкодов обеспечивает многоуровневую защиту.

29 января 2009 — новатор в области ПО с открытым исходным и создатель Snort, лидер в области управления угрозами предприятия, компания Sourcefire, Inc (NASDAQ: Fire) объявила сегодня, что ее клиенты и пользователи Snort имели защиту «нулевого дня» от быстро распространяющегося червя W32.Downadup/Conficker.

По сообщениям, в настоящее время Conficker инфицировал более 10 миллионов систем, и близок к тому чтобы стать одним из самых распространенных червей за всю историю. Сочетание правил Sourcefire MS06-040 , выпущенных в 2006 году, правил MS08-067, выпущенных 23 октября 2008 г., и общих правил компании для обнаружения шеллкодов обеспечило многоуровневую защиту от Conficker, даже до его появления в конце ноября 2008 года.

RSS-материал