Главная

CWG

Новые правила Snort для определения P2P трафика Conficker.С

Втр, 14/04/2009 - 18:32 — admin

Мы уже рассказывали о Рабочей группе Соnficker (CWG) - профессионалов в области информационной безопасности, объединенных борьбой с одним из самых распространенных и зловредных компьютерных вирусов. Первые результаты уже есть. Участник группы, Филипп Поррас (Phil Porras) из компании SRI International разработал препроцессор для IDS Snort, обнаруживающий P2P-трафик вируса Conficker.C. Шифрованный P2P-канал используется вирусом для безопасного обновления.

Другой участник группы, Алекс Кирк (Alex Kirk) из Sourcefire VRT, переписал этот препроцессор в виде правил SO Snort. Это было сделано из тех соображений, что конечному пользователю будет удобнее закинуть файл с правилами в папку и прописать в конфиге путь до него, чем устанавливать новый препроцессор (как известно, что бы добавить препроцессор в Snort требуется править исходники).

Простейшая проверка на Conficker

Втр, 07/04/2009 - 22:20 — admin

А ведь и правда, все гениальное просто!
Джо Стюарт из Рабочей Группы Conficker создал визуальную схему, позволяющую идентифицировать инфекции Conficker B и C.

http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

Тест на Conficker

Как известно, Conficker ведет черный список IP-адресов, принадлежащих популярным фирмам-разработчикам антивирусов и средств безопасности (в том числе Microsoft), чтобы избежать их заражения. Тест проверяет, можете ли вы загрузить контент с различных страниц. Если вы можете просмотреть все изображения, вы, скорее всего, не заражены Conficker. По сообщениям Honeynet, "этот метод обнаружения должен быть более надежным, чем тесты основанные на сетевом сканировании". Удачного сканирования!

RSS-материал