17.04.2009 Новости, БезопасностьИсследователи из подразделения IBM X-Force создали специальный алгоритм для продукта IBM Proventia Intrusion Prevention System, с помощью которого можно выявить агентов червя Conficker.C и блокировать их соединения. Алгоритм дополняет уже имеющуюся в продукте защиту от разновидностей червя Conficker.A и Conficker.B. Защитный алгоритм блокирует распространение вредоносной программы, когда она пытается эксплуатировать уязвимость в службе сервера Windows (MS08-067), и обнаруживает ее в случае попытки раскрытия паролей методом перебора. Conficker – сетевой червь, нацеленный на рабочие станции. Он создает инфраструктуру бот-сетей, которую злоумышленники затем используют для распространения спама или для кражи конфиденциальной информации с рабочих станций. Червь распространяется посредством одного или нескольких следующих механизмов: эксплуатация уязвимости в одной из служб Windows (MS08-067); загрузка своей копии в сеть и на съемные накопители; загрузка своей копии в сетевые ресурсы общего пользования со слабыми паролями. Новейший вариант этого вредоносного ПО использует соединения с шифрованием. Специалисты X-Force раскрыли и взломали его алгоритм шифрования, что обеспечило обнаружение червя. Разработанный защитный механизм выявляет текущие варианты червя Conficker, которые используют описанный выше канал для связи. Соответствующие сигнатуры выглядят следующим образом: Conficker_P2P_Detected (для обнаружения бота Conficker.C) и Conficker_P2P_Protection (для блокировки ...
читать далее.
