Virus (Downadup) ringer hjem

[norbat]

På tross av at Microsoft har patch for sårbarheten som Downadup/Conficker utnytter, er det millioner av pc'er som er infisert.

 

Når ormen har infisert en PC, vil Downadup genererer en liste med over 250 mulige domener - listen endres daglig - velger ett, og deretter bruker ormen denne webadressen for å nå en hackerstyrt server som det laster ned mer ondsinnet programvare på den kaprete datamaskinen.

 

I mars, har ormen 7750 domenenavn den kan bruke. Domenenavnene er tilfeldige tegn uten relevans til allerede eksisterende, legale domener - dvs. det finnes unntak. Er man uheldig og drifter jogli.com (en musikkside), så står dette domenet på mars-listen til ormen (nærmere bestemt 8.mars). Selv om dette domenet ikke vil svare, så vil antall infiserte pc'er som kontakter et domene en bestemt dag kunne føre til overbelastning (i hovedsak føre til en 'denial of service' angrep).

 

For de interesserte, så er morgendagens domener opplistet under (gjelder for B-varianten av ormen. En tilsvarende liste finnes for A):

Klikk for å se/fjerne innholdet nedenfor

B, 03/03/2009, 0, muocf.com

B, 03/03/2009, 1, slnsepl.info

B, 03/03/2009, 2, hznvnbclb.ws

B, 03/03/2009, 3, tgpdjdlk.info

B, 03/03/2009, 4, poloi.cc

B, 03/03/2009, 5, dophzgto.com

B, 03/03/2009, 6, snfzhmej.net

B, 03/03/2009, 7, igcrfrqqud.com

B, 03/03/2009, 8, dcvqntv.ws

B, 03/03/2009, 9, cpesuzgxrt.org

B, 03/03/2009, 10, wsrplllbzbv.info

B, 03/03/2009, 11, mmwsg.com

B, 03/03/2009, 12, zzbfmkfh.net

B, 03/03/2009, 13, sizalxjouo.org

B, 03/03/2009, 14, isctxfo.cn

B, 03/03/2009, 15, xkerhbkr.biz

B, 03/03/2009, 16, ymbdpbn.com

B, 03/03/2009, 17, asghymit.org

B, 03/03/2009, 18, gjqtnmvwqdf.net

B, 03/03/2009, 19, lhknzvfqc.cn

B, 03/03/2009, 20, mxtycdeq.biz

B, 03/03/2009, 21, pdqtgcruyy.info

B, 03/03/2009, 22, sqrkbx.biz

B, 03/03/2009, 23, ombxezojws.ws

B, 03/03/2009, 24, malayffe.cn

B, 03/03/2009, 25, rmfdfypvhaf.ws

B, 03/03/2009, 26, mpfpuq.com

B, 03/03/2009, 27, hvyxcrldcmc.org

B, 03/03/2009, 28, wfpnkzqiq.ws

B, 03/03/2009, 29, ybkusmdl.net

B, 03/03/2009, 30, njhbtrul.biz

B, 03/03/2009, 31, luydcvwn.org

B, 03/03/2009, 32, fbwulcj.biz

B, 03/03/2009, 33, kqroownd.org

B, 03/03/2009, 34, eyymieimvd.cn

B, 03/03/2009, 35, rwyftt.net

B, 03/03/2009, 36, yfcvvrir.biz

B, 03/03/2009, 37, attkd.cn

B, 03/03/2009, 38, azsfdmg.net

B, 03/03/2009, 39, aibecwevtri.ws

B, 03/03/2009, 40, lsiwfwqr.ws

B, 03/03/2009, 41, yeqvoylm.com

B, 03/03/2009, 42, noadnsyce.cc

B, 03/03/2009, 43, umphwlpca.net

B, 03/03/2009, 44, rkrgy.net

B, 03/03/2009, 45, xwprv.info

B, 03/03/2009, 46, tnooleqk.com

B, 03/03/2009, 47, tctbqxmby.com

B, 03/03/2009, 48, xqsbkuav.ws

B, 03/03/2009, 49, gnyswfc.ws

B, 03/03/2009, 50, qvbwdjuxwb.net

B, 03/03/2009, 51, ublzfqepzq.net

B, 03/03/2009, 52, lfegjehs.com

B, 03/03/2009, 53, ttbiwvlia.biz

B, 03/03/2009, 54, lxjlcpiplo.info

B, 03/03/2009, 55, yczwodzdvb.ws

B, 03/03/2009, 56, rrcxjcgvll.org

B, 03/03/2009, 57, wwvhhrfwtmg.net

B, 03/03/2009, 58, ahliojtb.cn

B, 03/03/2009, 59, nnilwp.cn

B, 03/03/2009, 60, ikxhwcr.ws

B, 03/03/2009, 61, zxgyxbe.biz

B, 03/03/2009, 62, kghmp.com

B, 03/03/2009, 63, tvkcnouqil.com

B, 03/03/2009, 64, khtphy.net

B, 03/03/2009, 65, mqboqoa.ws

B, 03/03/2009, 66, zltjq.biz

B, 03/03/2009, 67, llvtskl.biz

B, 03/03/2009, 68, yisrzfu.cn

B, 03/03/2009, 69, akvcmcujqyi.ws

B, 03/03/2009, 70, cmjmboif.info

B, 03/03/2009, 71, yyckf.cn

B, 03/03/2009, 72, bbpxhyou.biz

B, 03/03/2009, 73, dtvdjsuy.net

B, 03/03/2009, 74, bmgueyrum.cc

B, 03/03/2009, 75, xnoaaqrh.org

B, 03/03/2009, 76, zpdre.biz

B, 03/03/2009, 77, cyltcegr.info

B, 03/03/2009, 78, oewcnacpnig.cc

B, 03/03/2009, 79, hifkzgj.biz

B, 03/03/2009, 80, kucrxhlgwc.cn

B, 03/03/2009, 81, hqlawefp.cn

B, 03/03/2009, 82, soeinvwn.com

B, 03/03/2009, 83, aocoacnaime.cc

B, 03/03/2009, 84, dsuruhvecg.biz

B, 03/03/2009, 85, lqbgunnc.biz

B, 03/03/2009, 86, jgqexchd.cc

B, 03/03/2009, 87, gnknkwme.cn

B, 03/03/2009, 88, zhtpp.com

B, 03/03/2009, 89, kkkqpv.com

B, 03/03/2009, 90, motohmmu.info

B, 03/03/2009, 91, wixwm.ws

B, 03/03/2009, 92, hqvrvqjh.com

B, 03/03/2009, 93, ejtdjlra.biz

B, 03/03/2009, 94, trdlhvkd.cc

B, 03/03/2009, 95, ynakw.info

B, 03/03/2009, 96, ullmxwiu.cc

B, 03/03/2009, 97, qbgczv.biz

B, 03/03/2009, 98, lziarqulced.cc

B, 03/03/2009, 99, uweosi.biz

B, 03/03/2009, 100, vicevtoi.net

B, 03/03/2009, 101, uyguh.biz

B, 03/03/2009, 102, pbcuavdb.ws

B, 03/03/2009, 103, twhdrcg.org

B, 03/03/2009, 104, nupmwx.info

B, 03/03/2009, 105, lmeksj.com

B, 03/03/2009, 106, lvecjby.com

B, 03/03/2009, 107, zikaaylsdz.cn

B, 03/03/2009, 108, nugru.org

B, 03/03/2009, 109, oslllstv.cc

B, 03/03/2009, 110, fsicwouag.cn

B, 03/03/2009, 111, ewxseakgw.info

B, 03/03/2009, 112, ulteiga.org

B, 03/03/2009, 113, shuacwft.biz

B, 03/03/2009, 114, vcweltkljb.cc

B, 03/03/2009, 115, nnlmmbvmh.net

B, 03/03/2009, 116, xbnfiakqs.net

B, 03/03/2009, 117, gxkubanqda.biz

B, 03/03/2009, 118, khjayyr.net

B, 03/03/2009, 119, jkdqhcml.org

B, 03/03/2009, 120, cbrbxz.info

B, 03/03/2009, 121, rbshzkvq.info

B, 03/03/2009, 122, zykuimg.com

B, 03/03/2009, 123, dwmqrroa.org

B, 03/03/2009, 124, uxhotutg.cc

B, 03/03/2009, 125, jrmshozkj.com

B, 03/03/2009, 126, poxen.ws

B, 03/03/2009, 127, ldvmitqn.com

B, 03/03/2009, 128, tldzvawl.info

B, 03/03/2009, 129, rzpagqrvt.ws

B, 03/03/2009, 130, qrpbuvcl.cc

B, 03/03/2009, 131, otrvdioq.info

B, 03/03/2009, 132, aogcbddz.ws

B, 03/03/2009, 133, akylvk.net

B, 03/03/2009, 134, afupzw.cc

B, 03/03/2009, 135, gzamkwpm.biz

B, 03/03/2009, 136, bbzlaicxvn.biz

B, 03/03/2009, 137, bgxrycl.biz

B, 03/03/2009, 138, rogpkhwkqv.cn

B, 03/03/2009, 139, etsbgsxb.biz

B, 03/03/2009, 140, rylcylm.cc

B, 03/03/2009, 141, ykicxulbs.org

B, 03/03/2009, 142, nxveivdrop.info

B, 03/03/2009, 143, ypyweq.cc

B, 03/03/2009, 144, kleomw.ws

B, 03/03/2009, 145, jtikm.cc

B, 03/03/2009, 146, zypwcuklee.info

B, 03/03/2009, 147, acivbrch.info

B, 03/03/2009, 148, aodhce.com

B, 03/03/2009, 149, acquhlxesia.info

B, 03/03/2009, 150, vvwggir.cc

B, 03/03/2009, 151, ovxonuhjh.ws

B, 03/03/2009, 152, hctjpyqzohs.info

B, 03/03/2009, 153, ogqsyffw.info

B, 03/03/2009, 154, xuthplbio.org

B, 03/03/2009, 155, hzsxdhxt.com

B, 03/03/2009, 156, qbajyape.info

B, 03/03/2009, 157, odjsfnv.ws

B, 03/03/2009, 158, pzjpirlu.ws

B, 03/03/2009, 159, zguethp.info

B, 03/03/2009, 160, fjfvwglo.biz

B, 03/03/2009, 161, jdzrtfzwbhr.org

B, 03/03/2009, 162, usbcjj.cn

B, 03/03/2009, 163, bxfbtaoe.net

B, 03/03/2009, 164, zvxcthbw.biz

B, 03/03/2009, 165, dagvqxpewyz.cn

B, 03/03/2009, 166, yznhaszb.cc

B, 03/03/2009, 167, tkxrb.ws

B, 03/03/2009, 168, haqruz.cn

B, 03/03/2009, 169, rpaznnpd.cc

B, 03/03/2009, 170, rubakrlhjt.com

B, 03/03/2009, 171, yiiqlyx.org

B, 03/03/2009, 172, xvxuhv.net

B, 03/03/2009, 173, kmudlgbl.ws

B, 03/03/2009, 174, xbjmhlx.biz

B, 03/03/2009, 175, vnjkylayhgp.net

B, 03/03/2009, 176, tncdayuqrn.org

B, 03/03/2009, 177, attvfkuyeei.cc

B, 03/03/2009, 178, cqugw.ws

B, 03/03/2009, 179, apjddduvet.org

B, 03/03/2009, 180, sonumsb.cc

B, 03/03/2009, 181, ysgedhod.cn

B, 03/03/2009, 182, ataayxbi.info

B, 03/03/2009, 183, meqkxsnf.biz

B, 03/03/2009, 184, fhcumydt.cn

B, 03/03/2009, 185, djokoj.net

B, 03/03/2009, 186, lxluptp.ws

B, 03/03/2009, 187, qayvanuzpj.ws

B, 03/03/2009, 188, zgqokcfzlgu.com

B, 03/03/2009, 189, sfqtvwxlbz.net

B, 03/03/2009, 190, whulxibvrru.cc

B, 03/03/2009, 191, akjtapojtq.info

B, 03/03/2009, 192, nkeazvqboy.cc

B, 03/03/2009, 193, vuuwp.ws

B, 03/03/2009, 194, dljbuduya.cc

B, 03/03/2009, 195, lkbjw.cn

B, 03/03/2009, 196, tojvslgd.com

B, 03/03/2009, 197, njrwpkh.com

B, 03/03/2009, 198, zkgmu.org

B, 03/03/2009, 199, kkppczeoho.cc

B, 03/03/2009, 200, vvuahnqe.biz

B, 03/03/2009, 201, hpmoa.ws

B, 03/03/2009, 202, saprc.cn

B, 03/03/2009, 203, bgvbalpn.cc

B, 03/03/2009, 204, tagbk.net

B, 03/03/2009, 205, pbelzomq.info

B, 03/03/2009, 206, jdoweudv.cn

B, 03/03/2009, 207, mscoejytoqx.com

B, 03/03/2009, 208, jhaiu.cn

B, 03/03/2009, 209, vwjawred.com

B, 03/03/2009, 210, gbakzz.info

B, 03/03/2009, 211, dfyiohq.net

B, 03/03/2009, 212, sejqbfmfqqi.com

B, 03/03/2009, 213, wksrhmgk.biz

B, 03/03/2009, 214, txchh.biz

B, 03/03/2009, 215, simqchl.org

B, 03/03/2009, 216, nnduizqu.ws

B, 03/03/2009, 217, wracesap.cn

B, 03/03/2009, 218, wvyqysnh.com

B, 03/03/2009, 219, yowndkhxf.net

B, 03/03/2009, 220, cjpnjyiixlb.info

B, 03/03/2009, 221, sqmjaiycws.ws

B, 03/03/2009, 222, tcszdytx.cn

B, 03/03/2009, 223, vjgtkygu.ws

B, 03/03/2009, 224, ejpibspj.biz

B, 03/03/2009, 225, incxcr.org

B, 03/03/2009, 226, wryyhamfim.info

B, 03/03/2009, 227, jbpqhalmkl.ws

B, 03/03/2009, 228, ipbefo.biz

B, 03/03/2009, 229, aqtcn.com

B, 03/03/2009, 230, mxrqgnjr.org

B, 03/03/2009, 231, wyyjyegm.org

B, 03/03/2009, 232, egzmd.cn

B, 03/03/2009, 233, werrsnee.net

B, 03/03/2009, 234, irooeooe.ws

B, 03/03/2009, 235, myywpsopam.info

B, 03/03/2009, 236, rguqjce.cc

B, 03/03/2009, 237, hsymcayle.biz

B, 03/03/2009, 238, tocob.biz

B, 03/03/2009, 239, nanprq.ws

B, 03/03/2009, 240, olqtxhidqx.ws

B, 03/03/2009, 241, uksnjz.biz

B, 03/03/2009, 242, lezlpygg.net

B, 03/03/2009, 243, uhcjvckxzox.ws

B, 03/03/2009, 244, zwpcnuendz.com

B, 03/03/2009, 245, poumlzyi.com

B, 03/03/2009, 246, zcrsdyuujwq.cn

B, 03/03/2009, 247, lbbeck.cn

B, 03/03/2009, 248, gshufdnv.net

B, 03/03/2009, 249, mpqwifmatab.cn

Endret 7. mars 2009 av norbat

[Tosha0007]

For det første, korleis i all vidaste verda finn du slike lister?

 

Er det forskjell på namn på dei infiserte filene etter kva side du "kobler" deg opp mot, eller har dei ulike nettsidene ingen effekt?

 

Eg ser du skriv at dei kobler seg opp mot ein hackerstyrt server, meiner du med det at hackaren/hackerane har tatt over serveren som drifter desse nettsidene eller har det ingenting å gjera med kvarandre? For meg ser det meste av namna over ut å vera "random" namn, men det er det vell kanskje ikkje?

 

Er det nokon norske domene (.no)som ligg på desse listene, evt "store" utanlandske sider som "vanlege" personar kan vera innom?

 

På førehand takk for svar, eg veit det blei litt dårleg forklart dette her

[norbat]

'Virus'jegerne har knekt algoritmen som genererer disse domenene og jeg mener jeg fant listen på en av Microsoft sine sider. Domenenavnene har nonsennavn (tilfeldige tegn), men om man sjekker de, så er de registrert.

 

Kan ikke se noen .no domener på lista (det krever jo litt mer å opprette .no enn .com etc)

Endret 3. mars 2009 av norbat

[norbat]

En ny variant av Downadup er oppdaget. Symantec kaller den W32.Downadup.C

 

Målgruppen for denne varianten ser ut til å være antivirusprogram og sikkerhet analyseverktøy med sikte på å deaktivere dem slik at allerede infiserte pc'er kan 'jobbe' uforstyrret med å kontakte hackerstyrte domener der annen malware blir lastet ned. Denne varianten har også utvidet domenegenereringen fra 250 pr.dag til 50 000! pr. dag. Den har også utvidet domenesuffikset til 116.

 

Så, om man ikke har oppdatert med patchen fra Microsoft, så er det kanskje på tide?

Deretter beskytte eventuelle delte nettverksressurser og administratorkontoer med et sterkt passord som Conficker vil prøve å gjette seg seg. Det er også en ide å deaktivere Autorun på Windows.

[Tosha0007]

Ser Symantec skriv at den gjer det "umogleg" å boote i safemodus, har du kjennskap til om dette verkeleg er fakta?

It also deletes the following registry entry to prevent the compromised computer from restarting in safe mode:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

 

Er det ein måte som er anbefalt å fjerne dette på? Slik at ein kan kome inn i safemodus dersom det er naudsynt?

 

edit: Korleis er automatiske program til å fjerne deler (evt heile infeksjonen)? Tenker særskild på MBAM og SAS.

 

Ser Symantec har lagt ut sin guide, men f.eks Combofix er vell meir effektiv (les: raskare med kyndig hjelp, "timar" med knoting i registeret)? Har du og ein effektiv måte å fjerne infeksjonen på utan å bruke Combofix (vista 64-bit)?

 

edit2:

It also connects to the following Web sites to to obtain the current date and time:

ask.com

baidu.com

facebook.com

google.com

imageshack.us

rapidshare.com

w3.org

yahoo.com

Jaha, er verkeleg andletsboka (a.k.a. facebook) blitt så viktig for oss :!:

 

edit3: Byrjar å bli "litt" mange editar dette

@Norbat: Veit du kva fila som køyrer frå nettsidene heiter, evt kva ein skikkeleg brannmur vil kalle prosessen som prøver å starte (om den i det heile oppdager den, kjenner diverre ikkje heilt korleis infeksjonen går føre seg )?

Endret 7. mars 2009 av tosha0007

[norbat]

Det er flere infeksjoner som kan 'ødelegge' oppstart i sikker modus. Det finnes registerfix som kan gjenopprette oppføringene. Har man SAS, kan man bruke 'Repair broken safeboot key'.

[Tosha0007]

Skal vera heilt ærleg så finn eg ingen "Repair broken safeboot key". Skal den ligge her?

 

SAS -> Preferences -> Repairs (eg har ingen val her, rekner med problemet er her ) -> Repair broken safeboot key (trykk "Perform Repair...")

[norbat]

Har du oppdatert SAS?

[Tosha0007]

Ser sånn ut,

Definition Database Version Core: 3788 Trace: 1745

 

Kan det ha med at det alternativet berre er tilgjengeleg når fila er infisiert, gløymde jo å nemne at eg ikkje har nokon infiserte pc'ar (for augneblinken ).

[norbat]

Er programversjonen 4.25.1014?

Hvis, så ville jeg ha avinstallert og lastet ned på nytt. Du kan også velge å bruke Norsk-språk.

[Tosha0007]

Oooops

 

Rart at den ikkje automatisk oppdaterer seg til nyaste versjon. Eg får alltid at oppdateringa har vore vellukka utan å tenkje nærare over det. Det viser seg faktisk at eg har versjon 4.20.1046

 

Er det vanleg at ikkje programversjonen og vert oppdatert?

 

edit: Sjå der var det komen nye alternativer der, no fann eg mykje anna "småknask" om ikkje "Repair broken safeboot key"

Endret 7. mars 2009 av tosha0007

[norbat]

Det er vanlig at man får valget om å oppdatere SAS inkl. programversjonen, men tydeligvis har det skjedd noe krøll hos deg.

 

Edit: Vi har vel gått litt OT nå, men dette var vel ang. safeboot-problemet

Endret 7. mars 2009 av norbat

[Tosha0007]

tydligvis, slik det alltid er her i huset

 

Men, det har diverre vore litt vell mykje tull med vista 64-biten min. Vurderer nesten å bytte OS no, men eg har vore så mykje mindre plaga av blåskjerm enn ved 32-bit så det er anten blåskjerm eller alltid på leit etter oppdateringar. Vanskeleg val

 

edit: Off-topic, kva er det? Ja, dette har med safeboot problemet å gjer, så no off-topic i denne tråden

Endret 7. mars 2009 av tosha0007

[Tosha0007]

Først, beklager dobbelpost men dette er "tilbake" til topic igjen.

 

@Norbat: Har du meir info om denne Conficker infeksjonen enn det Symantec har (filer, utbreiing til no osb)? Symantec gav veldig fin info, men det er jo alltid kjekt med meir. Sidan du ber oss deaktivere autorun, er det over lokalt nettverk eller via internett du er redd det skal spreia seg?

[norbat]

Deaktivering av autorun har med minnepenner etc. å gjøre. Denne autorun-funksjonen bør uansett slås av da den er en stor sikkerhetsrisiko. Når det gjelder Downadup, så bør ikke den være noen trussel så lenge man har oppdatert sin windows.

[Pizzaen]

Hei

 

Noen som vet om den sprer seg via nettverk?? Også er det umulig og bli infisert når du har oppdatert XP? Har du norbat "setup" fila til Conficker?? Kunne tenkt meg og sjekke hvordan det funker, har hørt utrolig mye om dette virus. (viss du har link til virus så kan du ta det på PM siden folk garantert kommer til og trykke på linken og bli infisert)

[norbat]

Fakta om ormen:

 

-Utnytter et Windows-sårbarhet MS08-067. Oppdateringen ble gitt ut for lenge siden.

 

-Utnytte nettverket med svake eller ingen passord. Ormen inneholder en liste over vanlige passord - en god grunn til å bruke sterke passord.

 

-Kopierer seg selv til flyttbare medier, vanligvis USB-pinner. Bruker Autokjør-funksjonen (skaper autorun.inf fil)

 

Om man oppdaterer med patchen (som kom før jul via automatisk oppdatering), så skulle ikke ormen klare å gjøre særlig med ugagn.

 

Pizzaen: Ja, den sprer seg i nettverk. Nei, jeg har ingen eksempler av infeksjonen.

Endret 7. mars 2009 av norbat

[Pizzaen]

Ok