Conficker Worm

A keni degjuar ndonjeher per kete worm i cili vertitet neper internet kohet e fundit. Eshte nje nder me te rrezikshmit i cili ka bere te jene viktime miliona kompjutera qe nga viti 2003 me sisteme operimi windows.
Dhe e bukura eshte se ky worm u be i ditur vetem ne 2008. Ne 2009 u be e ditur qe ky worm kishte sulmuar mbi 15 milion kompjutera ne mbi 200 shtete te botes. Wormi fillimisht u perhap sipas LAN dhe me pas me ane te usb dhe network share. Ne janar wormi sulmoi Floten Detare Franceze e cila bllokoi dhe uljet e avioneve ne te pasi nuk arrinin dot te benin update planet e fluturimit. Ministria e mbrojtjes se Britanise se Madhe deklaroi qe shum nga kompjuterat desktop te saj ishin infektuar nga ky worm. Ne 2 shkurt 2009 Ministria e Mbrojtjes gjermane deklaroi gjithashtu qe qindra kompjutera te saj ishin infektuar nga Conficker.
Pra kemi te bejme me nje monster te vertete, prandaj une pata deshire te shkruaj kete teme per te palajmeruar te gjithe IT shqiptare per kete rrezik. Ketu do tju jap disa nga nga menyrat se si ky worm punon dhe si mund ta parandalojme dhe ta identifikojme.

Atehere wormi sulmos sic thame sistemet Windows dhe cili eshte nje nga pjeset me vulnerabel te ketyre sistemeve? NetBIOS pasi sic e dime ne kohe me ane te stack overflow dhe Buffer overflow qe ky ka mund te shtrytezojme menyra pa fund per te shperndare dicka nepermjet rrjetit.

-Ne nje rast worm ka shfrytezuar nje Remote Code Execution i cili ben te mundur ekzekutimin e nje komande apo aplikacioni per pa kerkuar te drejta autentikimi.
-Rasti II
Conficker B perdor te njejten gje por nese ky bug eshte mbyllur fillon me brute force pra provon pass dhe username me rradhe me ane te nje fjalori.

-Rasti III
Perdor usb apo krijon dll te cilat te ekzekutojne autorun.

-Rasti IV
Eshte nje menyre qe perdor Conficker D qe realisht akoma nuk eshte zbuluar.

P.S Nese dikush gjen source kodin ta postoj, po nuk besoj pasi ne keto momente ate vetem mund ta blesh pasi nuk e gjen gjekundi.

Per te vazhduar te infektoi Worm vazdhon keto procedura:
-Bllokon Dns LookUp
-C’aktivizon AutoUpdate
-C’aktivizon Safe Mode
-Dhe mbyll proceset e anti malwareve
-Me pas kontrollon qe keto jane mbyllur.
Worm synon proceset explorer.exe dhe services.exe dhe si perfundim eshte lidhet me ane te p2p te serverat .
Fale vegles me te mire per security nmap ne mund ta detektojme kete worm me ane te kesaj komande:

nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns,smb-os-discovery --script-args safe=1 [targetnetworks]
Pas ekzekutimit aplikacioni ju informon me nje mesazh qe komjuteri eshte i infektuar apo jo.
Pra sic shohim te sulmuara jane portat 139 dhe 445.

Ndersa per nje analize me te detajuar te worm do ta gjeni ketu:
http://www.honeynet.org/files/KYE-Conficker.pdf
e shkruajtur nga gjenia Dan Kaminsky.

8 thoughts on “Conficker Worm

  1. Thnx per info eldo.

    Po te lexosh report ne .net thone se: Disa nga (AV) detect-ojne kete “kancer” 😛 , USB + k4spersky ose n0d32 = dhe shikojeni rezultatin…

    Ata/ai qe ka shkruar Conficker eshte Z0di4c i IT.

    ps: Vec nmap , Nessus eshte nje vegel sh e mire per Security Monitoring per ata qe e marrin seriozisht/personalisht ceshtjen 😛 .

  2. problemi eshte qe ky conficker po vazdhon te bej kerdine ne rrjet, dhe kjo vjen pasi ai ka disa versione A, B, C, D, E ,F. Do te kisha shum deshire te shihja si e kan programuar pra source kodin.

  3. Lol mendoja se nuk do te postoja me por ja qe me beni te postoj 😛
    Versioni i fundit i Kido, ben update automatikisht, programuesit e tij nuk e kishin menduar diçka te tille, por me susksesin qe paten thane “Pse te mos axhornojm vulnerabilitetet dhe metodat e perhapjes”?
    Per te pasur source kodin , eshte ca e veshtmire por jo e pamundur, tek ofensivecomputing gjithsesi mund te gjesh versionet dll.
    Meqenese te tjere e kane gjetur
    http://www.virustotal.com/analisis/1b8557969145f32854ee8b4b04e6d64f
    atehere do te thote qe egziston :) dhe mund te gjendet apo jo..
    Nese do pastaj te shkarkosh versionet e fundit vizito nje nga faqet qe jane te listuara ketu
    http://www.confickerworkinggroup.org/wiki/pmwiki.php/MAL/MaliciousSites
    Tek kjo faqa ke dhe goxha inforamacione.
    Pak beta testing mund ta gjesh ketu:
    http://www.offensivecomputing.net/?q=node/1129
    Zhvillimi i infeskionit == te patken keshtu thone:
    http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionTracking
    Ketu pastaj ke informacion shume me te detajuar se sa nje reversing qe mund te bejm ne, me kohen tone lol
    http://mtc.sri.com/Conficker/P2P/
    http://mtc.sri.com/Conficker/

  4. Ej me hape pune, mu desh te kontaktoja ca miq te vjeter per ta gjetur 😀 [;)] te gjeta versionin “ende ne stalle”
    , gjeje pak, ky version nuk eshte bere akoma publik, eshte i modifikuar normalisht kompatibel edhe per windwos 7 (kjo eshte e re).
    Ke dhe 6 versionet e tjera e wormit ne forme te egzekutueshme, versionin e ri e ke tek kido_iri.zip format dll.
    Per ti bere reversing eshte shume e veshtire pasi peson mutacione njeri nbas tjetrit, perveç kesaj ka kuthe anti-debugging e perveç kesaj ka edhe obfuscation te kodit ne forme sistematike. Per ti bere reversing mund te te ndihmoj paperi tek mtc.sri.com
    Enjoy
    http://albanianwizard.org/virii/k_i_d_o/kodi_mbas_reversing.txt
    http://albanianwizard.org/virii/k_i_d_o/Kujdes_Viruse_jo_shaka.zip
    E ke secilin ne arkiv dhete gjith ne kete arkiv te madh zip, keshtu qe mos u tremb.
    Hape me Linux, ose me ndonje virtual machine, ose me diçka qe mbrapa do e formatosh.
    Studjoi mire funksionet perpara se te fillosh te merresh me te.
    Meqenese ke deshire ta studjosh.
    Ps. eshte goxha nivel advanced.
    /out

  5. ej ju programatoret jeni te cuditshem por na sqaroni dhe ne injoranteve c’eshte kjo komanda nmap dhe ku futet se kompjuteri im nuk e ka fare

Leave a Reply

Your email address will not be published. Required fields are marked *