Pozor na červa Win32/Conficker!

Ze serveru Viry.cz (doplněno odkazy na stažení záplat): V posledních dnech se velice daří červu Win32/Conficker, který zneužívá mimo jiné kritickou bezpečnostní chybu v operačním systému Windows, která je popsána v bulletinu MS08-067. Chyba se motá okolo služby SERVER, která zajišťuje provoz síťově sdílených adresářů. Jde tedy o stěžejní síťovou funkci Windows, která se využívá snad i v té nejmenší firemní síti (v této souvislosti je využito i sdílení ADMIN$, více níže). Novější varianty červa se s radostí pouštějí i do zneužívání chyb popsaných v MS08-068 a MS09-001 (vyberte si vaši verzi windows a před stažením záplaty si změňte jazyk na češtinu.) Společné mají tyto chyby jedno: umožňují "Remote Code Execution", tedy i spuštění škodlivého programu na PC bez vědomí uživatele. To je tedy hlavní způsob šíření po internetu a taktéž v rámci sítě LAN. Dalším způsobem šíření je klasické použití souboru autorun.inf, který ukládá na přenosné disky (USB klíče - "flešky") a namapované síťové disky. Windows pak standardně při přístupu k takovému disku (v případě "flešky" stačí médium připojit k PC) spustí EXE soubor (v tomto případě infikovaný), který je z tohoto řídícího autorun.inf prolinkován. V neposlední řadě je tu i způsob šíření skrze systémové sdílení ADMIN$. Pokud červ Conficker nalezne funkční uživ. jméno a heslo pro přístup skrze ADMIN$ (používá několik metod včetně slovníkového útoku), získává tak přístup do složky C:\WINDOWS na vzdáleném PC, čehož okamžitě využívá. Do WINDOWS\SYSTEM32 vkládá infikovaný soubor a pomocí nové úlohy v plánovači úloh zajistí jeho brzké spuštění.

Celý článek čtěte na viry.cz a zkontrolujte si svoje wokna, hlavně máte-li provedeny všechny aktualizace, hlavně ty bezpečnostní. Jinak s vámi bude ámen. Pro uživatele, jejichž počítač není zapojen do počítačové sítě ještě jednu radu: vypněte službu Server pomocí správy počítače. Pokud se ve věci neorientujete, požádejte někoho zkušeného, který může použít třeba i článek Systémové služby Windows. Nastavování spouštění či zákaz služeb si může dovolit jen někdo, kdo o věci něco ví. Doporučuji si udělat zálohu systému neboli bod obnovení.
17.1.2009 12:10 [Trvalá adresa tohoto článku.]

Některé odkazy na cizí zdroje nemusí být s ohledem na časový odstup funkční.