Специалисты IBM из подразделения X-Force разработали специальный алгоритм для Proventia Intrusion Prevention System, помогающий находить агентов Conficker.C, а также блокировать их соединения.
Как сообщает сайт Cybersecurity.ru, новый алгоритм является дополнением к имеющейся у клиентов действующей защите от Conficker.A и Conficker.B. Этот защитный алгоритм полностью блокирует дальнейшее распространение вредоносного кода, когда он старается использовать уязвимость Windows (MS08-067).
Conficker – это сетевой червь, который нацелен на рабочие станции. Он формирует инфраструктуру бот-сетей, использующуюся злоумышленниками, которая может быть использована для рассылки спама или хищения персональной информации с компьютера. Заражение ПК приводит к существенной потере пользователем своего рабочего времени, а также к возможному инфицированию других сетевых объектов.
Распространение Conficker реализуется при помощи нескольких механизмов:
– использование уязвимости в Windows (MS08-067)
– загрузка вируса со съемных накопителей или из сети
– загрузка вируса через публичные сетевые ресурсы со слабым паролем.
Самая новая вариация этого червя эксплуатирует соединения с применением шифрования. Эксперты X-Force взломали и раскрыли данный алгоритм шифрования. Разработанный механизм защиты находит все существующие варианты Conficker, использующие названный канал для связи. Сигнатуры выглядят так: Conficker_P2P_Protection и Conficker_P2P_Detected. В свою очередь, продукты Proventia IPS могут закрыть уязвимость в Windows, которую использует этот червь: предупреждение выдает данные о нужной сигнатуре, которая требуется для работы с описываемой уязвимостью.
