Virus cunoscut cauzeaza probleme noi

Specialistii laboratoarelor BitDefender® au detectat astazi un virus extrem de agresiv care se raspandeste prin exploatarea unei vulnerabilitati din Windows RPC Server Service, numit Win32.Worm.Downadup. Virusul nu este o noutate in piata, acesta fiind cunoscut si sub denumirea de Conflicker sau Kido, si a aparut pentru prima oara la sfarsitului lunii noiembrie 2008, exploatand vulnerabilitatea descrisa in buletinul de securitate MS08-067 pentru a obtine acces la directoare partajate in retele locale, cu scopul de a instala aplicatii antivirus false pe calculatoare infectate.

La sfarsitul lunii decembrie, laboratoarele BitDefender au descoperit Win32.Worm.Downadup.B, o noua versiune imbunatatita a acestui vierme, cu noi functionalitati.

Principala modalitate de raspandire este acum prin intermediul stickurilor USB, viermele avand posibilitatea de a se copia intr-un fisier aleatoriu creat in directorul RECYCLER, folosit de Recycle Bin pentru a stoca fisierele sterse. Ulterior, trece la crearea unui fisier executabil autorun.inf in directorul radacina , rularea acestuia (prin facilitatea Autorun din Windows) provocand inevitabil infectarea sistemului.

Virusul modifica de asemenea si anumite functionalitati in protocolul TCP pentru a bloca accesul la site-uri ce contin informatii despre amenintarile de securitate prin filtrarea fiecarei adrese introduse care contine anumite cuvinte cheie. Acest lucru ingreuneaza si mai mult procesul de eliminare de pe sistem al acestui virus, tinand cont de faptul ca sansele de a obtine informatii despre el de pe un calculator infectat sunt aproape nule. In plus, pentru a-si proteja fisierele create, virusul sterge orice drepturi de acces ale utilizatorului pe directorul in care rezida, cu exceptia executarii comenzilor si a folosirii directorului.

O alta imbunatatire fata de versiunea originala este faptul ca acum are posibilitatea de a evita detectia programelor antivirus prin utilizarea unor functii rar folosite din Windows APIa acestea nefiind de obicei implementate in emulatoare sau masini virtuale. Dar pentru o raspandire mai facila, virusul comanda dezinstalari ale update-urilor de Windows si oprirea anumitor functionalitati pentru traficul in retea.

Versiunea imbunatatita Win32.Worm.Downadup.B dispune de un algoritm de generare a numelor de domeniu, similar cu cel descoperit in retelele botnet precum Rustock, avand capacitatea de a compune 250 de noi nume in fiecare zi si de a verifica existenta unor actualizari sau a altor fisiere care pot fi descarcate si instalate.


Cu un sistem de actualizare de ultima generatie, o buna capacitate de auto-protejare si avand la indemana milioane de utilizatori care nu-si protejeaza corespunzator calculatoarele, acest vierme are potentialul de a deveni rivalul deja consacratelor retele virale precum Storm sau Srizbi.

Pentru mai multe informatii tehnice despre acest virus va rugam sa vizitati blogul Malwarecity sau sa consultati descrierea troianului realizata de BitDefender.