Novi crv koji se širi Internetom i mrežama u preduzećima

Crv W32.Downadup.A je prvi koji je otkriven da uspešno koristi ranjivost MS08-067 u širem smislu. Symantec je izvršio analizu ove pretnje i utvrdio da crv generiše 250 slučajnih domen adresa svaki dan, u nastojanju da ih upotrebi kasnije radi preuzimanja i izvršavanja novih verzija. Ovo je interesantna i sve popularnija tehnika koju koriste autori malizioznog koda.

Ono što je takođe interesantno kod metode preuzimanja binarnog ažuriranja za crv jeste da je Symantec iskoristio da proceni širenje infekcije i rasprostranjenost po operativnim sistemima. Tokom jedne nedelje, Symantec je detektovao preko tri miliona jedinstvenih IP adresa u pokušaju da ažuriraju crv. Analizom zahteva došlo se i do distribucije po inficiranim operativnim sistemima.

Preko 500,000 inficiranih računara je upravo sa ovom verzijom OS-a. Odmah iza njega je bio Windows XP SP2 i kasniji. Windows 2000 i Windows 2003 imaju sličan broj infekcija.

Verujemo da je način propagacije W32.Downadup.A veoma agresivan. Ovaj crv će nastaviti da se širi i dalje, a putem mehanizma ažuriranja moći će da uzima nove oblike i verzije. Symantec je otkrio novu verziju ovog crva 30. decembra 2008.g., označenu kao W32.Downadup.B. Nova verzija sadrži dodatne načine propagacije i izmenjen način generisanja domena. Još novija verzija, W32.Downadup!autorun se pojavila 7. januara 2009.g. Upravo zahvaljujući načinu preuzimanja novih verzija samog crva, treba očekivati još varijanti.

Nova verzija, nazvana W32.Downadup.B, koja se pojavila 30. decembra širi se ne samo korišćenjem ranjihosti Microsoft Windows Server Service RPC Handling Remote Code Execution, već i putem mrežnih deljenih diskova i USB-ova (autorun) i koristeći slabe šifre. Ovi načini propagacije nisu ništa novo; W32.Spybot, W32.Randex i W32.Mytob varijante koriste skoro identične metode za širenje, ali ova varijanta zahteva više napora da se zaštite mreže u preduzećima.

W32.Downadup.B kreira autorun.inf fajl na svim mapiranim diskovima tako da se crv pokrene čim se diskovima pristupi. Dalje, crv prati diskove priključene na zaražen računar kako bi kreirao novi autorun.inf fajl na svaki disk koju mu postane dostupan. Crv takođe prati i DNS zahteve koji sadrže definisane reči i blokira pristup tim domenima tako da izgleda kao da mreža ne radi. Ovo znači da zaraženi korisnici možda neće moći da ažuriraju svoje antiviruse sa tih web sajtova. Ovo može biti problem jer autor crva konstantno kreira nove verzije i varijante.

Symantec istraživački centri detektuju obe verzije ovih crva W32.Downadup i W32.Downadup.B u povećanom broju. Kao što je ilustrovano na mapama širenja infekcija u poslednjih 60 dana, infekcije se geografski šire sve više. Više rate infekcija tipično odgovaraju zemaljama gde se više koristi Internet.