• Win32.Worm.Downadup foloseşte noi metode de a se răspândi fără a mai fi detectat cu uşurinţă
Specialiştii laboratoarelor BitDefender au detectat astăzi un virus extrem de agresiv care se răspândeşte prin exploatarea unei vulnerabilităţi din Windows RPC Server Service, numit Win32.Worm.Downadup. Virusul nu este o noutate în piaţă, acesta fiind cunoscut şi sub denumirea de Conflicker sau Kido, şi a aparut pentru prima oară la sfârşitului lunii noiembrie 2008, exploatând vulnerabilitatea descrisa in buletinul de securitate
MS08-067 pentru a obţine acces la directoare partajate în reţele locale, cu scopul de a instala aplicaţii antivirus false pe calculatoare infectate.
La sfârşitul lunii decembrie, laboratoarele BitDefender au descoperit Win32.Worm.Downadup.B, o nouă versiune îmbunătăţită a acestui vierme, cu noi funcţionalităţi. Principala modalitate de răspândire este acum prin intermediul stickurilor USB, viermele având posibilitatea de a se copia într-un fişier aleatoriu creat în directorul RECYCLER, folosit de Recycle Bin pentru a stoca fişierele şterse. Ulterior, trece la crearea unui fişier executabil autorun.inf în directorul rădăcina , rularea acestuia (prin facilitatea Autorun din Windows) provocând inevitabil infectarea sistemului.
Virusul modifică de asemenea şi anumite funcţionalităţi în protocolul TCP pentru a bloca accesul la site-uri ce conţin informaţii despre ameninţările de securitate prin filtrarea fiecărei adrese introduse care conţine anumite cuvinte cheie. Acest lucru îngreunează şi mai mult procesul de eliminare de pe sistem al acestui virus, ţinând cont de faptul că şansele de a obţine informaţii despre el de pe un calculator infectat sunt aproape nule. În plus, pentru a-şi proteja fişierele create, virusul şterge orice drepturi de acces ale utilizatorului pe directorul in care rezidă, cu excepţia executării comenzilor şi a folosirii directorului.
O altă îmbunătăţire faţă de versiunea originală este faptul că acum are posibilitatea de a evita detecţia programelor antivirus prin utilizarea unor functii rar folosite din Windows APIa acestea nefiind de obicei implementate în emulatoare sau maşini virtuale. Dar pentru o răspândire mai facilă, virusul comandă dezinstalări ale update-urilor de Windows şi oprirea anumitor funcţionalităţi pentru traficul în reţea.
Versiunea îmbunătăţită Win32.Worm.Downadup.B dispune de un algoritm de generare a numelor de domeniu, similar cu cel descoperit în reţelele botnet precum Rustock, având capacitatea de a compune 250 de noi nume în fiecare zi şi de a verifica existenţa unor actualizări sau a altor fişiere care pot fi descărcate şi instalate.
Cu un sistem de actualizare de ultimă generaţie, o bună capacitate de auto-protejare şi având la îndemână milioane de utilizatori care nu-şi protejează corespunzător calculatoarele, acest vierme are potenţialul de a deveni rivalul deja consacratelor reţele virale precum Storm sau Srizbi.