W32.Duqu







Rilevato: 18 ottobre 2011
Aggiornamento: 19 Ottobre 2011 10:25:53
Conosciuto anche come: TROJ_SHADOW.AF [Trend]
Tipo: Worm
Sistemi interessati: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Quando il worm viene eseguito, crea uno o più dei seguenti file:
  • % SystemDrive% \ System32 \ drivers \ jminet7.sys
  • % SystemDrive% \ System32 \ drivers \ cmi4432.sys
  • % SystemDrive% \ inf \ cmi4432.pnf
  • % SystemDrive% \ inf \ cmi4464.PNF
  • % SystemDrive% \ inf \ netp191.PNF
Vengono creati quindi una o più seguenti chiavi di Registro:
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ JmiNET3
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ cmi4432
Il worm apre una backdoor che permette ad un attaccante di raccogliere le seguenti informazioni dal computer infetto:
  • Un elenco di processi in esecuzione, dettagli del conto e le informazioni sul dominio
  • I nomi di unità e di altre informazioni, comprese quelle di unità condivise
  • Screenshot
  • Rete di informazioni (interfacce, tabelle di routing, elenco azioni, etc)
  • Battiture
  • Nomi delle finestre aperte
  • Parti enumerate
  • Esplorazione del file su tutte le unità, comprese le unità rimovibili
  • Enumerazione dei computer del dominio attraverso NetServerEnum
Il worm quindi invia le informazioni raccolte a un predeterminato server del comando e controllo (C & C). Vengono scaricati anche altri file dannosi dal sever C & C.

Raccomandazioni
Symantec Security Response incoraggia tutti gli utenti e amministratori di osservare le seguenti norme fondamentali di sicurezza "buone pratiche":
  • Utilizzare un firewall per bloccare tutte le connessioni in ingresso da Internet ai servizi che non dovrebbero essere disponibili al pubblico. Per impostazione predefinita, si dovrebbero negare tutte le connessioni in entrata e permetterli solo ai servizi che esplicitamente si vuole offrire al mondo esterno.
  • Applicare una politica di password. Password complesse rendono più difficoltoso l'accesso a file protetti su computer compromessi. Questo aiuta a prevenire o limitare i danni quando un computer è compromesso.
  • Assicurarsi che i programmi e gli utenti del computer utilizzano il più basso livello di privilegi necessari per completare un compito. Quando viene richiesta una password di root o UAC, assicurarsi che il programma che chiede l'accesso all'amministrazione è un'applicazione legittima.
  • Disabilitare AutoPlay per evitare il lancio automatico dei file eseguibili in rete e le unità rimovibili, e scollegare le unità quando non è necessario. Se l'accesso in scrittura non è necessario, attivare modalità di sola lettura se l'opzione è disponibile.
  • Disattivare la condivisione di file, se non necessario. Se la condivisione file è necessaria, utilizzare le ACL e la protezione tramite password per limitare l'accesso. Disabilitare l'accesso anonimo alle cartelle condivise. Concedere l'accesso solo agli account utente con password di cartelle che devono essere condivise.
  • Spegnere e rimuovere i servizi non necessari. Per impostazione predefinita, molti sistemi operativi installano servizi ausiliari che non sono critici. Questi servizi sono le vie per l'attacco. Se vengono rimossi, le minacce hanno meno vie per l'attacco.
Per ulteriori informazioni sui termini utilizzati in questo documento, si prega di consultare il Security Response Glossary.

Documento di: Poul Jensen
alle
Etichette: , , , , ,

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)