Kaspersky, OpenDNS Collaborate to Slow Conficker Worm

OpenDNS добавила функцию к своим службам доменных имен (DNS) для борьбы с широко распространенным червем с помощью российской охранной компании «Лаборатория Касперского».

OpenDNS имеет собственную сеть DNS-серверов, которая переводит доменные имена в IP-адрес (Интернет-протокол), поэтому, например, веб-сайты могут отображаться в браузере. Компания заявляет, что ее система работает быстрее, чем использование DNS-серверов, выполняемых провайдерами интернет-услуг (ISP), и обеспечивает лучшую защиту от фишинга, а также другие функции, такие как фильтрация веб-контента.

Теперь OpenDNS использует список веб-сайтов, «Лаборатория Касперского», которую червь Conficker требует обновить. Считается, что червь, также известный как Kido и Downandup, заразил до 10 миллионов компьютеров, используя уязвимость в Microsoft Windows Server Service, несмотря на то, что Microsoft выпустила аварийный патч в октябре прошлого года.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Conficker содержит алгоритм, который ежедневно генерирует десятки новых доменных имен. Хакеры, контролирующие Conficker, могут зарегистрировать одно из этих доменных имен, а затем поместить инструкции или обновления для вредоносного ПО на веб-сайт для Conficker для загрузки при его проверке.

Проблема в том, что никто не знает, какой веб-сайт будет активирован следующим образом, или когда. Тем не менее, алгоритм был взломан Kaspersky, поэтому они знают, какие веб-сайты потенциально могут жить.

Механизм также используется другими контроллерами ботнета. Трудно остановить профессионалов в области безопасности, хотя недавно одна служба безопасности столкнулась с проблемой регистрации всех потенциальных доменных имен, чтобы заблокировать обновления для другой бот-сети.

OpenDNS работает над этой проблемой, беря список потенциальных доменов из Kaspersky, который Conficker мог вызвать и не позволял им разрешать. Это означает, что если ПК с использованием OpenDNS заражен Conficker, вредоносное ПО не должно обновляться. Тем не менее, вредоносное ПО по-прежнему будет находиться на ПК.

OpenDNS также добавила к своей службе функцию защиты от ботов, которая предупредит администраторов, если у них есть зараженный компьютер.

Conficker оказался одним из самых серьезных червей в последнее время. Инфекции быстро распространились с прошлого года. Системы становятся зараженными, когда хакер создает вредоносный удаленный вызов процедур (RPC) на незагруженный сервер, который затем позволяет произвольному коду запускаться на машине. Conficker также использует другие методы распространения, в том числе пытается скопировать себя на другие общие сетевые машины, угадывая пароли

До сих пор контроллеры Conficker не делали ничего вредоносного с бот-сетью. Аналитики безопасности внимательно следят за ситуацией из-за огромных размеров ботнета, которые, возможно, пугали его контроллеры от попыток использовать его для атак типа «отказ в обслуживании» или отправки спама.

Сервисы OpenDNS бесплатны. Компания зарабатывает деньги показывая рекламу рядом с результатами поиска, если кто-то вводит недопустимое доменное имя. Тем не менее, OpenDNS будет исправлять опечатки в именах доменов, если служба может угадать, какой сайт кто-то намеревается посетить.