Friday, March 27, 2009

ALERT: Notification of Worm - W32.Downadup.C

NOTA MAKLUMAN GCERT BIL. 2/2009
PADA 25 MAC 2009

KETERANGAN ANCAMAN
Nama dan Jenis Ancaman
Worm W32.downadup.KK [Trend Micro]
W32.Downadup.C [Symantec]
Worm:W32/Downadup.DY [F-Secure]
Win32/Conficker.C [Computer Associates]
Mal/Conficker-B [Sophos]

Tarikh Dikesan
18 Mac 2009

Bilangan Agensi TerlibatSemua agensi yang menggunakan sistem pengoperasian Microsoft Windows

Sistem Pengoperasian/Aplikasi Berisiko
* Ms Windows 95
* Ms Windows 98
* Ms Windows NT
* Ms Windows Me
* Ms Windows XP
* Ms Windows 2000
* Ms Windows Vista
* Ms Windows Server 2003

Kaedah Serangan
i. Worm W32.downadup.KK merebak dengan mengeksploitasi kelemahan pada sistem pengoperasian Microsoft Windows yang tidak dilengkapi dengan tampalan keselamatan (security patch) MS08-067.
ii. Worm ini dipercayai akan mula aktif pada 1 April 2009. Ia akan menyerang komputer dengan cara:
a. Connects to various time servers to determine the current date and time.
b. Register itself as a system service to ensure auto execution every startup.
c. Deletes a registry key to prevent system startup in safe mode.
d. Terminates security-related processes (i.e. procexp, regmon, autoruns, gmer etc.)
e. Blocks access to security and antivirus websites.
f. Generates 50,000 malicious URLs and attempts to connect to around 500 random generated URLs at a time.

Kesan Serangan
i. Worm ini boleh menyebabkan serangan/pencerobohan yang lebih parah ke atas komputer/server memandangkan ia mampu mematikan ciri-ciri keselamatan pada komputer/server.

Cadangan Tindakan Pengukuhan
i. Memasang patch MS08-067 dari Microsoft (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx).
ii. Memastikan perisian antivirus dilengkapi dengan virus signature yang terkini dan jalankan full system scan.
iii. Memastikan semua storan mudah alih (removable storage) di imbas terlebih dahulu sebelum digunakan; cth: USB drive, mobile hard disk, dll.
iv. Memastikan HIPS dan perlindungan buffer overflow diaktifkan.
v. Memastikan imbasan masa sebenar (real-time scanning) dan imbasan ‘on write’ diaktifkan

Maklumat Lanjut
1. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_DOWNAD.KK&VSect=T
2. http://www.sophos.com/security/analyses/viruses-and-spyware/malconfickerb.html
3. http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx
4. http://gcert.mampu.gov.my/index.php?option=com_content&task=view&id=487&Itemid=1
written by at

1 comment:

nifi a.k.a beliamuda said...

komputer anda tak dijangkiti ke?

30 March, 2009

Post a Comment

Subscribe to: Post Comments (Atom)