Conficker riconosce le VM ed altro ancora..
Vi segnalo due interessanti post sul sito SANS Internet Storm Center dove è messo in evidenza un particolare aspetto del comportamento e dell'intelligenza di Conficker. Infatti, stando a quanto affermato nel post, il noto worm è in grado di rilevare se l'OS attaccato è in esecuzione come VM (Microsoft, VMWare ecc. ) oppure no.
La tecnica adottata dall'analista per rilevare questo comportamento è, ovviamente, quella del reverse enginerring. Ulteriori approfondimenti hanno messo in evidenza altri comportamenti che rivelano quanto conficker sia evoluto. Uno per tutti, Conficker effettua il pacthing della macchina...
Ecco i post:
More tricks from Conficker and VM detection
Some tricks from Conficker's bag
Per domande e commenti sul forum di ISAserver.it, non perdete i prossimi Technical Days su Bologna ed i webcast.
Luca
Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
Riferimenti
Download VBS per bloccare conficker con ISA Server |
KB962007 - Avviso relativo al virus worm Win32/Conficker.B
KB890830 - Lo Strumento di rimozione malware per Microsoft Windows...
Conficker Worm: Protect Windows from Conficker.A and Conficker.B
MS08-067: possibile esecuzione di codice in modalità remota a causa di una vulnerabilità relativa al servizio Server
Considerazioni per un efficace contenimento dell'infezione Conficker.B - Feliciano Intini (MS)
SANS Internet Storm Center
0 Comments:
Posta un commento
<< Home