[MASOCH-L] Conficker

Ricardo Rodrigues rcr.listas at ig.com.br
Thu May 21 16:10:41 BRT 2009


(OBS: Estou mudando o subject para tratarmos especificamente sobre o
Conficker e não "desvirtuar" o thread aberto pelo Jonatas.)

Exatamente. Funciona assim:

Os usuários de uma determinada rede estão infectados pelo Conficker. O
Conficker vai continuar tentando infectar outros clientes e tentar
buscar as "instruções de ataque" nos servidores C&C. Diariamente o
algoritmo do Conficker gera 50.000 novos domínios dentre os quais ele
escolhe alguns para verificar se há "novas instruções". A lista de
domínios atualmente tem aproximadamente 5M de domínios. Configurando o
DNS com estes domínios, você evita que o Conficker acesse estes
domínios.

Há relatos públicos de que o Conficker está sendo usado para enviar
SPAM. Se ele ficar "apenas no SPAM", menos mal. Já imaginou se o
Conficker faz um ataque DOS aos seus servidores DNS? Ou esta: já
imaginou se o Conficker é usado para fazer um ataque cache poisoning?

Estima-se que o Conficker tenha entre 10 e 15 milhões de PC's
infectados. Se cada um destes PC's enviar 01 (UM) pacote DNS UDP
'spoofado' ao seu DNS caching (simulando um ataque cache poisoning) a
cada segundo, serão 10 milhões de requisições DNS chegando em seu
servidor. Por segundo!

Não identificar e combater o Conficker é deixar uma "bomba-relógio"
dentro da sua rede.

Abs,
Ricardo



2009/5/21 Julio Arruda <jarruda-gter at jarruda.com>:
> Eduardo Schoedler wrote:
>>
>> Olá Ricardo.
>>
>> Por favor, forneça mais detalhes sobre essa lista de 5M de domínios.
>> Eles não fornecem nenhuma RBL para a gente consultar dos servidores de
>> e-mail ?
>> Já seria uma grande coisa.
>
>
> Ele esta falando dos C&C. Nao se aplica para os bots (que obviamente nao tem
> dominios registrados pelos sujeitos :-).
>
>


More information about the masoch-l mailing list