Conficker

içeren tüm gürültüyle, bilgisayarınızı 1 Nisan’da sıvı sıcak magma içine çevirerek, gerçekten bazı olumlu haberler var. Honeynet işinden gelen araştırmacılar solucana uyuyorlardı, çünkü enfeksiyonlar 2008 yılının sonlarında başladı. Son zamanlarda enfekte olmuş sistemleri uzaktan belirlemek için basit bir yöntem buldular. Conficker, enfeksiyon sırasında MS08-067 güvenlik açığını düzeltmeye çalışır. Yayındaki bir kusur, hem açılmamış bir sistemden hem de resmi olarak yamalı bir sistemden farklı bir şekilde yanıt verecek şekilde cihazı tetikler. Bu bilgiyi kullanarak, ekip, enfekte makineleri keşfetmek için Python’da fikir ağ tarayıcısının bir kanıtı kurdu. [Rich Mogull] ‘nin ön yayını içinde keşfedebilirsiniz. [Dan Kaminisky], yeni imzayı içeren NMAP’nin SVN sürümünün nasıl geliştirileceği gibi tam olarak bir EXE olarak paketlendi. Diğer ağ tarayıcı satıcıları kodu da ekliyorlar.

Bu algılama koduyla birlikte, ekip de aynı şekilde beyaz tablolara düşmanınızı anlayın: conficker içeren. Conficker’i ortadan kaldırmanın yanı sıra tespit etme yöntemlerini tartışır. Bunu, Conficker’in dinamik etki alanı üretimini diğer şeyler arasında kapsayan bir takım bırakma ile entegre ettiler.