Nowości z laboratorium wirusów

Avast wskaże, czy Twój komputer jest  zagrożony WannaCry.

Funkcja Avast Kontrola Wi-Fi skanuje urządzania w poszukiwaniu luki bezpieczeństwa wykorzystanej przez WannaCry lub Adylkuzz.

Analiza i wpis na blog:  Pavel Sramek, David Jursa, Lukas Rypacek

Skanowanie komputera przy użyciu funkcji Kontrola Wi-Fi programu Avast, może ujawnić, czy komputer jest podatny na zagrożenia oraz czy nie został zainfekowany przez exploit. Co więcej potrafi wskazać, czy pozostałe PC podłączone do sieci (bez względu na to, czy są chronione przez Avast, czy nie) nie są przypadkiem zainfekowane.


Niedawny atak ransomware WannaCry i Adylkuzz był możliwy dzięki exploitowi znanemu jako EternalBlue. Wykorzystywały lukę w zabezpieczeniach MS17-010 w funkcji Udostępnianie plików i drukarek Windows (implementacja protokołu SMB). WannaCry i Adylkuzz celowały w każdego, kto nie zainstalował łatek w zabezpieczeniach, wydanych przez Microsoft w marcu.

Użytkownicy systemu Windows XP oraz systemu operacyjnego z roku 2014, byli szczególnie narażeni na ataki, pozostając bez możliwości obrony, dopóki firma Microsoft nie wydała poprawki dla starszych systemów operacyjnych.

avast_wifi_inspector_wannacry2.png

Wiele z urządzeń jest nadal narażonych na atakiAvast_PCs_vulnerable_EternalBlue.png

Dane,zgromadzone w dniach 8 - 18 maja, pochodzące z analiz przeprowadzonych przez funkcję Avast Kontrola Wi-Fi, pokazują, że komputery osobiste na całym świecie wciąż są narażone na działanie luki EternalBlue (zobacz mapę powyżej). Od ostatniego piątku liczba komputerów z luką w zabezpieczeniach zmniejszyła się, ale nadal istnieje wiele urządzeń, które są podatne na zagrożenia. Komputery z usterką EternalBlue są narażone na zainfekowanie złośliwym oprogramowaniem, np. WannaCry ransomware i Adylkuzz.

Poniżej przedstawiono podział średniej globalnej w ciągu ostatnich tygodni, ze względu na obecność luki w zabezpieczeniach dla różnych systemów operacyjnych Windows:

    • Windows XP:74.23%
    • Windows Vista: 68,11 %
    • Windows 7: 54.84%
    • Windows 8: 21.89%
    • Windows 10: 4.22%

Czym są EternalBlue oraz DoublePulsar?

EternalBlue odnosi się do krytycznego błędu w kodzie Microsoft Windows, który jest co najmniej tak stary, jak sam system Windows XP. Błąd umożliwia osobie atakującej zdalne wykonanie kodu, poprzez spreparowanie polecenia współdzielenia plików oraz dostępu do drukarki. Błąd lub exploit był prawdopodobnie odkryty przez NSA, który nadał mu nazwę "EternalBlue" i trzymał ją w tajemnicy. Ponieważ został ujawniony firmie Microsoft, luka jest znana również z jego identyfikatora CVE, CVE-2017-0143.

NSA utworzyło backdoorowe narzędzie do eksploatacji EternalBlue, z zamiarem utrzymania komputerów w ryzach i sprawdzania ich od czasu do czasu, nie pozostawiając po sobie śladu w systemach. Moduł Avast, kontrola Wi-Fi zauważył exploit DoublePulsar na 22 814 komputerach, podatnych na infekcję, przy wykorzystaniu luki EternalBlue w sieci, do której są podłączone urządzenia z Avast. Żadna akcja użytkownika nie jest potrzebna, aby komputer został zainfekowany. Wystarczy, że narażone urządzenie ma włączoną funkcję Udostępnianie plików i drukarek i jest podłączone do sieci. DoublePulsar siedzi na zainfekowanym komputerze i słucha poleceń każdego, kto ma do niego dostęp i może pobrać i uruchomić dowolne narzędzie szpiegujące lub inne złośliwe oprogramowanie.

Wyobraźmy sobie, że błąd w protokole Udostępniania plików i drukarek, jest jak jak błąd w projekcie drzwi, który powoduje, że istnieje luka między drzwiami a futryną. Drzwi z wadą zostały zainstalowane w milionach domów na całym świecie. Błąd sprawia, że domy są podatne na włamanie. EternalBlue jest łomem, który pasuje do luki i pozwala otworzyć drzwi. DoublePulsar to tylne wejście. Przypomina coś na kształt klamki, która może być zaklinowana w szczelinie, pozostawiając ją uchyloną, tak aby można było uzyskać dostęp przez główne drzwi. Dzięki temu każdy z zewnątrz może otworzyć drzwi i uzyskać dostęp do domów. DoublePulsar i EternalBlue wyciekły z NSA 17 kwietnia 2017 roku. Wcześniej Microsoft wydał w marcu zalecenie dotyczące zabezpieczeń (MS17-010) oraz poprawkę, która zamyka lukę EternalBlue. W ostatni piątek, 12 maja 2017, ransomware WannaCry, wykorzystując luki EternalBlue oraz DoublePulsar, rozprzestrzeniał się jako robak, zarażając komputery na całym świecie.

Co należy zrobić?

Aby dowiedzieć się, czy komputer jest podatny na zagrożenia, pobierz Avast (jeśli jeszcze z niego nie korzystasz) i uruchom skanowanie przy pomocy modułu Avast Wi-Fi Kontrola.

W tym celu otwórz program Avast Antivirus, kliknij "Ochrona", a następnie "Wi-Fi Kontrola" i kliknij "Skanowanie sieci", aby uruchomić skanowanie. Jeśli skanowanie pokazuje komputer lub inny komputer w sieci (nawet komputery osobiste, na których nie zainstalowano programu Avast) jako "narażeni na" WannaCry / DoublePulsar "", kliknij przycisk "Kieruj się wskazówkami". 

vulnerable-ms17-010-1.png