Conficker

Conficker

Conficker (также известен как Downup, Downadup и Kido) — один из опаснейших из известных на сегодняшний день компьютерных червей. Вредоносная программа была написана на Microsoft Visual C++ и впервые появилась в сети 21 ноября 2008. Атакует операционные системы семейства Microsoft Windows (от Windows 2000 до Windows 7 и Windows Server 2008 R2). На январь 2009 вирус поразил 12 миллионов компьютеров во всём мире. 12 февраля 2009 Microsoft обещал 250 000 долларов за информацию о создателях вируса[1].

Эпидемия стала возможной в результате того, что значительная часть пользователей оказалась подвержена уязвимостям, ранее устраненным критическими обновлениями MS08-067[2], MS08-068[3] и MS08-069[4].

Содержание

Название

Название «Conficker» происходит от англ. configuration (конфигурация) и нем. ficker (груб. участник полового акта, сравн. англ. fucker). Таким образом, Conficker — «насильник конфигураций».

Принципы работы

Столь быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из Интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам.

Также он может распространяться через USB-накопители создавая файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например: c:\windows\system32\zorizr.dll. Также, прописывает себя в сервисах со случайным именем, состоящим из латинских букв.

Червь использует уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. Первым делом он отключает ряд служб: автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting, а также блокирует доступ к сайтам ряда производителей антивирусов.

Периодически червь случайным образом генерирует список сайтов (около 50 тыс. доменных имён в сутки), к которым обращается для получения исполняемого кода. При получении с сайта исполняемого файла червь сверяет электронно-цифровую подпись и, если она совпала, исполняет файл.

Кроме того, червь реализует P2P-механизм обмена обновлениями, что позволяет ему рассылать обновления удалённым копиям, минуя управляющий сервер.

Симптомы заражения

  1. Отключены и/или не включаются службы:
    • Windows Update Service
    • Background Intelligent Transfer Service
    • Windows Defender
    • Windows Error Reporting Services
  2. Блокируется доступ компьютера к сайтам производителей антивирусов
  3. При наличии заражённых компьютеров в локальной сети повышается объём сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
  4. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
  5. Компьютер начинает очень медленно реагировать на действия пользователя, при этом Диспетчер Задач сообщает о 100%-ом использовании ресурсов ЦП процессом svchost.exe.
  6. блокируется служба IPSec. Как следствие нарушение работы сети.

Борьба с вирусом

В предупреждении заражения вирусом и его уничтожении с заражённых компьютеров принимали участие такие корпорации, как Microsoft, Symantec, Dr.Web, ESET, Kaspersky Lab, Panda Security, F-Secure, AOL и другие. Тем не менее, опасность сохраняется по сей день, так как вирус постоянно мутирует, поэтому, чтобы предупредить заражение компьютера, нужно регулярно обновлять систему и антивирусные базы сигнатур.

Также каждый пользователь должен знать, что если компьютер уже инфицирован вирусом — обновление может не помочь. Вот почему для полного удаления червя рекомендуется использовать специальные утилиты самых свежих версий.

Ущерб

По мнению компании McAfee, ущерб нанесённый вирусом сетевому сообществу оценивается в $9,1 млрд., и уступает лишь ущербу, причинённому такими почтовыми червями, как MyDoom ($38 млрд.) и I LOVE YOU ($15 млрд.)[5].

Примечания

  1.  (англ.) Conficker Worm: Help Protect Windows from Conficker, 10 апреля 2009
  2. Бюллетень по безопасности Microsoft MS08-067
  3. Бюллетень по безопасности Microsoft MS08-068
  4. Бюллетень по безопасности Microsoft MS09-001
  5. McAfee, A Good Decade for Cybercrime, (pdf), (англ).

Ссылки


Wiki letter w.svg
 Для улучшения этой статьи желательно?:
  • Найти и оформить в виде сносок ссылки на авторитетные источники, подтверждающие написанное.

Wikimedia Foundation. 2010.

Игры ⚽ Нужно сделать НИР?

Полезное


Смотреть что такое "Conficker" в других словарях:

  • Conficker — Common name Aliases Mal/Conficker A(Sophos) Win32/Conficker.A (CA) W32.Downadup (Symantec) W32/Downadup.A (F Secure) Conficker.A (Panda) Net Worm.Win32.Kido.bt ( …   Wikipedia

  • Conficker — (auch bekannt unter Downup, Downadup, kido und Worm.Win32/Conficker) ist ein Computerwurm, der erstmals im November 2008 registriert wurde. [1] Der Wurm soll auch als Dumprep bekannt sein. Im Zusammenhang mit Dumprep existiert das Problem, dass… …   Deutsch Wikipedia

  • Conficker — Conficker, también conocido como Downup, Downandup y Kido, es un gusano informático que apareció en octubre de 2008, que ataca el sistema operativo Microsoft Windows.[1] El gusano explota una vulnerabilidad en el servicio Windows Server usado por …   Wikipedia Español

  • Conficker — (connu aussi sous les noms de Downup, Downandup et Kido) est un ver informatique qui est apparu fin novembre 2008[1]. Ce ver exploite une faille du Windows Server Service utilisé par Windows 2000, Windows XP, Windows Vista, Windows 7, Windows… …   Wikipédia en Français

  • Conf*cker — Conficker (auch bekannt unter Downup, Downadup, Kido und Worm.Win32/Conficker) ist ein Computerwurm, der Oktober 2008 auftauchte. Er infiziert mit dem Betriebssystem Microsoft Windows ausgerüstete Computer, wobei hauptsächlich die Version Windows …   Deutsch Wikipedia

  • Downadup — Conficker (auch bekannt unter Downup, Downadup, Kido und Worm.Win32/Conficker) ist ein Computerwurm, der Oktober 2008 auftauchte. Er infiziert mit dem Betriebssystem Microsoft Windows ausgerüstete Computer, wobei hauptsächlich die Version Windows …   Deutsch Wikipedia

  • Downup — Conficker (auch bekannt unter Downup, Downadup, Kido und Worm.Win32/Conficker) ist ein Computerwurm, der Oktober 2008 auftauchte. Er infiziert mit dem Betriebssystem Microsoft Windows ausgerüstete Computer, wobei hauptsächlich die Version Windows …   Deutsch Wikipedia

  • Con****er — Conficker Cet article fait partie de la série Programmes malveillants Virus Cabir MyDoom.A Tchernobyl Y …   Wikipédia en Français

  • Conf*cker — Conficker Cet article fait partie de la série Programmes malveillants Virus Cabir MyDoom.A Tchernobyl Y …   Wikipédia en Français

  • Dan Kaminsky — Kaminsky in 2007. Occupation Computer security researcher Known for Discovering the 2008 DNS cache poisoning vulnerability Dan Kam …   Wikipedia


Поделиться ссылкой на выделенное

Прямая ссылка:
Нажмите правой клавишей мыши и выберите «Копировать ссылку»