Conficker

Conficker
Conficker
Полное название (Касперский)	Net-Worm.Win32.Kido.bt
Тип	сетевой червь, ботнет
Год появления	2008 год
Используемое ПО	уязвимость в критическом обновлении MS08-067
	Описание Symantec
	Медиафайлы на Викискладе

Conficker (также известен как Downup, Downadup и Kido) — компьютерный червь, эпидемия которого началась 21 ноября 2008. Вредоносная программа была написана на Microsoft Visual C++ и впервые появилась в сети 21 ноября 2008. Вирус также известен как Downadup, именно он создал инфраструктуру для ботнета^[1]. Заражал операционные системы семейства Microsoft Windows (Windows XP и Windows Server 2008 R2). На январь 2009 червь поразил 12 миллионов компьютеров во всём мире. 12 февраля 2009 Microsoft обещала 250 000 долларов за информацию о создателях червя^[2].

Эпидемия стала возможной в результате того, что значительная часть пользователей оказалась подвержена уязвимостям, ранее устранённым критическими обновлениями MS08-067.

НазваниеПравить

Название «Conficker» происходит от англ. configuration (config) (конфигурация) и нем. ficker (груб. участник полового акта, сравн. англ. fucker). Таким образом, Conficker — «насильник конфигураций».

Принципы работыПравить

Схема распространение червя Conficker

Столь быстрое распространение червя связано с уязвимостью в сетевой службе. Используя эту уязвимость, червь сам загружал себя из Интернета. Интересно, что разработчики червя научились постоянно менять свои серверы, что раньше не удавалось злоумышленникам.

Также, червь мог распространяться через USB-накопители, создавая исполняемый файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx. В заражённой системе червь прописывал себя в сервисах и хранился в виде dll-файла со случайным именем, состоящим из латинских букв, например:

C:\Windows\System32\zorizr.dll

Как только Conficker инфицировал компьютер, он отключал многие функции безопасности и настройки автоматического резервного копирования, удалял точки восстановления и открывал соединения для получения инструкций от удаленного компьютера. После настройки первого компьютера Conficker использовал его для получения доступа к остальной части сети^[1].

Червь использовал уязвимости операционных систем семейства Windows, связанные с переполнением буфера, и при помощи обманного RPC-запроса выполнял вредоносный код. Первым делом он отключал ряд служб — автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting, а также блокировал доступ к сайтам ряда производителей антивирусов.

Периодически червь случайным образом генерировал список веб-сайтов (около 50 тыс. доменных имён в сутки), к которым обращался для получения исполняемого кода. При получении с сайта исполняемого файла червь проверял его подпись, и если она была действительной — исполнял файл.

Кроме того, червь использовал P2P-механизм обмена обновлениями, что позволяло ему рассылать обновления удалённым копиям, минуя управляющий сервер.

Симптомы зараженияПравить

Отключены и/или не включаются службы:
- Windows Update Service
- Background Intelligent Transfer Service
- Windows Defender
- Windows Error Reporting Services
Блокируется доступ компьютера к сайтам производителей антивирусов
При наличии заражённых компьютеров в локальной сети повышается объём сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
Компьютер начинает очень медленно реагировать на действия пользователя, при этом Диспетчер Задач сообщает о 100%-ом использовании ресурсов ЦП процессом svchost.exe.
Блокируется служба IPSec. Как следствие нарушение работы сети.

Борьба с червёмПравить

В предупреждении заражения червём и его уничтожении с заражённых компьютеров принимали участие такие корпорации, как Microsoft, Symantec, Dr.Web, ESET, Kaspersky Lab, Panda Security, F-Secure, AOL и другие. Тем не менее, опасность сохраняется по сей день.

Также каждый пользователь должен знать, что если компьютер уже инфицирован червём — простое обновление системы ему не поможет, так как оно лишь закроет уязвимость, через которую он попал в систему. Вот почему для полного удаления червя рекомендуется использовать специальные утилиты самых свежих версий.

УщербПравить

По мнению компании McAfee, ущерб, нанесённый червём сетевому сообществу, оценивается в $9,1 млрд, и уступает лишь ущербу, причинённому такими почтовыми червями, как MyDoom ($38 млрд.) и ILOVEYOU ($15 млрд.)^[3].

См. такжеПравить

ПримечанияПравить

↑ ¹ ² What is Conficker? - Definition from WhatIs.com (англ.). WhatIs.com. Дата обращения: 7 сентября 2022.
↑ (англ.) Conficker Worm: Help Protect Windows from Conficker Архивная копия от 18 мая 2018 на Wayback Machine, 10 апреля 2009
↑ McAfee, A Good Decade for Cybercrime Архивировано 5 июня 2013 года., (pdf), (англ).

СсылкиПравить

[:0-1] ¹ ² What is Conficker? - Definition from WhatIs.com (англ.). WhatIs.com. Дата обращения: 7 сентября 2022.

[2] (англ.) Conficker Worm: Help Protect Windows from Conficker Архивная копия от 18 мая 2018 на Wayback Machine, 10 апреля 2009

[3] McAfee, A Good Decade for Cybercrime Архивировано 5 июня 2013 года., (pdf), (англ).

[1]

[2]

[3]