Interested Article - Conficker

Conficker (также известен как Downup , Downadup и Kido ) — компьютерный червь , эпидемия которого началась 21 ноября 2008 года . Вредоносная программа была написана на Microsoft Visual C++ и впервые появилась в сети 21 ноября 2008 года . Вирус также известен как Downadup, именно он создал инфраструктуру для ботнета . Программа заражала операционные системы семейства Microsoft Windows ( Windows XP и Windows Server 2008 R2 ). За январь 2009 года червь поразил более 12 миллионов компьютеров по всему миру. 12 февраля 2009 года компания Microsoft пообещала заплатить 250 000 долларов за информацию о создателях червя .

Эпидемия стала возможной в результате того, что значительная часть пользователей оказалась подвержена уязвимостям , ранее устранённым критическими обновлениями MS08-067.

Название

Название «Conficker» происходит от англ. configuration (config) (конфигурация) и нем. ficker (груб. участник полового акта , сравн. англ. fucker ). Таким образом, Conficker — «насильник конфигураций».

Принципы работы

Схема распространение червя Conficker

Столь быстрое распространение червя связано с уязвимостью в сетевой службе. Используя эту уязвимость, червь сам загружал себя из Интернета . Интересно, что разработчики червя научились постоянно менять свои серверы , что раньше не удавалось злоумышленникам .

Также червь мог распространяться через USB-накопители , создавая исполняемый файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx. В заражённой системе червь прописывал себя в сервисах и хранился в виде dll -файла со случайным именем, состоящим из латинских букв, например:

C:\Windows\System32\zorizr.dll

Как только Conficker инфицировал компьютер, он отключал многие функции безопасности и настройки автоматического резервного копирования , удалял точки восстановления и открывал соединения для получения инструкций от удаленного компьютера. После настройки первого компьютера Conficker использовал его для получения доступа к остальной части сети .

Червь использовал уязвимости операционных систем семейства Windows, связанные с переполнением буфера , и при помощи обманного RPC -запроса выполнял вредоносный код . Первым делом он отключал ряд служб: автоматическое обновление Windows , Windows Security Center , Windows Defender и Windows Error Reporting , — а также блокировал доступ к сайтам ряда производителей антивирусов.

Периодически червь случайным образом генерировал список веб-сайтов (около 50 тыс. доменных имён в сутки), к которым обращался для получения исполняемого кода. При получении с сайта исполняемого файла червь проверял его подпись , и если она была действительной — исполнял файл.

Кроме того, червь использовал P2P -механизм обмена обновлениями, что позволяло ему рассылать обновления удалённым копиям, минуя управляющий сервер.

Симптомы заражения

  1. Отключены и/или не включаются службы:
    • Windows Update Service;
    • Background Intelligent Transfer Service;
    • Windows Defender;
    • Windows Error Reporting Services.
  2. Блокируется доступ компьютера к сайтам производителей антивирусов.
  3. При наличии заражённых компьютеров в локальной сети повышается объём сетевого трафика, поскольку с этих компьютеров начинается сетевая атака .
  4. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
  5. Компьютер начинает очень медленно реагировать на действия пользователя, при этом Диспетчер Задач сообщает о 100%-ом использовании ресурсов ЦП процессом svchost.exe .
  6. Блокируется служба IPSec. Как следствие нарушение работы сети.

Борьба с червём

В предупреждении заражения червём и его уничтожении с заражённых компьютеров принимали участие такие корпорации, как Microsoft , Symantec , Dr.Web , ESET , Kaspersky Lab , Panda Security , F-Secure , AOL и другие. Тем не менее, опасность сохраняется по сей день [ когда? ] .

Ущерб

По мнению компании McAfee , ущерб, нанесённый червём сетевому сообществу, оценивается в $9,1 млрд, и уступает лишь ущербу, причинённому такими почтовыми червями , как MyDoom ($38 млрд.) и ILOVEYOU ($15 млрд.) .

См. также

Примечания

  1. (англ.) . WhatIs.com . Дата обращения: 7 сентября 2022. 8 сентября 2022 года.
  2. (англ.) от 18 мая 2018 на Wayback Machine , 10 апреля 2009
  3. McAfee , 5 июня 2013 года. , (pdf), (англ).

Ссылки

Источник —

Same as Conficker