WikiSort.ru - Не сортированное

ПОИСК ПО САЙТУ | о проекте
Conficker
Полное название (Касперский) Net-Worm.Win32.Kido.bt
Тип сетевой червь, ботнет
Год появления 2008 год
Используемое ПО уязвимость в критическом обновлении MS08-067
Описание Symantec

Conficker (также известен как Downup, Downadup и Kido) — компьютерный червь, эпидемия которого началась 21 ноября 2008. Вредоносная программа была написана на Microsoft Visual C++ и впервые появилась в сети 21 ноября 2008. Заражал операционные системы семейства Microsoft Windows (Windows XP и Windows Server 2008 R2). На январь 2009 червь поразил 12 миллионов компьютеров во всём мире. 12 февраля 2009 Microsoft обещала 250 000 долларов за информацию о создателях червя[1].

Эпидемия стала возможной в результате того, что значительная часть пользователей оказалась подвержена уязвимостям, ранее устранённым критическими обновлениями MS08-067.

Название

Название «Conficker» происходит от англ. configuration (config) (конфигурация) и нем. ficker (груб. участник полового акта, сравн. англ. fucker). Таким образом, Conficker — «насильник конфигураций».

Принципы работы

Схема распространение червя Conficker

Столь быстрое распространение червя связано с сетевой службой. Используя уязвимость в ней, червь загружал себя из Интернета. Интересно, что разработчики червя научились постоянно менять свои серверы, что раньше не удавалось злоумышленникам.

Также, червь мог распространяться через USB-накопители, создавая исполняемый файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx. В заражённой системе червь прописывал себя в сервисах и хранился в виде dll-файла со случайным именем, состоящим из латинских букв, например: 

C:\Windows\System32\zorizr.dll

Червь использовал уязвимости операционных систем семейства Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполнял вредоносный код. Первым делом он отключал ряд служб — автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting, а также блокировал доступ к сайтам ряда производителей антивирусов.

Периодически червь случайным образом генеририровал список веб-сайтов (около 50 тыс. доменных имён в сутки), к которым обращался для получения исполняемого кода. При получении с сайта исполняемого файла червь сверял электронно-цифровую подпись, и если она совпала — исполнял файл.

Кроме того, червь реализует P2P-механизм обмена обновлениями, что позволяло ему рассылать обновления удалённым копиям, минуя управляющий сервер.

Симптомы заражения

  1. Отключены и/или не включаются службы:
    • Windows Update Service
    • Background Intelligent Transfer Service
    • Windows Defender
    • Windows Error Reporting Services
  2. Блокируется доступ компьютера к сайтам производителей антивирусов
  3. При наличии заражённых компьютеров в локальной сети повышается объём сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
  4. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
  5. Компьютер начинает очень медленно реагировать на действия пользователя, при этом Диспетчер Задач сообщает о 100%-ом использовании ресурсов ЦП процессом svchost.exe.
  6. Блокируется служба IPSec. Как следствие нарушение работы сети.

Борьба с червём

В предупреждении заражения червём и его уничтожении с заражённых компьютеров принимали участие такие корпорации, как Microsoft, Symantec, Dr.Web, ESET, Kaspersky Lab, Panda Security, F-Secure, AOL и другие. Тем не менее, опасность сохраняется по сей день.

Также каждый пользователь должен знать, что если компьютер уже инфицирован червём — простое обновление системы ему не поможет, так как оно лишь закроет уязвимость, через которую он попал в систему. Вот почему для полного удаления червя рекомендуется использовать специальные утилиты самых свежих версий.

Ущерб

По мнению компании McAfee, ущерб, нанесённый червём сетевому сообществу, оценивается в $9,1 млрд, и уступает лишь ущербу, причинённому такими почтовыми червями, как MyDoom ($38 млрд.) и ILOVEYOU ($15 млрд.)[2].

См. также

Примечания

  1.  (англ.) Conficker Worm: Help Protect Windows from Conficker, 10 апреля 2009
  2. McAfee, A Good Decade for Cybercrime Архивировано 5 июня 2013 года., (pdf), (англ).

Ссылки

Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".

Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.

Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .



Текст в блоке "Читать" взят с сайта "Википедия" и доступен по лицензии Creative Commons Attribution-ShareAlike; в отдельных случаях могут действовать дополнительные условия.

Другой контент может иметь иную лицензию. Перед использованием материалов сайта WikiSort.ru внимательно изучите правила лицензирования конкретных элементов наполнения сайта.

2019-2024
WikiSort.ru - проект по пересортировке и дополнению контента Википедии