Conficker
Conficker (також відомий як Downup, Downadup і Kido) — комп'ютерний хробак, епідемія якого почалася 21 листопада 2008. Шкідлива програма була написана на Visual C++ і вперше з'явилася в мережі 21 листопада 2008. Заражав операційні системи сімейства Microsoft Windows (Windows XP і Windows Server 2008 R2). На січень 2009 черв'як вразив 12 мільйонів комп'ютерів у всьому світі. 12 лютого 2009 Microsoft обіцяла 250 000 доларів за інформацію про творців хробака[1].
Епідемія стала можливою в результаті того, що значна частина користувачів виявилася схильна до вразливостей, раніше усунутих критичними оновленнями MS08-067.
Назва
Назва «Conficker» походить від англ. configuration (config) (конфігурація) і нім. ficker (груб. учасник статевого акту, пор. англ. fucker). Таким чином, Conficker — «ґвалтівник конфігурацій».
Принципи роботи
Настільки швидке поширення хробака пов'язано з мережевою службою. Використовуючи уразливість в ній, черв'як завантажував себе з Інтернету. Цікаво, що розробники хробака навчилися постійно змінювати свої сервери, що раніше не вдавалося зловмисникам.
Також, хробак міг поширюватися через USB-накопичувачі, створюючи виконуваний файл autorun.inf і файл RECYCLED\{SID}\RANDOM_NAME.vmx. В зараженій системі хробак прописував себе в сервісах і зберігався у вигляді dll-файлу з випадковим ім'ям, що складається з латинських букв, наприклад:
Черв'як використовував уразливості операційних систем сімейства Windows, пов'язані з переповненням буфера і за допомогою обманного RPC-запиту виконував шкідливий код. Першим ділом він відключав низку служб — автоматичне оновлення Windows, Windows Security Center, Windows Defender і Windows Error Reporting, а також блокував доступ до сайтів ряду виробників антивірусів.
Періодично хробак випадковим чином генерував список вебсайтів (близько 50 тис. доменних імен на добу), до яких звертався для отримання виконуваного коду. При отриманні з сайту виконуваного файлу хробак звіряв електронно-цифровий підпис, і якщо він збігався — виконував файл.
Крім того, хробак реалізує P2P-механізм обміну оновленнями, що дозволяло йому розсилати оновлення віддаленим копіям, минаючи керуючий сервер.
Україна
Перші версії хробака, а саме Conficker.A перевіряли наявність української розкладки клавіатури і самознищувалися в цьому випадку. Крім того, скачувалася база даних GeoIP з сайту maxmind.com і при скануванні українські адреси, виявлені з її допомогою, не заражалися. У наступних версіях цей функціонал вже не був реалізований.
Симптоми зараження
- Відключені і/або не включаються служби:
- Windows Update Service
- Background Intelligent Transfer Service
- Windows Defender
- Windows Error Reporting Services
- Блокується доступ комп'ютера до сайтів виробників антивірусів
- При наявності заражених комп'ютерів в локальній мережі підвищується об'єм мережевого трафіку, оскільки з цих комп'ютерів починається мережева атака.
- Антивірусні програми з активним мережевим екраном повідомляють про атаку Intrusion.Win.NETAPI.buffer-overflow.exploit.
- Комп'ютер починає дуже повільно реагувати на дії користувача, при цьому Диспетчер Завдань повідомляє про 100% використання ресурсів ЦП процесом svchost.exe.
- Блокується служба IPSec. Як наслідок - порушення роботи мережі.
Вплив у Європі
Інтрамар, комп'ютерна мережа французького військово-морського флоту, була заражена Conficker 15 січня 2009 року. Потім мережа була піддана карантину, змусивши літаки на декількох авіабазах бути на землі, оскільки їхні плани польоту не могли бути завантажені.
Міністерство оборони Великої Британії повідомило, що деякі з її основних систем та настільних комп'ютерів були заражені. Вірус поширився по адміністративних офісах, заразив настільні комп'ютери NavyStar/N * на борту різних військових кораблів Королівського флоту і підводних човнів Royal Navy, а лікарні в місті Шеффілд повідомили про зараження понад 800 комп'ютерів.
2 лютого 2009 р. Бундесвер, об'єднані збройні сили Німеччини, повідомили, що близько сотні комп'ютерів були заражені.
Через зараження інформаційної системи Манчестерської міської ради в лютому 2009 року було списано 1,5 млн. Фунтів стерлінгів збитків. Використання флеш-накопичувачів USB було заборонено, оскільки це вважалося вектором початкової інфекції .
Запис від Директора Служби інформаційних технологій Парламенту Великої Британії 24 березня 2009 року повідомив користувачів Палати громад про те, що він був заражений вірусом. В подальшому повідомлення, яке було випущено, закликали користувачів уникати підключення будь-якого неавторизованого обладнання до мережі .
У січні 2010 р. Була заражена комп'ютерна мережа Великої Манчестерської поліції, яка призвела до її відключення на три дні від Національного комп'ютера поліції, як запобіжний захід; в той час офіцери повинні були просити інші сили виконувати регулярні перевірки транспортних засобів та людей .
Боротьба з черв'яком
В попередженні зараження черв'яком і його знищення із заражених комп'ютерів брали участь такі корпорації, як Microsoft, Symantec, Dr.Web, ESET, Kaspersky Lab, Panda Security, F-Secure, AOL та інші. Тим не менш, небезпека зберігається донині, бо хробак постійно мутує, тому, щоб попередити зараження комп'ютера, потрібно регулярно оновлювати систему та антивірусні бази сигнатур.
Також кожен користувач повинен знати, що якщо комп'ютер вже інфікований хробаком — оновлення може не допомогти. Ось чому для повного видалення хробака рекомендується використовувати спеціальні утиліти .
Збиток
На думку компанії McAfee, збиток, нанесений хробаком мережного співтовариства, оцінюється в $9,1 млрд, і поступається лише збитку, заподіяного такими поштовими хробаками, як MyDoom ($38 млрд) і ILOVEYOU ($15 млрд.)[2].
Див. також
- Комп'ютерний вірус
- Шкідливе програмне забезпечення
- Хронологія комп'ютерних вірусів
- Комп'ютер-зомбі
- DoS/DDoS-атака
- Бекдор
- Руткіт
- Експлойт
- WannaCry
- Petya (мережевий черв'як-вимагач)
Примітки
- (англ.) Conficker Worm: Help Protect Windows from Conficker, 10 апреля 2009
- A Good Decade for Cybercrime Архівовано 5 червня 2013 у Wayback Machine.(англ.) (pdf)