Conficker

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacji, wyszukiwania
Robak komputerowy Win32 Conficker – schemat działania wirusa

Conficker znany także jako Downup, Downadup lub Kido – jeden z groźniejszych ze znanych dotychczas robaków komputerowych. Pojawił się w sieci w październiku 2008 roku. Atakuje systemy operacyjne z rodziny Microsoft Windows. Robak wykorzystuje znane luki w zabezpieczeniach platformy systemowej Windows Server oraz różne usługi składowe wykorzystywane przez systemy Windows 2000, Windows XP, Windows Vista, Windows Server 2003 i Windows Server 2008. Systemy Linux i Macintosh są całkowicie odporne. Do lutego 2009 r. stwierdzono infekcje tylko w produktach firmy Microsoft.

W lutym 2009 r. firma Arbor Networks zajmująca się monitoringiem aktywności wirusów w sieci ujawniła, że wirus Conficker mógł dotychczas zaatakować ok. 12 milionów komputerów na całym świecie.

Dnia 13 lutego 2009 roku firma Microsoft wyznaczyła po 250 tys. dolarów nagrody dla każdego, kto jest w stanie udzielić informacji mogących pomóc w ujęciu twórcy wirusa[1][2].

Nazwa wirusa[edytuj | edytuj kod]

Nazwa wirusa "Conficker" to gra słów, która w tłumaczeniu oznacza, że "program manipuluje konfiguracją komputera". Pierwszy człon wyrazu "Conf" pochodzi od angielskiego słowa configuration (konfiguracja), natomiast "ficker" odnosi się do niemieckiego wulgaryzmuczasownika ficken (pieprzyć, pierdolić).

Szkody w systemie[edytuj | edytuj kod]

Robak Conficker rozprzestrzenia się głównie poprzez lukę w Windows Server Service (MS08-067), błąd programistyczny tzw. przepełnienie bufora. Robak wykorzystuje specjalnie spreparowane żądania RPC wykonania kodu na komputerze docelowym.

Po zainfekowaniu komputera Conficker wyłącza szereg usług systemowych, takich jak:

Następnie łączy się z serwerem, gdzie otrzymuje kolejne rozkazy i wytyczne np.: aby gromadzić dane osobowe, oraz pobierać i instalować dodatkowe złośliwe oprogramowanie na komputerze ofiary. Robak "podczepia się" również pod niektóre procesy systemowe, takie jak: svchost.exe, explorer.exe i services.exe.

Jedna z modyfikacji robaka Conficker stworzy serwer HTTP i otwiera losowy port z zakresu 1024-10000. Jeżeli zarażony komputer wykonuje polecenia wirusa, następuje nawiązanie połączenia zwrotnego z serwerem HTTP oraz pobranie aktualnej (nowej, zmodyfikowanej) kopii robaka. Dodatkowym działaniem wirusa jest kasowanie punktów przywracania systemu i wysłanie zebranych informacji do komputera docelowego (atakującego). Wirus korzysta z różnych adresów IP co uniemożliwia jego zablokowanie.

Synonimy[edytuj | edytuj kod]

W bazach danych programów antywirusowych oznaczony jest jako:

Możliwości zarażenia[edytuj | edytuj kod]

Główną drogą rozprzestrzeniania się rodziny robaków Conficker jest Internet, jednak najnowsze wersje tego złośliwego oprogramowania potrafią replikować się poprzez urządzenia obsługujące port USB – różnego rodzaju pamięci masowe np.: odtwarzacze MP3, pamięci USB, płyty CD/DVD itp. Analiza kodu wskazuje na możliwość zyskania przez wirus nowych możliwości 1 kwietnia 2009[4].

Wykrywanie i ochrona[edytuj | edytuj kod]

Najprostszym sposobem wykrycia infekcji jest próba otwarcia strony firmy Microsoft (www.microsoft.com)[5] lub firmy McAfee (www.mcafee.com)[6] – robak blokuje dostęp do tych witryn, więc brak możliwości ich otwarcia może świadczyć o infekcji.

Podstawową formą zabezpieczenia jest instalacja aktualnych łat i poprawek firmy Microsoft – to usuwa główną przyczynę infekcji. Należy zaktualizować oprogramowanie bezpieczeństwa i kilkakrotnie przeprowadzić pełne skanowanie systemu[7].

Przypisy

Bibliografia[edytuj | edytuj kod]

  1. Net-Worm.Win32.Kido.bt – opis działania oraz procedura usunięcia w serwisie viruslist.pl
  2. Groźny wirus atakuje polskie firmy (dostęp 13 lutego 2009)
  3. Robak internetowy Conficker (dostęp 13 lutego 2009)
  4. Kaspersky i OpenDNS pracują nad spowolnieniem robaka Conficker (dostęp 13 lutego 2009)
  5. Conficker/Downadup – krajobraz Polski (dostęp 13 lutego 2009)

Linki zewnętrzne[edytuj | edytuj kod]