Conficker
 Robak komputerowy Win32 Conficker – schemat działania | |
| Inne nazwy |
• Mal/Conficker-A (Sophos) |
|---|---|
| Typ | |
| Podtyp | |
| Dotknięte systemy operacyjne | |
Conficker, znany także jako Downup, Downadup lub Kido – jeden z groźniejszych znanych dotychczas robaków komputerowych. Pojawił się w sieci w październiku 2008 roku. Atakuje systemy operacyjne z rodziny Microsoft Windows. Robak wykorzystuje znane luki w zabezpieczeniach platformy systemowej Windows Server oraz różne usługi składowe wykorzystywane przez systemy Windows 2000, Windows XP, Windows Vista, Windows Server 2003 i Windows Server 2008. Systemy Linux i Macintosh są całkowicie odporne. Do lutego 2009 r. stwierdzono infekcje tylko w produktach firmy Microsoft.
W lutym 2009 r. firma Arbor Networks zajmująca się monitoringiem aktywności wirusów w sieci ujawniła, że wirus Conficker mógł dotychczas zaatakować ok. 12 milionów komputerów na całym świecie.
Dnia 13 lutego 2009 roku firma Microsoft wyznaczyła po 250 tys. dolarów nagrody dla każdego, kto jest w stanie udzielić informacji mogących pomóc w ujęciu twórcy wirusa[1][2].
Nazwa wirusa[edytuj | edytuj kod]
Nazwa wirusa „Conficker” to gra słów, która w tłumaczeniu oznacza, że „program manipuluje konfiguracją komputera”. Pierwszy człon wyrazu „Conf” pochodzi od angielskiego słowa configuration (konfiguracja), natomiast „ficker” odnosi się do niemieckiego wulgaryzmu – czasownika ficken (pieprzyć, pierdolić).
Szkody w systemie[edytuj | edytuj kod]
Robak Conficker rozprzestrzenia się głównie poprzez lukę w Windows Server Service (MS08-067), błąd programistyczny tzw. przepełnienie bufora. Robak wykorzystuje specjalnie spreparowane żądania RPC wykonania kodu na komputerze docelowym.
Po zainfekowaniu komputera Conficker wyłącza szereg usług systemowych, takich jak:
- aktualizacje automatyczne Windows
- centrum zabezpieczeń systemu Windows
- Windows Defender – ochrona przed spyware
- usługa raportowania błędów Windows
Następnie łączy się z serwerem, gdzie otrzymuje kolejne rozkazy i wytyczne np.: aby gromadzić dane osobowe, oraz pobierać i instalować dodatkowe złośliwe oprogramowanie na komputerze ofiary. Robak „podczepia się” również pod niektóre procesy systemowe, takie jak: svchost.exe, explorer.exe i services.exe.
Jedna z modyfikacji robaka Conficker stworzy serwer HTTP i otwiera losowy port z zakresu 1024-10000. Jeżeli zarażony komputer wykonuje polecenia wirusa, następuje nawiązanie połączenia zwrotnego z serwerem HTTP oraz pobranie aktualnej (nowej, zmodyfikowanej) kopii robaka. Dodatkowym działaniem wirusa jest kasowanie punktów przywracania systemu i wysłanie zebranych informacji do komputera docelowego (atakującego). Wirus korzysta z różnych adresów IP co uniemożliwia jego zablokowanie.
Synonimy[edytuj | edytuj kod]
W bazach danych programów antywirusowych oznaczony jest jako:
- Win32/Conficker.A (Computer Associates)
- W32.Downadup (Symantec)
- W32/Downadup.A (F-Secure)
- Conficker.A (Panda Security)
- Net-Worm.Win32.Kido.bt (Kaspersky Lab)
- W32/Conficker.worm (McAfee)
- Worm/Conficker (Avira)[3]
Możliwości zarażenia[edytuj | edytuj kod]
Główną drogą rozprzestrzeniania się rodziny robaków Conficker jest Internet, jednak najnowsze wersje tego złośliwego oprogramowania potrafią replikować się poprzez urządzenia obsługujące port USB – różnego rodzaju pamięci masowe np.: odtwarzacze MP3, pamięci USB, płyty CD/DVD itp. Analiza kodu wskazuje na możliwość zyskania przez wirus nowych możliwości 1 kwietnia 2009[4].
Wykrywanie i ochrona[edytuj | edytuj kod]
Najprostszym sposobem wykrycia infekcji jest próba otwarcia strony firmy Microsoft (www.microsoft.com)[5] lub firmy McAfee (www.mcafee.com)[6] – robak blokuje dostęp do tych witryn, więc brak możliwości ich otwarcia może świadczyć o infekcji.
Podstawową formą zabezpieczenia jest instalacja aktualnych łat i poprawek firmy Microsoft – to usuwa główną przyczynę infekcji. Należy zaktualizować oprogramowanie bezpieczeństwa i kilkakrotnie przeprowadzić pełne skanowanie systemu[7].
Przypisy[edytuj | edytuj kod]
- ↑ Ćwierć miliona za głowę hakera [online], TVN24.pl, 13 lutego 2009 [dostęp 2009-02-13] [zarchiwizowane z adresu 2009-02-28].
- ↑ Ćwierć miliona dolarów nagrody za złapanie cyberprzestępcy [online], Onet.pl, 13 lutego 2009 [dostęp 2009-02-14] [zarchiwizowane z adresu 2009-02-17].
- ↑ Worm/Conficker – Worm [online], Avira, 16 stycznia 2009 [zarchiwizowane z adresu 2009-01-18] (ang.).
- ↑ Piotr Kościelniak, Uwaga na sieciowego robaka [online], rp.pl, 31 marca 2009 [zarchiwizowane z adresu 2014-09-10].
- ↑ www.microsoft.com/en/us/default.aspx.
- ↑ www.mcafee.com/uk/.
- ↑ Tomasz Galanciak, Primaaprilisowy robak [online], Magazyn T3, 31 marca 2009.
Bibliografia[edytuj | edytuj kod]
- Net-Worm.Win32.Kido.bt – opis działania oraz procedura usunięcia w serwisie viruslist.pl
- Groźny wirus atakuje polskie firmy [online], TVN24.pl, 13 lutego 2009 [dostęp 2009-02-13] [zarchiwizowane z adresu 2009-02-28].
- Robak internetowy Conficker (dostęp 13 lutego 2009)
- Józef Muszyński, Kaspersky i OpenDNS pracują nad spowolnieniem robaka Conficker [online], NetWorld, 10 lutego 2009 [dostęp 2009-02-13] [zarchiwizowane z adresu 2009-02-12].
- Conficker/Downadup – krajobraz Polski. cert.pl. [zarchiwizowane z tego adresu (2009-02-07)]. (dostęp 13 lutego 2009)
Linki zewnętrzne[edytuj | edytuj kod]
- Biuletyn zabezpieczeń firmy Microsoft MS08-067. microsoft.com. [zarchiwizowane z tego adresu (2008-10-26)]. – luka w zabezpieczeniach usługi Serwer umożliwiająca zdalne wykonanie kodu (aktualizacje firmy Microsoft)