Предыстория
С момента появления в сети одного из самых опасных вирусов прошло уже более полугода – 7 месяцев, если быть точным. Впервые о Conficker (Downadup, Kido) заговорили еще в октябре 2008 года. Тогда компания Microsoft обнаружила критическую уязвимость в ОС Windows (отчет безопасности MS08-067 ).
За считанные месяцы вирусом были заражены миллионы компьютеров по всему миру. Лидирующие строки по распространенности Conficker занимают Китай, Россия и Бразилия. По состоянию на февраль 2009 года в этих странах специалисты по компьютерной безопасности насчитали 260000, 200000 и 175000 случаев заражения соответственно.
Механизм работы
Благодаря бреши в защите Conficker скачивает сам себя из сети и затем при помощи обманного RPC-запроса способен исполнить на локальном компьютере необходимый код.
Было замечено, что в первую очередь сетевой червь отключает доступ «жертвы» к сайтам разработчиков антивирусного ПО, например f-secure.com и kaspersky.ru, таким образом, пострадавший от вируса пользователь не может скачать утилиты, необходимые для удаления червя.
Помимо блокирования доступа к сайтам, Conficker отключает внутренние службы Windows: автоматическое обновление, отчеты об ошибках (Windows Error Reporting), Windows Security Center и Windows Defender.
Conficker также способен самообновляться. Обновление происходит посредством P2P-механизма (peer-to-peer, непосредственный обмен данными между двумя компьютерами). Данный механизм позволяет вирусу обновляться без необходимости обращений к центральному серверу.
Периодически червь случайным образом генерирует список сайтов (около 50 тыс. доменных имён в сутки), к которым обращается для получения исполняемого кода. При получении с сайта исполняемого файла червь сверяет электронно-цифровую подпись и, если она совпала, исполняет файл.
Защита от вируса
Эффективного способа защиты от Conficker пока не существует. Некоторые разработчики антивирусного ПО предлагают специальные утилиты для удаления вируса, но средства, способного предупредить попадания червя на компьютер нет. Чтобы как-то обезопасить свой компьютер от проникновения вируса рекомендуется убедиться в надежности используемых паролей и отключить функции Autoplay и Autorun, реализованные в операционной системе Windows.
Определить заражен ваш компьютер или нет просто. Достаточно посетить один из сайтов разработчиков антивирусов, например Kaspersky.ru. Если сделать этого не удалось, велика вероятность того, что ваша машина также стала объектом нападения Kido. Чтобы скачать утилиту для удаления вируса вам придется посетить ближайший компьютерный клуб.
Также при заражении в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
Борьба против Conficker всемирного масштаба
В феврале в борьбе с вирусом №1 сплотились крупнейшие игроки на рынке IT : доменные регистраторы (ICANN, CNNIC, Public Internet Registry), разработчики антивирусов (F-Secure, Symantec, Kaspersky Lab), программных продуктов (Microsoft), компании Neustar, VeriSign, Afilia, и даже AOL. В России для борьбы с опасным вирусом в апреле Координационный центр домена RU создал технического регистратора с идентификатором CC-REG-RIPN . Этот регистратор сделан для упреждающей регистрации доменных имен в домене RU, которые обнаруживаются в таблицах данных вируса.
Компании Microsoft, как главному виновнику «торжества», пришлось пойти на достаточно большие жертвы. Во-первых, компания согласилась предоставить доступ к обновлениям систем безопасности компьютера тем пользователям, которые используют пиратские копии ОС Windows. Во-вторых, Microsoft предложила вознаграждение в размере четверти миллионов долларов за любую информацию, которая поможет найти хакера-разработчика червя Downadup.
В конце марта эксперты компании BKIS, основываясь на анализе исходных кодов двух вирусов Nimda и Conficker, предположили , что страна, в которой был разработан Kido – Китай. Тем самым BKIS отвел подозрения от некоторых стран, которые до этого считались наиболее вероятной родиной сетевого червя, в том числе и от России.
Разновидности и модификации Conficker
- Conficker.A;
- Conficker.B;
- Conficker.B++ ;
- Conficker.C ;
- Conficker.E ;
В чем опасность Conficker
Созданная авторами Kido гигантская зомби-сеть (ботнет) потенциально может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).
До последнего времени Kido распространялся через компьютерные сети и сменные носители информации. В частности, он проникал на компьютеры, используя критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года. По мнению экспертов, на значительной части машин патч не был установлен на момент пика распространения Kido в январе. Этот фактор, а также игнорирование эффективной антивирусной защиты и привели к эпидемии: в настоящее время различными версиями Kido заражены, по меньшей мере, от 5 до 6 миллионов компьютеров, имеющих доступ в сеть Интернет. В последних версиях Kido отсутствует явная возможность самораспространения. Программа лишь пытается «укрепиться» на уже зараженных компьютерах.
