Что такое о вирусах conficker worm

Досье на подлого червя!

Имя : Worm:W32/Downadup.AL
Возможные имена при определении : Net-Worm.Win32.Kido, Worm:W32/Downadup.AL
Алиасы : W32/Conficker.worm.gen (Symantec), Worm:Win32/Conficker (Microsoft), Mal/Conficker (Sophos)
Тип: Сетевой червь
Категория: Malware
Платформа: W32

Утилиты для удаления:

F-Downadup
Специальная утилита с эвристической проверкой для поиска различных вариантов червя Downadup:

FSMRT
Общая утилита для определения вируса (размер файла больше):

Внимание: Утилиты работают из командной строки. Пожалуйста, прочтите инструкцию, приложенную в ZIP-файле.

Обновления утилит:

Здесь находятся бета-версии различных дополнительных утилит:

* ftp://ftp.f-secure.com/anti-virus/tools/beta/

Настройки сканирования

Downadup использует множество различных имён, в том числе и случайно сгенерированных, поэтому обязательно используйте режим:

Microsoft Help and Support

В Базе знаний KB962007 содержит информацию для удаления вируса Conficker.B (Downadup) вручную.

Подробная информация о действиях червя:

Сразу после запуска Downadup (Kido, Conflicker) создаёт свои копии в следующих директориях:

* Внимание: [Random] — случайно сгенерированное имя.

Все атрибуты файла о времени создания копируются из файла %System%kernel32.dll. Затем червь создает ключики в реестре, чтобы абсолютно точно запуститься при следующем старте системы.

Червь может создать следующие файлы на жестких дисках, флэшках и картах памяти:

* %DriveLetter%RECYCLERS-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d[…].[3 случайных символа]
* %DriveLetter%autorun.inf

И подцепляется к следующим процессам:

* svchost.exe
* explorer.exe
* services.exe

Червь отключает некоторые системные утилиты и службы, которые могли бы предупредить его активность. В том числе следующие службы Windows:

* Windows Automatic Update Service (wuauserv)
* Background Intelligent Transfer Service (BITS)
* Windows Security Center Service (wscsvc)
* Windows Defender Service (WinDefend)
* Windows Error Reporting Service (ERSvc)
* Windows Error Reporting Service (WerSvc)

В дополнение к отключенным службам он проверяет ОС. Если это оказывается Windows Vista, то червь дополнительно отключает функцию автонастройки TCP/IP, запуская следующую команду:

* netsh interface tcp set global autotuning=disabled

Червь также проверяет использование следующих функций API, чтобы он смог заблокировать доступ к доменам (о них чуть ниже):

* DNS_Query_A
* DNS_Query_UTF8
* DNS_Query_W
* Query_Main
* sendto

Блокирует доступ к доменам, если в состав имени домена входят следующие словосочетания:

* virus
* spyware
* malware
* rootkit
* defender
* microsoft
* symantec
* norton
* mcafee
* trendmicro
* sophos
* panda
* etrust
* networkassociates
* computerassociates
* f-secure
* kaspersky
* jotti
* f-prot
* nod32
* eset
* grisoft
* drweb
* centralcommand
* ahnlab
* esafe
* avast
* avira
* quickheal
* comodo
* clamav
* ewido
* fortinet
* gdata
* hacksoft
* hauri
* ikarus
* k7computing
* norman
* pctools
* prevx
* rising
* securecomputing
* sunbelt
* emsisoft
* arcabit
* cpsecure
* spamhaus
* castlecops
* threatexpert
* wilderssecurity
* windowsupdate
* nai
* ca
* avp
* avg
* vet
* bit9
* sans
* cert

Распостранение (размножение):

Для возможности быстрого распостранения по сети, Downadup меняет некоторые ключи реестра:

Червь использует данный драйвер, чтобы ускорить свое размножение, меняя кол-во одновременных открытых соединений на 0x10000000(268435456) с помощью функции, которая находится в %System%driverstcpip.sys.

Далее Downadup проверяет наличие подходящего для заражения в сети компьютера с помощью NetServerEnum, а затем пытается войти на любой найденный компьютер следующими способами:

1. Используя настоящую учетную запись на зараженном ПК. Если данная запись не имеет достаточно прав, этот способ не проходит.
2. Получая имена пользователей с целевого компьютера через NetUserEnum API, Downadup пытается попасть на ПК используя данный перечень паролей:

o [username]
o [username][username]
o [reverse_of_username]
o 00000
o 0000000
o 00000000
o 0987654321
o 11111
o 111111
o 1111111
o 11111111
o 123123
o 12321
o 123321
o 12345
o 123456
o 1234567
o 12345678
o 123456789
o 1234567890
o 1234abcd
o 1234qwer
o 123abc
o 123asd
o 123qwe
o 1q2w3e
o 22222
o 222222
o 2222222
o 22222222
o 33333
o 333333
o 3333333
o 33333333
o 44444
o 444444
o 4444444
o 44444444
o 54321
o 55555
o 555555
o 5555555
o 55555555
o 654321
o 66666
o 666666
o 6666666
o 66666666
o 7654321
o 77777
o 777777
o 7777777
o 77777777
o 87654321
o 88888
o 888888
o 8888888
o 88888888
o 987654321
o 99999
o 999999
o 9999999
o 99999999
o a1b2c3
o aaaaa
o abc123
o academia
o access
o account
o Admin
o admin
o admin1
o admin12
o admin123
o adminadmin
o administrator
o anything
o asddsa
o asdfgh
o asdsa
o asdzxc
o backup
o boss123
o business
o campus
o changeme
o cluster
o codename
o codeword
o coffee
o computer
o controller
o cookie
o customer
o database
o default
o desktop
o domain
o example
o exchange
o explorer
o files
o foobar
o foofoo
o forever
o freedom
o games
o home123
o ihavenopass
o Internet
o internet
o intranet
o killer
o letitbe
o letmein
o Login
o login
o lotus
o love123
o manager
o market
o money
o monitor
o mypass
o mypassword
o mypc123
o nimda
o nobody
o nopass
o nopassword
o nothing
o office
o oracle
o owner
o pass1
o pass12
o pass123
o passwd
o Password
o password
o password1
o password12
o password123
o private
o public
o pw123
o q1w2e3
o qazwsx
o qazwsxedc
o qqqqq
o qwe123
o qweasd
o qweasdzxc
o qweewq
o qwerty
o qwewq
o root123
o rootroot
o sample
o secret
o secure
o security
o server
o shadow
o share
o student
o super
o superuser
o supervisor
o system
o temp123
o temporary
o temptemp
o test123
o testtest
o unknown
o windows
o work123
o xxxxx
o zxccxz
o zxcvb
o zxcvbn
o zxcxz
o zzzzz

Если червю удается проникнуть через сеть. он тут же создает свою копию в следующих папках:

* [Server Host Name]ADMIN$System32[random filename].[random extension]

Затем использует планировщик задач на удаленном сервере. чтобы запустить следующую команду:

* rundll32.exe [random filename].[random extension], [random]

Downadup также распостраняется, используя критическую уязвимость MS08-067. Для этого он подключается к одному из следующих серверов. чтобы получить %ExternalIPAddress%:

Затем он создает HTTP-сервер, используя рандомный порт:

Создание данного сервера позволяет червю посылать специальные пакеты данных (эксплоит) с инфицированной машины на другие. Если эксплоит успешно выполнился, целевая машина загрузит копию вируса с инфицированной.

Загруженный malware может иметь следующие типы расширений:

Затем он отключает NetpwPathCanonicalize API. чтобы предотвратить последующее использование уязвимости.

Самообновление

Downadup может загружать файлы на инфицированную систему с Интернета. Сначала он подключается к одному из следующих серверов для получения текущей системной даты:

Если дата, как минимум, 1 January 2009 он загружает файлы с:

Загруженные файлы имеют такой формат:

Downadup удаляет множество ключей реестра, чтобы отключить Security Center Notifications и предовратить возможный запуск из автозагрузки службы Windows Defender. В обход брандмауэра он создает следуюobt ключи, чтобы дать системе возможность загружать копии червя.

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue = dword:00000000
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, netsvcs = %Previous data% and %Random%

Во время заражения Downadup может создавать временные файлы (.TMP) системных директориях или в папках, специально предназначенных для хранения временных файлов.:

Как только ключ создан, временный файл %MalwarePath%[random].tmp будет удалён.

Также червь модифицирует параметры реестра, создавая липовые службы, следующим образом:

В этих записях, %ServiceName% состоит из комбинации двух слов, взятых с данного списка:

* Boot
* Center
* Config
* Driver
* Helper
* Image
* Installer
* Manager
* Microsoft
* Monitor
* Network
* Security
* Server
* Shell
* Support
* System
* Task
* Time
* Universal
* Update
* Windows

___
Информация взята с официального сайта F-Secure и переведена с английского автором блога..

Worm.Conficker.Win32.415 - сетевой червь, который использует для своего распространения съемные носители и сеть.

Методы распространения

Червь использует для размножения съёмные носители информации и сеть. Для распространения по сети используется критическая уязвимость (переполнение буфера) в службе Server Windows (svchost.exe) (MS08-067), для этого червь посылает на атакуемый компьютер специальным образом сформированный RPC-запрос, который вызывает переполнение буфера. Если атака через уязвимость удалась - компьютер-жертва загружает файл вируса по протоколу HTTP.
В случае неудачи вирус пытается атаковать компьютер методом подбора пароля администратора и подключиться к сетевым ресурсам (ADMIN$, C$ ,IPC$). Данные сетевые ресурсы существуют по умолчанию. Доступ к ним возможен только из под аккаунта администратора.

Перебор пароля ведется по словарю, перебираются следующие пароли:

000000
00000000
111111
11111111
123123
12345
123456
1234567
12345678
123456789
1234qwer
123abc
123asd
123qwe
54321
654321
88888888
abc123
academia
admin
admin$
admin123
administrator
Admins

america
anchor
anything
april
arrow
artist
asdfgh
basic
changeme
cluster
codeword
coffee
compaq
cookie
country
dirty
discovery
drive
edition
email
england
english
forever
france

freedom
french
ghost
ihavenopass
india
input
japan
julie
killer
letmein
logout
macintosh
modem
Monday
mouse
mypass
mypc123
network
nobody
pass123
password1
password123

phone
phrase
printer
private
pw123
right
Saturday
script
simple
student
superuser
target
temp123
test123
thailand
user1
video
virus
xxxxx
xxxxxx
xxxxxxxx
xxxxxxxxx


Если подбор пароля удался, то вирус копирует себя в папку Windows\System32 и создает задачу в планировщике заданий для своего запуска.
При размножении через съемные носители червь копирует себя в папку RECYCLER под именем: S- .dll , а в корне съемного диска создает файл autorun.inf, который позволит выполниться копии червя, если на атакуемом компьютере включен автозапуск.

Функциональные возможности

Для автоматического запуска при каждом старте Windows, червь создает службу, которая запускает его тело при каждой последующей загрузке .

Для этого создаются ключи реестра:

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" = "%System%\ .dll"

Также червь создает ключ реестра для автоматического запуска при каждом старте системы:

[HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]

" "= %system% "\Rundll32.exe \ . DLL, "

После чего червь внедряет свой код в адресное пространство одного из системных процессов.

Червь устанавливает в системе собственный HTTP-сервер, который используется для загрузки тела червя на другие компьютеры.

Червь отключает службы:

  • Центр обеспечения безопасности Windows Service (wscsvc)
  • Автоматическое обновление Windows Auto Update Service (wukuserv)
  • Фоновая интеллектуальная служба передачи (BITS) - выполняет передачу данных в фоновом режиме, используя резервы сети.
  • Служба регистрации ошибок (ersvc) - отправляет отчеты об ошибках в Microsoft

Червь отключает возможность просмотра скрытых файлов и папок, изменяя для этого значения реестра:

[HKCR\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "dword: 0x00000002"
"SuperHidden" = "dword: 0x00000000"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "dword: 0x00000000"

Также червь отключает встроенный firewall и блокирует доступ к серверам антивирусных компаний. Блокирует запуск некоторых приложений.

Червь может удалять точки восстановления системы, с целью защитить себя от удаления при использовании этого метода восстановления системы.

Деструктивные особенности

Скачивает из сети Internet вредоносное ПО (по указанным в теле адресам) и скрытно инсталлирует его в систему. Таким образом, наличие червя в системе открывает к ней практически неограниченный доступ. Данный червь часто используется для создания подчиненных сетей (BotNet).

Conficker , также известный как Downup , Downadup и Kido , является компьютерный червь ориентации на Microsoft Windows операционной системы , которая была впервые обнаружена в ноябре 2008 г. Он использует недостатки в программном обеспечении ОС Windows и словарных атак на пароли администратора распространяться при формировании ботнет , и было необычайно трудно прилавок из - за его комбинированного применения многих передовых методов вредоносных программ. Червь Conficker инфицированных миллионов компьютеров , включая правительство, бизнес и домашние компьютеры в более чем 190 странах, что делает его самой крупной известной компьютерный червь инфекцией с 2003 Welchia .

содержание

распространенность

По последним оценкам, количество зараженных компьютеров было особенно трудно, потому что вирус изменил его распространения и обновления стратегии от версии к версии. В январе 2009 года, по оценкам, количество зараженных компьютеров колеблется от почти 9 миллионов до 15 миллионов человек. Microsoft сообщила, общее количество зараженных компьютеров, обнаруженных ее антивирусные продукты остается стабильным на уровне около 1,7 млн ​​середины 2010 года до середины 2011 года. К середине 2015 года общее число инфекций снизилось до 400,000.

история

Первый вариант Conficker, обнаруженный в начале ноября 2008 года, распространяется через Интернет, эксплуатируя уязвимость в сети обслуживания (MS08-067) на Windows 2000 , Windows XP , Windows Vista , Windows Server 2003 , Windows Server 2008 и Windows Server 2008 R2 Beta. Хотя Windows 7 , возможно, был подвержен этой уязвимостью, то Windows 7 Beta не был общедоступным до января 2009 года Хотя Microsoft выпустила чрезвычайную вне зоны пластыря на 23 октября 2008 года , чтобы закрыть уязвимость, большое количество ПК под управлением Windows ( по оценкам, 30%) оставались неисправленное как в конце января 2009 года Второй вариант вируса, обнаруженного в декабре 2008 года, была добавлена возможность распространяться через локальные сети через съемные носители и сетевые ресурсы . Исследователи полагают , что это были решающие факторы позволяют вирус быстро распространяться.

Intramar, то французский флот компьютерной сети, был заражен Conficker 15 января 2009 года сеть была впоследствии карантину, заставляя самолет на несколько авиабаз быть заземлены , потому что их планы полета не могут быть загружены.

Министерство обороны Великобритании сообщило , что некоторые из его основных систем и настольных компьютеров были заражены. Вирус распространился по всей административные офисы, NavyStar / N * настольные компьютеры на борту различных кораблей Королевского флота и Королевских ВМС подводных лодок и больниц по всему городу Шеффилд сообщили инфекции более 800 компьютеров.

С 2 февраля 2009 года Бундесвер , унифицированные вооруженные силы Германии, сообщил , что около сто его компьютеров были заражены.

Инфекция Манчестер ИТ - системы городского совета вызвало оценочную £ 1,5 млн на сумму нарушения в феврале 2009 Использование USB флэш - накопителей было запрещено, так как это считалось, что вектор для начальной инфекции.

В записке от директора Парламентской службы ИКТ Великобритании проинформировала пользователь о Палате общин 24 марта 2009 , что он был заражен вирусом. Памятка, которая впоследствии была утечка, называемая для пользователей , чтобы избежать подключения любого несанкционированного оборудования к сети.

В январе 2010 года Большой Манчестера полиция компьютерная сеть была заражена, что приводит к его отключению в течение трех дней со полицией Национального компьютера в качестве меры предосторожности; в течение этого времени сотрудники должны были просить другие силы для выполнения рутинных проверок транспортных средств и людей.

операция

Хотя почти все передовые вредоносных методов , используемых Conficker видели прошлое использование или хорошо известны исследователям, вирус комбинированное использование так много сделало необычайно трудно искоренить. Вирус неизвестные авторы также полагают, отслеживания защиты от вредоносных усилий со стороны сетевых операторов и правоохранительных органов и регулярно выпускаются новые варианты , чтобы закрыть Вирус собственные уязвимости.

Пять вариантов вируса Conficker известны и получили название Conficker A, B, C, D и E. Они были открыты 21 ноября 2008 года, 29 декабря 2008, 20 февраля 2009, 4 марта 2009 и 7 апреля 2009 года, соответственно. Рабочая группа Conficker использует namings А, В, B ++, С и Е, для одних и тех же вариантах соответственно. Это означает, что (КРГ) В ++ эквивалентно (MSFT) и C (КРГ) С эквивалентна (MSFT) D.

Вариантдата обнаруженияИнфекционные векторыраспространение обновленийСамозащитаКонец действия
Conficker2008-11-21
  • NetBIOS
    • Бреши MS08-067 уязвимости в службе сервера
  • HTTP тянуть
    • Загрузки от trafficconverter.biz
    • Загрузки ежедневно с любого из 250 псевдослучайных доменов более 5 доменов верхнего уровня
  • Обновления для самостоятельного Conficker B, C или D
Conficker B2008-12-29
  • NetBIOS
    • Бреши MS08-067 уязвимости в службе сервера
    • Атака по словарю на ADMIN $ акций
  • Съемные медиа
    • Создает DLL на основе автозапуск трояна на прилагаемых съемных дисках
  • HTTP тянуть
    • Загрузки ежедневно с любого из 250 псевдослучайных доменов более 8 ДВА
  • NetBIOS толчок
    • Патчи MS08-067 открыть Реинфекция лазейку в службе сервера
  • Блоки определенные DNS-запросы
  • Отключение автообновления
  • Обновления для самостоятельной Conficker C или D
Conficker C2009-02-20
  • NetBIOS
    • Бреши MS08-067 уязвимости в службе сервера
    • Атака по словарю на ADMIN $ акций
  • Съемные медиа
    • Создает DLL на основе автозапуск трояна на прилагаемых съемных дисках
  • HTTP тянуть
    • Загрузки ежедневно от 500 50000 псевдослучайных доменов более 8 ДВОЙ в день
  • NetBIOS толчок
    • Патчи MS08-067 открыть Реинфекция лазейку в службе сервера
    • Создает именованный канал, чтобы получить URL с удаленного хоста, то загрузка с URL
  • Блоки определенные DNS-запросы
  • Отключение автообновления
  • Обновления для самостоятельной Conficker D
Conficker D2009-03-04Никто
  • HTTP тянуть
    • Загрузки ежедневно от любых 500 из 50000 псевдослучайных доменов более 110 доменов верхнего уровня
  • P2P тяни / толкай
    • Использует собственный протокол для сканирования зараженных сверстников через UDP, а затем перенести через TCP
  • Блоки определенные DNS-запросы
    • Есть ли в оперативной памяти патч Dnsapi.dll блокировать Lookups анти-вредоносных программ связанных с веб - сайтов
  • Отключает Безопасный режим
  • Отключение автообновления
  • Убивает Anti-Malware
    • Сканирует и завершает процессы с именами Anti-Malware, пластыря или диагностических утилит на один-секундными интервалами
  • Загрузка и установка Conficker E
Conficker E2009-04-07
  • NetBIOS
    • Бреши MS08-067 уязвимости в службе сервера
  • NetBIOS толчок
    • Патчи MS08-067 открыть Реинфекция лазейку в службе сервера
  • P2P тяни / толкай
    • Использует собственный протокол для сканирования зараженных сверстников через UDP, а затем перенести через TCP
  • Блоки определенные DNS-запросы
  • Отключение автообновления
  • Убивает Anti-Malware
    • Сканирует и завершает процессы с именами Anti-Malware, пластыря или диагностических утилит на один-секундными интервалами
  • Обновление локальной копии Conficker C до Conficker D
  • Загрузка и установка вредоносной полезной нагрузки:
    • Waledacспамбот
    • SpyProtect 2009 КИБЕРБЕЗОПАСНОСТИ
  • Удаляет себя 3 мая 2009 года (но оставляет оставшуюся копию Conficker D)

  • Варианты A, B, C и E , используя уязвимость в службе сервера на компьютерах Windows, где, в котором уже заражено исходный компьютер использует специально созданный RPC запрос принуждать переполнение буфера и выполнить шеллкод на целевом компьютере. На исходном компьютере, вирус запускает HTTP сервер на порт между 1024 и 10000; цель Шеллкод соединяет назад к этому HTTP - сервер , чтобы загрузить копию вируса в DLL форме, которая затем крепится к svchost.exe . Варианты B , а затем может присоединить вместо к работающему services.exe или проводника Windows процесса. Присоединение к тем процессам , может быть обнаружено с помощью целевого приложения особенности установленного брандмауэра.
  • Варианты B и C могут удаленно выполнять свои копии через ADMIN $ доли на компьютерах , видимых через NetBIOS . Если доля защищен пароль, атака по словарям попытки, потенциально генерировать большие объемы сетевого трафика и отключение политики блокировки учетных записей пользователей.
  • Варианты B и C разместить копию их формы DLL в recycle.bin любого прикрепленного съемных носителей (например, USB флэш - накопители), из которых они могут затем заразить новых хозяев через окна AutoRun механизма с помощью манипулируют autorun.inf .

Для того, чтобы начать себя при загрузке системы, вирус сохраняет копию своей DLL формы случайного файл в системе Windows , или папке system32, затем добавляет ключи реестра , чтобы svchost.exe вызывать этот DLL как невидимая услугу сети.

Вирус имеет несколько механизмов для толкания или вытягивать исполняемую полезную нагрузку по сети. Эти полезные нагрузки используются вирусом для обновления себя новые варианты, а также для установки дополнительных вредоносных программ.

  • Вариант А генерирует список из 250 доменных имен каждого дня по пять ДВОЙ . Доменные имена генерируются из числа генератора псевдослучайных чисел (PRNG) высевают с текущей датой , чтобы гарантировать , что каждая копия вируса создает те же имена каждый день. Затем вирус пытается выполнить соединение HTTP для каждого доменного имени , в свою очередь, ожидая от любой из них знаковой полезной нагрузки.
  • Вариант B увеличивает количество ДВА до восьми, и генератор переделан , чтобы произвести доменные имена не пересекается с тем А.
    • Для того, чтобы противостоять использование вирусов доменных имен псевдослучайных, Интернет - корпорация по присвоению имен и номеров (ICANN) и несколько TLDреестров началось в феврале 2009 года координировал запрет на трансферы и регистраций для этих доменов. Вариант D счетчиков это генерируя ежедневно пул 50000 доменов через 110 доменов верхнего уровня, из которого он случайным образом выбирает 500 , чтобы попытаться в этот день. Сформированные доменные имена были также укорачивается от 8-11 до 4-9 символов , чтобы сделать их более трудно обнаружить с помощью эвристики . Этот новый механизм тяги (который был отключен до 1 апреля 2009 года) вряд ли распространять полезную нагрузку более чем на 1% зараженных хостов в день, но , как ожидается , функционировать в качестве механизма высева для вируса равный-равному сети. Чем короче сгенерированные имена, однако, как ожидается, сталкиваются с 150-200 существующих доменов в день, потенциально вызывая распределенный отказ в обслуживании атаки (DDoS) на сайтах , обслуживающих эти домены. Однако большое количество генерируемых доменов и тот факт , что не каждый домен будет связаться в определенный день, вероятно , предотвратить DDoS ситуаций.
  • Вариант C создает именованный канал , по которому он может нажать URL - адреса для загружаемых полезных нагрузок других зараженных хостов в локальной сети .
  • Варианты В, С и Е выполняют в памяти исправлений для NetBIOS-связанных библиотек DLL , чтобы закрыть MS08-067 и наблюдать за попытки повторной инфекции через ту же уязвимость. Re-инфекции от более поздних версий Conficker пропускается, превращая эту уязвимость в распространении бэкдор .
  • Варианты D и E создания одноранговой равный-равному сети , чтобы толкать и тянуть полезную нагрузку на широкой сети Интернет. Этот аспект вируса сильно запутывается в коде и до конца не изучен, но наблюдается использовать крупномасштабную UDP сканирование , чтобы создать список пэра зараженных хостов и TCP для последующих переводов , подписанных полезных нагрузок. Для того, чтобы сделать анализ более трудным, номера портов для подключений хэшируются из IP - адреса каждого партнера.

Для предотвращения полезных нагрузок от быть захвачены, вариант А полезные нагрузки сначала SHA-1 - хэшированный и RC4 - зашифровано с 512-битовым хэшем в качестве ключа . Хеш затем RSA -signed с 1024-битным закрытым ключом. Полезная нагрузка распаковывается и выполняется только тогда , когда его подпись проверяет с помощью открытого ключа , встроенного в вирусе. Варианты B , а затем использовать md6 в качестве хэш - функции и увеличить размер ключа RSA 4096 бит. Conficker B принял md6 простые месяцы после того, как она была впервые опубликована; через шесть недель после того, как слабость , была обнаружена на ранней версию алгоритма и новую версии была опубликована, Conficker обновлены до нового MD6.

Вариант С вирусом перезапускает Восстановление системы точек и отключает ряд системных сервисов , такие как автоматическое обновление Windows , Центр обеспечения безопасности Windows , Windows Defender и отчеты об ошибках Windows . Процессы , соответствующие предопределенный список противовирусного, диагностические или системные инструменты Patching наблюдают за и прекращаются. Патч в памяти также применяется к системе распознавателя DLL , чтобы блокировать подстановочные имена хостов , связанные с антивирусными поставщиками программного обеспечения и службой Windows Update.

Вариант E вируса был первым, чтобы использовать свою базу зараженных компьютеров для скрытых целей. Он загружает и устанавливает, с веб-сервера размещенного в Украине, два дополнительных полезных нагрузок:

  • Waledac , спамбот иначе , как известно, распространяются через вложения электронной почты. Waledac работает аналогично 2008 Storm Worm и считается , что они были написаны теми же авторами.
  • SpyProtect 2009 года, КИБЕРБЕЗОПАСНОСТИподдельный антивирус продукт.

симптомы

  • политики блокировки учетных записей сбрасывается автоматически.
  • Некоторая Microsoft служба Windows , такие как автоматические обновления , фоновая интеллектуальная служба передачи (BITS), Windows Defender и Windows , отчеты об ошибках отключена.
  • Контроллеры домена медленно реагирует на запросы клиентов.
  • Перегрузки в локальных сетях (ARP наводнение как следствие сканирования сети).
  • Веб - сайты , связанные с антивирусным программным обеспечением или обновление Windows служба становится недоступной.
  • Учетные записи пользователей блокируются.

отклик

С 12 февраля 2009 года Microsoft объявила о создании отраслевой группы совместно противостоять Conficker. Группа, которая с тех пор неофициально окрестили Conficker Cabal, включает в себя Microsoft , Afilias , ICANN , занесение , Verisign , Китай Информационный центр сети Интернет , Public Internet Registry, Global Domains International, M1D Global, America Online , Symantec , F-Secure , ISC, исследователи из Georgia Tech , The ShadowServer Foundation, Arbor Networks и поддержки разведки.

В 13 февраля 2009 года Microsoft предложила $ USD награду 250,000 за информацию , ведущую к аресту и осуждению лиц , за создание и / или распространение Conficker.

ICANN стремится упреждающим запретом переводов доменов и регистрации со всех TLD реестров пострадавших от генератора домена вируса. Те , которые приняли меры включают в себя:

К середине апреля 2009 года все доменные имена, порожденные Conficker A были успешно заблокированы или превентивно зарегистрированы, что делает его механизм обновления неэффективен.

происхождения

Точное происхождение Conficker остается неизвестным. Члены рабочей группы заявили в 2009 году Black Hat Брифинги , что Украина является вероятным происхождением вируса, но отказались раскрывать дальнейшие технические открытия о внутренностях Вируса , чтобы избежать опрокидывания от его авторов. Первоначальный вариант Conficker не заражает системы с украинскими IP - адресами или с украинскими раскладками. Полезная нагрузка Conficker.E была загружена из хоста в Украине.

Удаление и обнаружение

Из-за блокировки вирусных файлов от удаления до тех пор, пока система работает, ручное или автоматическое удаление сам должно быть выполнено во время процесса загрузки или с внешней системой, установленной. Удаление любой существующей резервной копии является важным шагом.

Microsoft выпустила руководство по удалению для вируса, и рекомендует использовать текущую версию своей ОС Windows Средство удаления вредоносных программ для удаления вируса, а затем применять патч для предотвращения повторного заражения.

Многие сторонние производители антивирусного программного обеспечения выпустили обновления для обнаружения их продукции и утверждают, чтобы иметь возможность удалить червь. Развивающийся процесс вредоносной программы показывает некоторое принятие к общему удаления программного обеспечения, поэтому вполне вероятно, что некоторые из них могут удалить или, по крайней мере, отключить некоторые варианты, в то время как другие остаются активными или, что еще хуже, поставить ложный положительный результат для удаления программного обеспечения и становится активным при следующей перезагрузке.

С 27 марта 2009 года Феликс Ледер и Tillmann Вернер из проекта Honeynet обнаружили , что Conficker-инфицированные хозяева имеют выявляемого подпись при сканировании удаленно. Равный-равному командный протокол , используемый варианты D и Е вируса с тех пор были частично обратной инженерии , что позволяет исследователям имитировать пакеты команд вируса сети и однозначно идентифицировать зараженные компьютеры ан-массово.

Обновления сигнатур для целого ряда приложений сканирования сети , теперь доступны в том числе NMap и Nessus . Кроме того, некоторые коммерческие производители выпустили специальные сканеры, а именно Eeye и McAfee .

Она также может быть обнаружена в пассивном режиме с помощью перехвата широковещательных доменов для повторения ARP - запросов.

Читайте также:

Пожалуйста, не занимайтесь самолечением!
При симпотмах заболевания - обратитесь к врачу.

Copyright © Иммунитет и инфекции