Conficker

Vikipēdijas lapa
Pārlēkt uz: navigācija, meklēt
Shēma par to kā var notikt datora inficēšanās.

Conficker (zināms arī kā Downup, Downadup un Kido) — mūsdienu viens no zināmajiem un bīstamākajiem datora tārpiem. Programma tika uzrakstīta uz Microsoft Visual C++ un pirmoreiz tīklā parādījās 2008. gada 21. novembrī.[1] Uzbrūk Microsoft Windows operētājsistēmām (no Windows 2000 līdz Windows 7 un Windows Server 2008 R2). Līdz 2009. gada janvārim vīruss bija skāris no 9[2] līdz 15 miljoniem[3] pasaules datoru. 2009. gada 13. janvārī Microsoft solīja 250 000 dolāru par vīrusa autora informāciju.[4] 1. aprīlī bija paredzēts, ka vīrusam jāaktivizējas, taču tas neaktivējās, bet bīstamība ir saglabājusies līdz pat šai dienai. Epidēmija kļuva iespējama, jo zināma daļa lietotāju neizmantoja laicīgi atjauninājuma ielādēšanas iespēju, izlaistu vienlaicīgi kopā ar biļetenu MS08-067.[5]

Nosaukums[labot šo sadaļu | labot pirmkodu]

Nosaukums „Conficker” cēlies no angļu: configuration (konfigurācija) un vācu: ficker (rupji - tas, kas nodarbojas ar dzimumaktu, salīdz. angļu: fucker[6] Tādā veidā, Conficker — „konfigurāciju izvarotājs”.

Izplatīšanās[labot šo sadaļu | labot pirmkodu]

Tik ātra vīrusa izplatīšanās ir saistīta ar „Server service” pakalpojumu. Izmantojot „caurumu” tajā, tārps lejuplādē sevi no interneta. Interesanti ir tas, ka vīrusa izstrādātāji iemācījušies pastāvīgi mainīt savus serverus.

Tāpat tas arī var izplatīties caur USB, izveidojot failu autorun.inf un failu RECYCLED\{SID}\RANDOM_NAME.vmx. Sistēmā tārps saglabājas dll-faila izskatā ar nejaušu nosaukumu, kas sastāv no latīņu burtiem, piemēram: c:\windows\system32\zorizr.dll. Tāpat arī ieraksta sevi servisos ar nejaušu nosaukumu, kas sastāv no latīņu burtiem.

Darbības principi[labot šo sadaļu | labot pirmkodu]

Tārps atrod Windows neaisargātību, saistītu ar bufera pārpildinājumu un ar palīdzību viltus RPC-pieprasījumu izpilda kodu. Pirmkārt tas atslēdz pakalpojumu sēriju: automātiskā Windows atjaunošanās, Windows Security Center, Windows Defender un Windows Error Reporting, kā arī bloķē piekļuvi pretvīrusu izgatavotāju adresēm.

Periodiski tārps nejaušā veidā ģenerē Interneta adrešu sarakstu (apmēram 50 tūkst. domēnu vārdus dienā), kuriem pievēršas, lai saņemtu izpildāmo kodu. Saņemot no adreses izpildāmo failu, tārps salīdzina elektronisko ciparparakstu un, ja tas saskan, izpilda failu. Bez tam tārps realizē P2P apmaiņas mehānismu atjauninājumus, kas ļauj viņam izsūtīt atjauninājumus dzēstām kopijām, apejot pārvaldības serveri.

Infekcijas simptomi[labot šo sadaļu | labot pirmkodu]

1. Atslēgti un/vai nevarat ieslēgt šādus pakalpojumus:

  • Windows Update Service
  • Background Intelligent Transfer Service
  • Windows Defender
  • Windows Error Reporting Services

2. Bloķēta pieeja pretvīrusu izgatavotāju adresēm.

3. Inficētajos datoros lokālajā tīklā palielinās tīkla noslodze, jo no šiem datoriem sākas tīkla uzbrukumi.

4. Antivīrusu pieteikumi ar aktīvu tīkla ekrānu ziņo par Intrusion.Win.NETAPI.buffer-overflow.exploit uzbrukumu.

Cīņa ar vīrusu[labot šo sadaļu | labot pirmkodu]

Brīdināšanā par vīrusa infekciju un tā iznīcināšanā no inficētiem datoriem piedalījās tādas korporācijas, kā Microsoft, Dr.Web, ESET[7], Kaspersky Lab, Panda Security[8], F-Secure, AOL un citi. Taču bīstamība tik un tā ir saglabājusies līdz pat šai dienai, jo vīruss pastāvīgi pārveidojas, tāpēc, lai novērstu datora inficēšanos, vajag vienmēr atjaunot sistēmu un antivīrusu bāzes parakstus.

Kā arī katram lietotājam jāzina, ka, ja dators jau ir inficēts ar vīrusu — atjauninājums var nepalīdzēt. Tieši tāpēc pilnīgai tārpa dzēšanai iesaka izmantot īpašas programmas pašas jaunākās versijas.

Atsauces[labot šo sadaļu | labot pirmkodu]

Adreses[labot šo sadaļu | labot pirmkodu]

  1. Руководство: борьба с KIDO\CONFICKER (VirusNet.info)
  2. Conficker C analīze: SRI starptautiskas tehniskais ziņojums (angliski)
  3. Conficker tārps: palīdz aizsargāt Windows no Conficker.A un Conficker.B (angliski)
  4. Conficker vēsture, darbības mehānisms un aizsardzība (krieviski)
  5. Net-Worm.Win32.Kido.bt (krieviski)
  6. Paņēmieni kā atbrīvoties no Conficker.AA (krieviski)