Conficker

Shēma par to kā var notikt datora inficēšanās.

Conficker (zināms arī kā Downup, Downadup un Kido) — mūsdienu viens no zināmajiem un bīstamākajiem datora tārpiem. Programma tika uzrakstīta uz Microsoft Visual C++ un pirmoreiz tīklā parādījās 2008. gada 21. novembrī^[1]. Uzbrūk Microsoft Windows operētājsistēmām (no Windows 2000 līdz Windows 7 un Windows Server 2008 R2). Līdz 2009. gada janvārim vīruss bija skāris no 9^[2] līdz 15 miljoniem^[3] pasaules datoru. 2009. gada 13. janvārī Microsoft solīja 250 000 dolāru par vīrusa autora informāciju^[4]. 1. aprīlī bija paredzēts, ka vīrusam jāaktivizējas, taču tas neaktivējās, bet bīstamība ir saglabājusies līdz pat šai dienai. Epidēmija kļuva iespējama, jo zināma daļa lietotāju neizmantoja laicīgi atjauninājuma ielādēšanas iespēju, izlaistu vienlaicīgi kopā ar biļetenu MS08-067^[5].

[izmainīt šo sadaļu] Nosaukums

Nosaukums «Conficker» cēlies no angļu: configuration (konfigurācija) un vācu: ficker (rupji - tas, kas nodarbojas ar dzimumaktu, salīdz. angļu: fucker^[6] Tādā veidā, Conficker — «konfigurāciju izvarotājs».

[izmainīt šo sadaļu] Izplatīšanās

Tik ātra vīrusa izplatīšanās ir saistīta ar "Server service" pakalpojumu. Izmantojot «caurumu» tajā, tārps lejuplādē sevi no interneta. Interesanti ir tas, ka vīrusa izstrādātāji iemācījušies pastāvīgi mainīt savus serverus, ko ļaundariem agrāk nebija izdevies izdarīt.^{[nepieciešama atsauce]}

Tāpat tas arī var izplatīties caur USB, izveidojot failu autorun.inf un failu RECYCLED\{SID}\RANDOM_NAME.vmx. Sistēmā tārps saglabājas dll-faila izskatā ar nejaušu nosaukumu, kas sastāv no latīņu burtiem, piemēram: c:\windows\system32\zorizr.dll. Tāpat arī ieraksta sevi servisos ar nejaušu nosaukumu, kas sastāv no latīņu burtiem.

[izmainīt šo sadaļu] Darba principi

Tārps atrod Windows neaisargātību, saistītu ar bufera pārpildinājumu un ar palīdzību viltus RPC-pieprasījumu izpilda kodu. Pirmkārt tas atslēdz pakalpojumu sēriju: automātiskā Windows atjaunošanās, Windows Security Center, Windows Defender un Windows Error Reporting, kā arī bloķē piekļuvi pretvīrusu izgatavotāju adresēm.

Periodiski tārps nejaušā veidā ģenerē interneta adrešu sarakstu (apmēram 50 tūkst. domēnu vārdus dienā), kuriem pievēršas, lai saņemtu izpildāmo kodu. Saņemot no adreses izpildāmo failu, tārps salīdzina elektronisko ciparparakstu un, ja tas saskan, izpilda failu. Bez tam tārps realizē P2P apmaiņas mehānismu atjauninājumus, kas ļauj viņam izsūtīt atjauninājumus dzēstām kopijām, apejot pārvaldības serveri.

[izmainīt šo sadaļu] Infekcijas simptomi

1. Atslēgti un/vai nevarat ieslēgt sekojošos pakalpojumus:

Windows Update Service
Background Intelligent Transfer Service
Windows Defender
Windows Error Reporting Services

2. Bloķēta pieeja pretvīrusu izgatavotāju adresēm.

3. Inficētajos datoros lokālajā tīklā palielinās tīkla trafiks, jo no šiem datoriem sākas tīkla uzbrukumi.

4. Antivīrusu pieteikumi ar aktīvu tīkla ekrānu ziņo par Intrusion.Win.NETAPI.buffer-overflow.exploit uzbrukumu.

[izmainīt šo sadaļu] Cīņa ar vīrusu

Brīdināšanā par vīrusa infekciju un tā iznīcināšanā no inficētiem datoriem piedalījās tādas korporācijas, kā Microsoft, Dr.Web, ESET^[7], Kaspersky Lab, Panda Security^[8], F-Secure, AOL un citi. Taču bīstamība tik un tā ir saglabājusies līdz pat šai dienai, jo vīruss pastāvīgi pārveidojas, tāpēc, lai novērstu datora inficēšanos, vajag vienmēr atjaunot sistēmu un antivīrusu bāzes parakstus.

Kā arī katram lietotājam jāzin, ka, ja dators jau ir inficēts ar vīrusu — atjauninājums var nepalīdzēt. Tieši tāpēc priekš pilnīgas tārpa dzēšanas iesaka izmantot īpašo darbarīku pašas jaunākās versijas.

[izmainīt šo sadaļu] Atsauces

↑ Aizsargājat sevi no Conficker datortārpa (angliski)
↑ Downadup vīruss apdraud miljoniem datoru (angliski)
↑ Vīrusa upuru skaits sasniedz 15 miljonus (angliski)
↑ Microsoft samaksās 250 tūkst. dolāru par vīrusa Conficker autora informāciju (krieviski)
↑ Microsoft Security Bulletin MS08-067 – Critical (angliski)
↑ Vārda "ficker" angliskais tulkojums (vāciski)
↑ Conficker.C informācija Eset mājaslapā (angliski)
↑ Conficker.C informācija Panda Security mājaslapā (angliski)

[izmainīt šo sadaļu] Adreses

Руководство: борьба с KIDO\CONFICKER (VirusNet.info)
Conficker C analīze: SRI starptautiskas tehniskais ziņojums (angliski)
Conficker tārps: palīdz aizsargāt Windows no Conficker.A un Conficker.B (angliski)
Conficker vēsture, darbības mehānisms un aizsardzība (krieviski)
Net-Worm.Win32.Kido.bt (krieviski)
Paņēmieni kā atbrīvoties no Conficker.AA (krieviski)

Šis ar informācijas tehnoloģijām un datoriem saistītais raksts ir nepilnīgs. Jūs varat dot savu ieguldījumu Vikipēdijā, papildinot to.

[0] Aizsargājat sevi no Conficker datortārpa (angliski)

[1] Downadup vīruss apdraud miljoniem datoru (angliski)

[2] Vīrusa upuru skaits sasniedz 15 miljonus (angliski)

[3] Microsoft samaksās 250 tūkst. dolāru par vīrusa Conficker autora informāciju (krieviski)

[4] Microsoft Security Bulletin MS08-067 – Critical (angliski)

[5] Vārda "ficker" angliskais tulkojums (vāciski)

[6] Conficker.C informācija Eset mājaslapā (angliski)

[7] Conficker.C informācija Panda Security mājaslapā (angliski)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

Conficker

Satura rādītājs

[izmainīt šo sadaļu] Nosaukums

[izmainīt šo sadaļu] Izplatīšanās

[izmainīt šo sadaļu] Darba principi

[izmainīt šo sadaļu] Infekcijas simptomi

[izmainīt šo sadaļu] Cīņa ar vīrusu

[izmainīt šo sadaļu] Atsauces

[izmainīt šo sadaļu] Adreses

Lietotāja rīki

Vārdtelpas

Varianti

Apskates

Darbības

Meklēt

Navigācija

Rīki

Citās valodās