Conficker

Vikipēdijas lapa
Pārlēkt uz: navigācija, meklēt
Shēma par to kā var notikt datora inficēšanās.

Conficker (zināms arī kā Downup, Downadup un Kido) — mūsdienu viens no zināmajiem un bīstamākajiem datora tārpiem. Programma tika uzrakstīta Microsoft Visual C++ valodā un pirmoreiz tīklā parādījās 2008. gada 21. novembrī.[1] Uzbrūk Microsoft Windows operētājsistēmām (no Windows 2000 līdz Windows 7 un Windows Server 2008 R2). Līdz 2009. gada janvārim vīruss bija skāris no 9[2] līdz 15 miljoniem[3] pasaules datoru. 2009. gada 13. janvārī Microsoft solīja 250 000 dolāru par vīrusa autora informāciju.[4] 1. aprīlī bija paredzēts, ka vīrusam jāaktivizējas, taču tas neaktivējās, bet bīstamība ir saglabājusies līdz pat šai dienai. Epidēmija kļuva iespējama, jo zināma daļa lietotāju laikus neizmantoja vienlaikus ar biļetenu MS08-067 pieejamu atjauninājuma ielādēšanas iespēju.[5]

Nosaukums[labot šo sadaļu | labot pirmkodu]

Nosaukums „Conficker” cēlies no angļu: configuration (konfigurācija) un vācu: ficker (rupji — tas, kas nodarbojas ar dzimumaktu, salīdz. angļu: fucker[6] Tādējādi, Conficker — „konfigurāciju izvarotājs”.

Izplatīšanās[labot šo sadaļu | labot pirmkodu]

Tik ātra vīrusa izplatīšanās ir saistīta ar „Server service” pakalpojumu. Izmantojot „caurumu” tajā, tārps lejuplādē sevi no interneta. Interesanti ir tas, ka vīrusa izstrādātāji iemācījušies pastāvīgi mainīt savus serverus.

Tāpat tas arī var izplatīties caur USB, izveidojot failu autorun.inf un failu RECYCLED\{SID}\RANDOM_NAME.vmx. Sistēmā tārps saglabājas dll-faila izskatā ar nejaušu nosaukumu, kas sastāv no latīņu burtiem, piemēram: c:\windows\system32\zorizr.dll. Tāpat arī ieraksta sevi servisos ar nejaušu nosaukumu, kas sastāv no latīņu burtiem.

Darbības principi[labot šo sadaļu | labot pirmkodu]

Tārps atrod Windows neaizsargātību, saistītu ar bufera pārpildinājumu un ar palīdzību viltus RPC-pieprasījumu izpilda kodu. Pirmkārt tas atslēdz pakalpojumu sēriju: automātiskā Windows atjaunošanās, Windows Security Center, Windows Defender un Windows Error Reporting, kā arī bloķē piekļuvi pretvīrusu izgatavotāju adresēm.

Periodiski tārps nejaušā veidā ģenerē Interneta adrešu sarakstu (apmēram 50 tūkst. domēnu vārdus dienā), kuriem pievēršas, lai saņemtu izpildāmo kodu. Saņemot no adreses izpildāmo failu, tārps salīdzina elektronisko ciparparakstu un, ja tas saskan, izpilda failu. Turklāt tārps realizē P2P apmaiņas mehānismu atjauninājumus, kas ļauj viņam izsūtīt atjauninājumus dzēstām kopijām, apejot pārvaldības serveri.

Infekcijas simptomi[labot šo sadaļu | labot pirmkodu]

1. Atslēgti un/vai nevarat ieslēgt šādus pakalpojumus:

  • Windows Update Service
  • Background Intelligent Transfer Service
  • Windows Defender
  • Windows Error Reporting Services

2. Bloķēta pieeja pretvīrusu izgatavotāju adresēm.

3. Inficētajos datoros lokālajā tīklā palielinās tīkla noslodze, jo no šiem datoriem sākas tīkla uzbrukumi.

4. Antivīrusu pieteikumi ar aktīvu tīkla ekrānu ziņo par Intrusion.Win.NETAPI.buffer-overflow.exploit uzbrukumu.

Cīņa ar vīrusu[labot šo sadaļu | labot pirmkodu]

Brīdināšanā par vīrusa infekciju un tā iznīcināšanā no inficētiem datoriem piedalījās tādas korporācijas, kā Microsoft, Dr.Web, ESET[7], Kaspersky Lab, Panda Security[8], F-Secure, AOL un citi. Taču bīstamība tik un tā ir saglabājusies līdz pat šai dienai, jo vīruss pastāvīgi pārveidojas, tāpēc, lai novērstu datora inficēšanos, vajag vienmēr atjaunot sistēmu un pretvīrusu bāzes parakstus.

Kā arī katram lietotājam jāzina, ka, ja dators jau ir inficēts ar vīrusu — atjauninājums var nepalīdzēt. Tieši tāpēc pilnīgai tārpa dzēšanai iesaka izmantot īpašas programmas pašas jaunākās versijas.

Atsauces[labot šo sadaļu | labot pirmkodu]

Adreses[labot šo sadaļu | labot pirmkodu]

  1. Руководство: борьба с KIDO\CONFICKER (VirusNet.info)
  2. Conficker C analīze: SRI starptautiskas tehniskais ziņojums (angliski)
  3. Conficker tārps: palīdz aizsargāt Windows no Conficker.A un Conficker.B (angliski)
  4. Conficker vēsture, darbības mehānisms un aizsardzība (krieviski)
  5. Net-Worm.Win32.Kido.bt (krieviski)
  6. Paņēmieni kā atbrīvoties no Conficker.AA (krieviski)