Conficker

Conficker (также известен как Downup, Downadup и Kido) — компьютерный червь, эпидемия которого началась 21 ноября 2008 года. Вредоносная программа была написана на Microsoft Visual C++ и впервые появилась в сети 21 ноября 2008 года. Вирус также известен как Downadup, именно он создал инфраструктуру для ботнета^[1]. Программа заражала операционные системы семейства Microsoft Windows (Windows XP и Windows Server 2008 R2). За январь 2009 года червь поразил более 12 миллионов компьютеров по всему миру. 12 февраля 2009 года компания Microsoft пообещала заплатить 250 000 долларов за информацию о создателях червя^[2].

Conficker
Схема распространения червя Conficker
Полное название (Касперский)	Net-Worm.Win32.Kido.bt
Тип	сетевой червь, ботнет
Год появления	2008 год
Используемое ПО	уязвимость в критическом обновлении MS08-067
Описание Symantec
Медиафайлы на Викискладе

Эпидемия стала возможной в результате того, что значительная часть пользователей оказалась подвержена уязвимостям, ранее устранённым критическими обновлениями MS08-067.

Название

Название «Conficker» происходит от англ. configuration (config) (конфигурация) и нем. ficker (груб. участник полового акта, сравн. англ. fucker). Таким образом, Conficker — «насильник конфигураций».

Принципы работы

Столь быстрое распространение червя связано с уязвимостью в сетевой службе. Используя эту уязвимость, червь сам загружал себя из Интернета. Интересно, что разработчики червя научились постоянно менять свои серверы, что раньше не удавалось злоумышленникам.

Также червь мог распространяться через USB-накопители, создавая исполняемый файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx. В заражённой системе червь прописывал себя в сервисах и хранился в виде dll-файла со случайным именем, состоящим из латинских букв, например:

C:\Windows\System32\zorizr.dll

Как только Conficker инфицировал компьютер, он отключал многие функции безопасности и настройки автоматического резервного копирования, удалял точки восстановления и открывал соединения для получения инструкций от удаленного компьютера. После настройки первого компьютера Conficker использовал его для получения доступа к остальной части сети^[1].

Червь использовал уязвимости операционных систем семейства Windows, связанные с переполнением буфера, и при помощи обманного RPC-запроса выполнял вредоносный код. Первым делом он отключал ряд служб: автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting, — а также блокировал доступ к сайтам ряда производителей антивирусов.

Периодически червь случайным образом генерировал список веб-сайтов (около 50 тыс. доменных имён в сутки), к которым обращался для получения исполняемого кода. При получении с сайта исполняемого файла червь проверял его подпись, и если она была действительной — исполнял файл.

Кроме того, червь использовал P2P-механизм обмена обновлениями, что позволяло ему рассылать обновления удалённым копиям, минуя управляющий сервер.

Симптомы заражения

1. Отключены и/или не включаются службы:
   • Windows Update Service;
   • Background Intelligent Transfer Service;
   • Windows Defender;
   • Windows Error Reporting Services.
2. Блокируется доступ компьютера к сайтам производителей антивирусов.
3. При наличии заражённых компьютеров в локальной сети повышается объём сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
4. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
5. Компьютер начинает очень медленно реагировать на действия пользователя, при этом Диспетчер Задач сообщает о 100%-ом использовании ресурсов ЦП процессом svchost.exe.
6. Блокируется служба IPSec. Как следствие нарушение работы сети.

Борьба с червём

В предупреждении заражения червём и его уничтожении с заражённых компьютеров принимали участие такие корпорации, как Microsoft, Symantec, Dr.Web, ESET, Kaspersky Lab, Panda Security, F-Secure, AOL и другие. Тем не менее, опасность сохраняется по сей день^{[когда?]}.

Ущерб

По мнению компании McAfee, ущерб, нанесённый червём сетевому сообществу, оценивается в $9,1 млрд, и уступает лишь ущербу, причинённому такими почтовыми червями, как MyDoom ($38 млрд.) и ILOVEYOU ($15 млрд.)^[3].

См. также

• Компьютерный вирус
• Вредоносное программное обеспечение
• Хронология компьютерных вирусов
• Компьютер-зомби
• DoS/DDoS-атака
• Бэкдор
• Руткит
• Эксплойт
• WannaCry
• Storm (ботнет)
• Petya (сетевой червь-вымогатель)

Примечания

1. What is Conficker? - Definition from WhatIs.com (англ.). WhatIs.com. Дата обращения: 7 сентября 2022. Архивировано 8 сентября 2022 года.
2.  (англ.) Conficker Worm: Help Protect Windows from Conficker Архивная копия от 18 мая 2018 на Wayback Machine, 10 апреля 2009
3. McAfee, A Good Decade for Cybercrime Архивировано 5 июня 2013 года., (pdf), (англ).

Ссылки

• An Analysis of Conficker C: SRI international technical report
• Conficker Worm: Help Protect Windows from Conficker.A and Conficker.B
• Microsoft Security Bulletin MS08-067 — Critical
• Microsoft заплатит $250 тыс. за информацию об авторе червя Conficker (Securitylab.ru) Архивная копия от 3 декабря 2011 на Wayback Machine
• Как бороться с сетевым червём Net-Worm.Win32.Kido