Conficker

Conficker (також відомий як Downup, Downadup і Kido) — комп'ютерний хробак, епідемія якого почалася 21 листопада 2008. Шкідлива програма була написана на Visual C++ і вперше з'явилася в мережі 21 листопада 2008. Заражав операційні системи сімейства Microsoft Windows (Windows XP і Windows Server 2008 R2). На січень 2009 черв'як вразив  12 мільйонів комп'ютерів у всьому світі. 12 лютого 2009 Microsoft обіцяла 250 000 доларів за інформацію про творців хробака^[1].

Епідемія стала можливою в результаті того, що значна частина користувачів виявилася схильна до вразливостей, раніше усунутих критичними оновленнями MS08-067.

Назва[ред. | ред. код]

Назва «Conficker» походить від англ. configuration (config) (конфігурація) і нім. ficker (груб. учасник статевого акту, пор. англ. fucker). Таким чином, Conficker — «ґвалтівник конфігурацій».

Принципи роботи[ред. | ред. код]

Настільки швидке поширення хробака пов'язано з мережевою службою. Використовуючи уразливість в ній, черв'як завантажував себе з Інтернету. Цікаво, що розробники хробака навчилися постійно змінювати свої сервери, що раніше не вдавалося зловмисникам.

Також, хробак міг поширюватися через USB-накопичувачі, створюючи виконуваний файл autorun.inf і файл RECYCLED\{SID}\RANDOM_NAME.vmx. В зараженій системі хробак прописував себе в сервісах і зберігався у вигляді dll-файлу з випадковим ім'ям, що складається з латинських букв, наприклад:

C:\Windows\System32\zorizr.dll

Черв'як використовував уразливості операційних систем сімейства Windows, пов'язані з переповненням буфера і за допомогою обманного RPC-запиту виконував шкідливий код. Першим ділом він відключав низку служб — автоматичне оновлення Windows, Windows Security Center, Windows Defender і Windows Error Reporting, а також блокував доступ до сайтів ряду виробників антивірусів.

Періодично хробак випадковим чином генерував список вебсайтів (близько 50 тис. доменних імен на добу), до яких звертався для отримання виконуваного коду. При отриманні з сайту виконуваного файлу хробак звіряв електронно-цифровий підпис, і якщо він збігався — виконував файл.

Крім того, хробак реалізує P2P-механізм обміну оновленнями, що дозволяло йому розсилати оновлення віддаленим копіям, минаючи керуючий сервер.

Україна[ред. | ред. код]

Перші версії хробака, а саме Conficker.A перевіряли наявність української розкладки клавіатури і самознищувалися в цьому випадку. Крім того, скачувалася база даних GeoIP з сайту maxmind.com і при скануванні українські адреси, виявлені з її допомогою, не заражалися. У наступних версіях цей функціонал вже не був реалізований.

Симптоми зараження[ред. | ред. код]

1. Відключені і/або не включаються служби:
   • Windows Update Service
   • Background Intelligent Transfer Service
   • Windows Defender
   • Windows Error Reporting Services
2. Блокується доступ комп'ютера до сайтів виробників антивірусів
3. При наявності заражених комп'ютерів в локальній мережі підвищується об'єм мережевого трафіку, оскільки з цих комп'ютерів починається мережева атака.
4. Антивірусні програми з активним мережевим екраном повідомляють про атаку Intrusion.Win.NETAPI.buffer-overflow.exploit.
5. Комп'ютер починає дуже повільно реагувати на дії користувача, при цьому Диспетчер Завдань повідомляє про 100 % використання ресурсів ЦП процесом svchost.exe.
6. Блокується служба IPSec. Як наслідок — порушення роботи мережі.

Вплив у Європі[ред. | ред. код]

Інтрамар, комп'ютерна мережа французького військово-морського флоту, була заражена Conficker 15 січня 2009 року. Потім мережа була піддана карантину, змусивши літаки на декількох авіабазах бути на землі, оскільки їхні плани польоту не могли бути завантажені.

Міністерство оборони Великої Британії повідомило, що деякі з її основних систем та настільних комп'ютерів були заражені. Вірус поширився по адміністративних офісах, заразив настільні комп'ютери NavyStar/N * на борту різних військових кораблів Королівського флоту і підводних човнів Royal Navy, а лікарні в місті Шеффілд повідомили про зараження понад 800 комп'ютерів.

2 лютого 2009 р. Бундесвер, об'єднані збройні сили Німеччини, повідомили, що близько сотні комп'ютерів були заражені.

Через зараження інформаційної системи Манчестерської міської ради в лютому 2009 року було списано 1,5 млн. Фунтів стерлінгів збитків. Використання флеш-накопичувачів USB було заборонено, оскільки це вважалося вектором початкової інфекції.

Запис від Директора Служби інформаційних технологій Парламенту Великої Британії 24 березня 2009 року повідомив користувачів Палати громад про те, що він був заражений вірусом. В подальшому повідомлення, яке було випущено, закликали користувачів уникати підключення будь-якого неавторизованого обладнання до мережі.

У січні 2010 р. Була заражена комп'ютерна мережа Великої Манчестерської поліції, яка призвела до її відключення на три дні від Національного комп'ютера поліції, як запобіжний захід; в той час офіцери повинні були просити інші сили виконувати регулярні перевірки транспортних засобів та людей.

Боротьба з черв'яком[ред. | ред. код]

В попередженні зараження черв'яком і його знищення із заражених комп'ютерів брали участь такі корпорації, як Microsoft, Symantec, Dr.Web, ESET, Kaspersky Lab, Panda Security, F-Secure, AOL та інші. Тим не менш, небезпека зберігається донині, бо  хробак постійно мутує, тому, щоб попередити зараження комп'ютера, потрібно регулярно оновлювати систему та антивірусні бази сигнатур.

Також кожен користувач повинен знати, що якщо комп'ютер вже інфікований хробаком — оновлення може не допомогти. Ось чому для повного видалення хробака рекомендується використовувати спеціальні утиліти^[2].

Збиток[ред. | ред. код]

На думку компанії McAfee, збиток, нанесений хробаком мережного співтовариства, оцінюється в $9,1 млрд, і поступається лише збитку, заподіяного такими поштовими хробаками, як MyDoom ($38 млрд) і ILOVEYOU ($15 млрд.)^[3].

Див. також[ред. | ред. код]

• Комп'ютерний вірус
• Шкідливе програмне забезпечення
• Хронологія комп'ютерних вірусів
• Комп'ютер-зомбі
• DoS/DDoS-атака
• Бекдор
• Руткіт
• Експлойт
• WannaCry
• Petya (мережевий черв'як-вимагач)

Примітки[ред. | ред. код]

Посилання[ред. | ред. код]

• An Analysis of Conficker C: SRI international technical report
• Conficker Worm: Help Protect Windows from Conficker.A and Conficker.B [Архівовано 18 травня 2018 у Wayback Machine.]
• Microsoft Security Bulletin MS08-067 — Critical