Интернет магазин китайских планшетных компьютеров



Компьютеры - Conficker

11 мая 2011


Оглавление:
1. Conficker
2. Симптомы заражения



Conficker — один из опаснейших из известных на сегодняшний день компьютерных червей. Вредоносная программа была написана на Microsoft Visual C++ и впервые появилась в сети 21 ноября 2008. Атакует операционные системы семейства Microsoft Windows. На январь 2009 вирус поразил 12 миллионов компьютеров во всём мире. 12 февраля 2009 Microsoft обещал 250 000 долларов за информацию о создателях вируса.

Эпидемия стала возможной в результате того, что значительная часть пользователей оказалась подвержена уязвимостям, ранее устраненным критическими обновлениями MS08-067, MS08-068 и MS08-069.

Название

Название «Conficker» происходит от англ. configuration и нем. ficker. Таким образом, Conficker — «насильник конфигураций».

Принципы работы

Столь быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из Интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам.

Также он может распространяться через USB-накопители создавая файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например: c:\windows\system32\zorizr.dll. Также, прописывает себя в сервисах со случайным именем, состоящим из латинских букв.

Червь использует уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. Первым делом он отключает ряд служб: автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting, а также блокирует доступ к сайтам ряда производителей антивирусов.

Периодически червь случайным образом генерирует список сайтов, к которым обращается для получения исполняемого кода. При получении с сайта исполняемого файла червь сверяет электронно-цифровую подпись и, если она совпала, исполняет файл.

Кроме того, червь реализует P2P-механизм обмена обновлениями, что позволяет ему рассылать обновления удалённым копиям, минуя управляющий сервер.



Просмотров: 1007


<<<