Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Підтримка
www.wikidata.uk-ua.nina.az

Conficker також відомий як Downup Downadup і Kido комп ютерний хробак епідемія якого почалася 21 листопада 2008 Шкідлива

Conficker

Conficker

Conficker (також відомий як Downup, Downadup і Kido) — комп'ютерний хробак, епідемія якого почалася 21 листопада 2008. Шкідлива програма була написана на і вперше з'явилася в мережі 21 листопада 2008. Заражав операційні системи сімейства Microsoft Windows (Windows XP і Windows Server 2008 R2). На січень 2009 черв'як вразив  12 мільйонів комп'ютерів у всьому світі. 12 лютого 2009 Microsoft обіцяла 250 000 доларів за інформацію про творців хробака.

Епідемія стала можливою в результаті того, що значна частина користувачів виявилася схильна до вразливостей, раніше усунутих критичними оновленнями MS08-067.

Назва

Назва «Conficker» походить від англ. configuration (config) (конфігурація) і нім. ficker (груб. учасник статевого акту, пор. англ. fucker). Таким чином, Conficker — «ґвалтівник конфігурацій».

Принципи роботи

image
Схема поширення хробака Conficker

Настільки швидке поширення хробака пов'язано з мережевою службою. Використовуючи уразливість в ній, черв'як завантажував себе з Інтернету. Цікаво, що розробники хробака навчилися постійно змінювати свої сервери, що раніше не вдавалося зловмисникам.

Також, хробак міг поширюватися через USB-накопичувачі, створюючи виконуваний файл autorun.inf і файл RECYCLED\{SID}\RANDOM_NAME.vmx. В зараженій системі хробак прописував себе в сервісах і зберігався у вигляді dll-файлу з випадковим ім'ям, що складається з латинських букв, наприклад: 

C:\Windows\System32\zorizr.dll

Черв'як використовував уразливості операційних систем сімейства Windows, пов'язані з переповненням буфера і за допомогою обманного RPC-запиту виконував шкідливий код. Першим ділом він відключав низку служб — автоматичне оновлення Windows, Windows Security Center, Windows Defender і Windows Error Reporting, а також блокував доступ до сайтів ряду виробників антивірусів.

Періодично хробак випадковим чином генерував список вебсайтів (близько 50 тис. доменних імен на добу), до яких звертався для отримання виконуваного коду. При отриманні з сайту виконуваного файлу хробак звіряв електронно-цифровий підпис, і якщо він збігався — виконував файл.

Крім того, хробак реалізує P2P-механізм обміну оновленнями, що дозволяло йому розсилати оновлення віддаленим копіям, минаючи керуючий сервер.

Україна

Перші версії хробака, а саме Conficker.A перевіряли наявність української розкладки клавіатури і самознищувалися в цьому випадку. Крім того, скачувалася база даних GeoIP з сайту maxmind.com і при скануванні українські адреси, виявлені з її допомогою, не заражалися. У наступних версіях цей функціонал вже не був реалізований.

Симптоми зараження

  1. Відключені і/або не включаються служби:
    • Windows Update Service
    • Background Intelligent Transfer Service
    • Windows Defender
    • Windows Error Reporting Services
  2. Блокується доступ комп'ютера до сайтів виробників антивірусів
  3. При наявності заражених комп'ютерів в локальній мережі підвищується об'єм мережевого трафіку, оскільки з цих комп'ютерів починається мережева атака.
  4. Антивірусні програми з активним мережевим екраном повідомляють про атаку Intrusion.Win.NETAPI.buffer-overflow.exploit.
  5. Комп'ютер починає дуже повільно реагувати на дії користувача, при цьому Диспетчер Завдань повідомляє про 100 % використання ресурсів ЦП процесом svchost.exe.
  6. Блокується служба IPSec. Як наслідок — порушення роботи мережі.

Вплив у Європі

Інтрамар, комп'ютерна мережа французького військово-морського флоту, була заражена Conficker 15 січня 2009 року. Потім мережа була піддана карантину, змусивши літаки на декількох авіабазах бути на землі, оскільки їхні плани польоту не могли бути завантажені.

Міністерство оборони Великої Британії повідомило, що деякі з її основних систем та настільних комп'ютерів були заражені. Вірус поширився по адміністративних офісах, заразив настільні комп'ютери NavyStar/N * на борту різних військових кораблів Королівського флоту і підводних човнів Royal Navy, а лікарні в місті Шеффілд повідомили про зараження понад 800 комп'ютерів.

2 лютого 2009 р. Бундесвер, об'єднані збройні сили Німеччини, повідомили, що близько сотні комп'ютерів були заражені.

Через зараження інформаційної системи Манчестерської міської ради в лютому 2009 року було списано 1,5 млн. Фунтів стерлінгів збитків. Використання флеш-накопичувачів USB було заборонено, оскільки це вважалося вектором початкової інфекції.

Запис від Директора Служби інформаційних технологій Парламенту Великої Британії 24 березня 2009 року повідомив користувачів Палати громад про те, що він був заражений вірусом. В подальшому повідомлення, яке було випущено, закликали користувачів уникати підключення будь-якого неавторизованого обладнання до мережі.

У січні 2010 р. Була заражена комп'ютерна мережа Великої Манчестерської поліції, яка призвела до її відключення на три дні від Національного комп'ютера поліції, як запобіжний захід; в той час офіцери повинні були просити інші сили виконувати регулярні перевірки транспортних засобів та людей.

Боротьба з черв'яком

В попередженні зараження черв'яком і його знищення із заражених комп'ютерів брали участь такі корпорації, як Microsoft, Symantec, Dr.Web, ESET, Kaspersky Lab, , F-Secure, AOL та інші. Тим не менш, небезпека зберігається донині, бо  хробак постійно мутує, тому, щоб попередити зараження комп'ютера, потрібно регулярно оновлювати систему та антивірусні бази сигнатур.

Також кожен користувач повинен знати, що якщо комп'ютер вже інфікований хробаком — оновлення може не допомогти. Ось чому для повного видалення хробака рекомендується використовувати спеціальні утиліти.

Збиток

На думку компанії McAfee, збиток, нанесений хробаком мережного співтовариства, оцінюється в $9,1 млрд, і поступається лише збитку, заподіяного такими поштовими хробаками, як MyDoom ($38 млрд) і ILOVEYOU ($15 млрд.).

Див. також

Примітки

  1. Conficker Worm: Help Protect Windows from Conficker, 10 квітня 2009 (англ.) [ 18 травня 2018 у Wayback Machine.]
  3. A Good Decade for Cybercrime [ 5 червня 2013 у Wayback Machine.](англ.) (pdf)

Посилання

  • An Analysis of Conficker C: SRI international technical report
  • Conficker Worm: Help Protect Windows from Conficker.A and Conficker.B [ 18 травня 2018 у Wayback Machine.]

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет

Conficker takozh vidomij yak Downup Downadup i Kido komp yuternij hrobak epidemiya yakogo pochalasya 21 listopada 2008 Shkidliva programa bula napisana na Visual C i vpershe z yavilasya v merezhi 21 listopada 2008 Zarazhav operacijni sistemi simejstva Microsoft Windows Windows XP i Windows Server 2008 R2 Na sichen 2009 cherv yak vraziv 12 miljoniv komp yuteriv u vsomu sviti 12 lyutogo 2009 Microsoft obicyala 250 000 dolariv za informaciyu pro tvorciv hrobaka Epidemiya stala mozhlivoyu v rezultati togo sho znachna chastina koristuvachiv viyavilasya shilna do vrazlivostej ranishe usunutih kritichnimi onovlennyami MS08 067 NazvaNazva Conficker pohodit vid angl configuration config konfiguraciya i nim ficker grub uchasnik statevogo aktu por angl fucker Takim chinom Conficker gvaltivnik konfiguracij Principi robotiShema poshirennya hrobaka Conficker Nastilki shvidke poshirennya hrobaka pov yazano z merezhevoyu sluzhboyu Vikoristovuyuchi urazlivist v nij cherv yak zavantazhuvav sebe z Internetu Cikavo sho rozrobniki hrobaka navchilisya postijno zminyuvati svoyi serveri sho ranishe ne vdavalosya zlovmisnikam Takozh hrobak mig poshiryuvatisya cherez USB nakopichuvachi stvoryuyuchi vikonuvanij fajl autorun inf i fajl RECYCLED SID RANDOM NAME vmx V zarazhenij sistemi hrobak propisuvav sebe v servisah i zberigavsya u viglyadi dll fajlu z vipadkovim im yam sho skladayetsya z latinskih bukv napriklad C Windows System32 zorizr dll Cherv yak vikoristovuvav urazlivosti operacijnih sistem simejstva Windows pov yazani z perepovnennyam bufera i za dopomogoyu obmannogo RPC zapitu vikonuvav shkidlivij kod Pershim dilom vin vidklyuchav nizku sluzhb avtomatichne onovlennya Windows Windows Security Center Windows Defender i Windows Error Reporting a takozh blokuvav dostup do sajtiv ryadu virobnikiv antivirusiv Periodichno hrobak vipadkovim chinom generuvav spisok vebsajtiv blizko 50 tis domennih imen na dobu do yakih zvertavsya dlya otrimannya vikonuvanogo kodu Pri otrimanni z sajtu vikonuvanogo fajlu hrobak zviryav elektronno cifrovij pidpis i yaksho vin zbigavsya vikonuvav fajl Krim togo hrobak realizuye P2P mehanizm obminu onovlennyami sho dozvolyalo jomu rozsilati onovlennya viddalenim kopiyam minayuchi keruyuchij server UkrayinaPershi versiyi hrobaka a same Conficker A pereviryali nayavnist ukrayinskoyi rozkladki klaviaturi i samoznishuvalisya v comu vipadku Krim togo skachuvalasya baza danih GeoIP z sajtu maxmind com i pri skanuvanni ukrayinski adresi viyavleni z yiyi dopomogoyu ne zarazhalisya U nastupnih versiyah cej funkcional vzhe ne buv realizovanij Simptomi zarazhennyaVidklyucheni i abo ne vklyuchayutsya sluzhbi Windows Update Service Background Intelligent Transfer Service Windows Defender Windows Error Reporting Services Blokuyetsya dostup komp yutera do sajtiv virobnikiv antivirusiv Pri nayavnosti zarazhenih komp yuteriv v lokalnij merezhi pidvishuyetsya ob yem merezhevogo trafiku oskilki z cih komp yuteriv pochinayetsya merezheva ataka Antivirusni programi z aktivnim merezhevim ekranom povidomlyayut pro ataku Intrusion Win NETAPI buffer overflow exploit Komp yuter pochinaye duzhe povilno reaguvati na diyi koristuvacha pri comu Dispetcher Zavdan povidomlyaye pro 100 vikoristannya resursiv CP procesom svchost exe Blokuyetsya sluzhba IPSec Yak naslidok porushennya roboti merezhi Vpliv u YevropiIntramar komp yuterna merezha francuzkogo vijskovo morskogo flotu bula zarazhena Conficker 15 sichnya 2009 roku Potim merezha bula piddana karantinu zmusivshi litaki na dekilkoh aviabazah buti na zemli oskilki yihni plani polotu ne mogli buti zavantazheni Ministerstvo oboroni Velikoyi Britaniyi povidomilo sho deyaki z yiyi osnovnih sistem ta nastilnih komp yuteriv buli zarazheni Virus poshirivsya po administrativnih ofisah zaraziv nastilni komp yuteri NavyStar N na bortu riznih vijskovih korabliv Korolivskogo flotu i pidvodnih chovniv Royal Navy a likarni v misti Sheffild povidomili pro zarazhennya ponad 800 komp yuteriv 2 lyutogo 2009 r Bundesver ob yednani zbrojni sili Nimechchini povidomili sho blizko sotni komp yuteriv buli zarazheni Cherez zarazhennya informacijnoyi sistemi Manchesterskoyi miskoyi radi v lyutomu 2009 roku bulo spisano 1 5 mln Funtiv sterlingiv zbitkiv Vikoristannya flesh nakopichuvachiv USB bulo zaboroneno oskilki ce vvazhalosya vektorom pochatkovoyi infekciyi Zapis vid Direktora Sluzhbi informacijnih tehnologij Parlamentu Velikoyi Britaniyi 24 bereznya 2009 roku povidomiv koristuvachiv Palati gromad pro te sho vin buv zarazhenij virusom V podalshomu povidomlennya yake bulo vipusheno zaklikali koristuvachiv unikati pidklyuchennya bud yakogo neavtorizovanogo obladnannya do merezhi U sichni 2010 r Bula zarazhena komp yuterna merezha Velikoyi Manchesterskoyi policiyi yaka prizvela do yiyi vidklyuchennya na tri dni vid Nacionalnogo komp yutera policiyi yak zapobizhnij zahid v toj chas oficeri povinni buli prositi inshi sili vikonuvati regulyarni perevirki transportnih zasobiv ta lyudej Borotba z cherv yakomV poperedzhenni zarazhennya cherv yakom i jogo znishennya iz zarazhenih komp yuteriv brali uchast taki korporaciyi yak Microsoft Symantec Dr Web ESET Kaspersky Lab F Secure AOL ta inshi Tim ne mensh nebezpeka zberigayetsya donini bo hrobak postijno mutuye tomu shob poperediti zarazhennya komp yutera potribno regulyarno onovlyuvati sistemu ta antivirusni bazi signatur Takozh kozhen koristuvach povinen znati sho yaksho komp yuter vzhe infikovanij hrobakom onovlennya mozhe ne dopomogti Os chomu dlya povnogo vidalennya hrobaka rekomenduyetsya vikoristovuvati specialni utiliti ZbitokNa dumku kompaniyi McAfee zbitok nanesenij hrobakom merezhnogo spivtovaristva ocinyuyetsya v 9 1 mlrd i postupayetsya lishe zbitku zapodiyanogo takimi poshtovimi hrobakami yak MyDoom 38 mlrd i ILOVEYOU 15 mlrd Div takozhKomp yuternij virus Shkidlive programne zabezpechennya Hronologiya komp yuternih virusiv Komp yuter zombi DoS DDoS ataka Bekdor Rutkit Eksplojt WannaCry Petya merezhevij cherv yak vimagach PrimitkiConficker Worm Help Protect Windows from Conficker 10 kvitnya 2009 angl 18 travnya 2018 u Wayback Machine A Good Decade for Cybercrime 5 chervnya 2013 u Wayback Machine angl pdf PosilannyaAn Analysis of Conficker C SRI international technical report Conficker Worm Help Protect Windows from Conficker A and Conficker B 18 travnya 2018 u Wayback Machine

Дата публікації:
Топ