Conficker

Conficker
Схема распространения червя Conficker
Схема распространения червя Conficker
Полное название (Касперский) Net-Worm.Win32.Kido.bt
Тип сетевой червь, ботнет
Год появления 2008 год
Используемое ПО уязвимость в критическом обновлении MS08-067
Описание Symantec
Логотип Викисклада Медиафайлы на Викискладе

Conficker (также известен как Downup, Downadup и Kido) — компьютерный червь, эпидемия которого началась 21 ноября 2008 года. Вредоносная программа была написана на Microsoft Visual C++ и впервые появилась в сети 21 ноября 2008 года. Вирус также известен как Downadup, именно он создал инфраструктуру для ботнета[1]. Программа заражала операционные системы семейства Microsoft Windows (Windows XP и Windows Server 2008 R2).

Эпидемия стала возможной в результате того, что значительная часть пользователей оказалась подвержена уязвимостям, ранее устранённым критическими обновлениями MS08-067.

За январь 2009 года червь поразил более 12 миллионов компьютеров по всему миру. В феврале 2009 года Microsoft пообещала заплатить 250 000 долларов за информацию о создателях червя[2].

Червь Conficker заразил миллионы компьютеров, включая правительственные, корпоративные и домашние компьютеры в более чем 190 странах, что сделало его крупнейшим известным заражением компьютерным червем со времен червя SQL Slammer 2003 года[3].

Название

Название «Conficker» происходит от англ. configuration (config) (конфигурация) и нем. ficker (груб. участник полового акта, сравн. англ. fucker). Таким образом, Conficker — нечто вроде «насильника конфигураций».

Распространение

Точно оценить количество зараженных компьютеров не представлялось возможным, поскольку вирус менял свою стратегию распространения и обновления от версии к версии[4].

В январе 2009 года предполагаемое количество зараженных компьютеров оценивалось в промежутке от 9 до 15 миллионов[5][6][7].

Microsoft сообщала, что общее количество зараженных компьютеров, обнаруженных ее антивирусными продуктами, с середины 2010 года до середины 2011 года составило порядка 1,7 млн шт[8][9]. К середине 2015 года общее количество заражений снизилось примерно до 400 000[10], в 2019 году прогнозировалось заражение 500 000 компьютеров[11].

Последствия в Европе

В середине января 2009 года компьютерная сеть ВМС Франции (Intrama) была заражена вирусом Conficker. Впоследствии сеть была помещена на карантин, что привело к приостановке полетов самолетов на нескольких авиабазах, поскольку планы полетов не могли быть загружены[12].

В январе 2009 года Министерство обороны Великобритании сообщило, что некоторые из его основных систем и рабочих столов были заражены. Вирус распространился на компьютеры в административных офисах, на военных кораблях и подводных лодках Королевского флота. В больницах города Шеффилд были заражены более 800 компьютеров[13][14].

В начале февраля 2009 года Бундесвер сообщил, что 100 компьютеров вооруженных сил Германии были заражены[15].

Инфицирование ИТ-системы городского совета Манчестера в феврале 2009 года привело к сбоям в работе на сумму около 1,5 млн фунтов стерлингов. Использование USB-флеш-накопителей было запрещено, поскольку считалось, что они являются причиной первоначального заражения[16].

В марте 2009 года, в служебной записке директора парламентской службы ИКТ, пользователи Палаты общин были проинформированы о том, что она заражена вирусом. В служебной записке, которая впоследствии была опубликована, пользователям было предложено избегать подключения к сети любого несанкционированного оборудования[17].

В январе 2010 года компьютерная сеть полиции Большого Манчестера была заражена, что привело к ее отключению на три дня от Национального компьютера полиции в качестве меры предосторожности. А течение нескольких дней офицерам полиции приходилось просить другие силы проводить плановые проверки транспортных средств и людей[18].

Принципы работы

Столь быстрое распространение червя связано с уязвимостью в сетевой службе. Используя эту уязвимость, червь сам загружал себя из Интернета. Интересно, что разработчики червя научились постоянно менять свои серверы, что раньше не удавалось злоумышленникам.

Также червь мог распространяться через USB-накопители, создавая исполняемый файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx. В заражённой системе червь прописывал себя в сервисах и хранился в виде dll-файла со случайным именем, состоящим из латинских букв, например:

C:\Windows\System32\zorizr.dll

Как только Conficker инфицировал компьютер, он отключал многие функции безопасности и настройки автоматического резервного копирования, удалял точки восстановления и открывал соединения для получения инструкций от удаленного компьютера. После настройки первого компьютера Conficker использовал его для получения доступа к остальной части сети[1].

Червь использовал уязвимости операционных систем семейства Windows, связанные с переполнением буфера, и при помощи обманного RPC-запроса выполнял вредоносный код. Первым делом он отключал ряд служб: автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting, — а также блокировал доступ к сайтам ряда производителей антивирусов.

Периодически червь случайным образом генерировал список веб-сайтов (около 50 тыс. доменных имён в сутки), к которым обращался для получения исполняемого кода. При получении с сайта исполняемого файла червь проверял его подпись, и если она была действительной — исполнял файл.

Кроме того, червь использовал P2P-механизм обмена обновлениями, что позволяло ему рассылать обновления удалённым копиям, минуя управляющий сервер.

Симптомы заражения

  1. Отключены и/или не включаются службы:
    • Windows Update Service;
    • Background Intelligent Transfer Service;
    • Windows Defender;
    • Windows Error Reporting Services.
  2. Блокируется доступ компьютера к сайтам производителей антивирусов.
  3. При наличии заражённых компьютеров в локальной сети повышается объём сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
  4. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
  5. Компьютер начинает очень медленно реагировать на действия пользователя, при этом Диспетчер Задач сообщает о 100%-ом использовании ресурсов ЦП процессом svchost.exe.
  6. Блокируется служба IPSec. Как следствие нарушение работы сети.

Борьба с червём

12 февраля 2009 года компания Microsoft объявила о формировании отраслевой группы для совместного противодействия Conficker. Группа, которая с тех пор неофициально называется Conficker Cabal, включает в себя Microsoft , Afilias , ICANN , Neustar , Verisign , China Internet Network Information Center, Public Internet Registry, Global Domains International, M1D Global, America Online , Symantec , F-Secure , ISC, исследователей из Georgia Tech, The Shadowserver Foundation, Arbor Networks и Support Intelligence[19][20].

13 февраля 2009 года Microsoft предложила вознаграждение в размере 250 000 долларов США за информацию, которая поможет арестовать и осудить лиц, стоящих за созданием и/или распространением Conficker[21][22].

В предупреждении заражения червём и его уничтожении с заражённых компьютеров принимали участие такие корпорации, как Microsoft, Symantec, Dr.Web, ESET, Kaspersky Lab, Panda Security, F-Secure, AOL и другие. Тем не менее, опасность сохраняется по сей день[когда?].

Ущерб

По мнению компании McAfee, ущерб, нанесённый червём сетевому сообществу, оценивается в $9,1 млрд, и уступает лишь ущербу, причинённому такими почтовыми червями, как MyDoom ($38 млрд.) и ILOVEYOU ($15 млрд.)[23].

См. также

Примечания

  1. 1 2 What is Conficker? - Definition from WhatIs.com (англ.). WhatIs.com. Дата обращения: 7 сентября 2022. Архивировано 8 сентября 2022 года.
  2.  (англ.) Conficker Worm: Help Protect Windows from Conficker Архивная копия от 18 мая 2018 на Wayback Machine, 10 апреля 2009
  3. Worm Infects Millions of Computers Worldwide - The New York Times. web.archive.org (25 февраля 2020). Дата обращения: 23 декабря 2024.
  4. Techworld.com - Experts bicker over Conficker numbers. web.archive.org (16 апреля 2009). Дата обращения: 23 декабря 2024.
  5. BBC NEWS | Technology | Three million hit by Windows worm. web.archive.org (16 января 2009). Дата обращения: 23 декабря 2024.
  6. Downadup virus exposes millions of PCs to hijack - CNN.com. web.archive.org (21 января 2009). Дата обращения: 23 декабря 2024.
  7. Virus strikes 15 million PCs - UPI.com. web.archive.org (2 апреля 2009). Дата обращения: 23 декабря 2024.
  8. Microsoft Security Intelligence Report. V11.
  9. Microsoft Security Intelligence Report Volume 10.
  10. Opening up a can of worms: Why won't Conficker just die, die, die? (англ.). ZDNET. Дата обращения: 23 декабря 2024.
  11. Opinion | The Worm That Nearly Ate the Internet - The New York Times. web.archive.org (30 июня 2019). Дата обращения: 23 декабря 2024.
  12. French fighter planes grounded by computer virus - Telegraph. web.archive.org (10 марта 2009). Дата обращения: 23 декабря 2024.
  13. MoD networks still malware-plagued after two weeks • The Register. web.archive.org (2 апреля 2009). Дата обращения: 23 декабря 2024.
  14. Conficker seizes city's hospital network • The Register. web.archive.org (2 апреля 2009). Дата обращения: 23 декабря 2024.
  15. Conficker-Wurm infiziert hunderte Bundeswehr-Rechner › News › Security. web.archive.org (21 марта 2009). Дата обращения: 23 декабря 2024.
  16. Conficker left Manchester unable to issue traffic tickets • The Register. web.archive.org (10 августа 2017). Дата обращения: 23 декабря 2024.
  17. Leaked memo says Conficker pwns Parliament • The Register. web.archive.org (17 декабря 2021). Дата обращения: 23 декабря 2024.
  18. BBC News - Conficker virus hits Manchester Police computers. web.archive.org (17 декабря 2021). Дата обращения: 23 декабря 2024.
  19. Computer Experts Unite to Hunt Worm - The New York Times. web.archive.org (4 декабря 2016). Дата обращения: 23 декабря 2024.
  20. The Enemy Within - Magazine - The Atlantic. web.archive.org (28 февраля 2012). Дата обращения: 23 декабря 2024.
  21. Microsoft announces industry alliance, $250k reward to combat Conficker | Zero Day | ZDNet.com. web.archive.org (19 марта 2009). Дата обращения: 23 декабря 2024.
  22. Microsoft Collaborates With Industry to Disrupt Conficker Worm: Microsoft offers $250,000 reward for Conficker arrest and conviction. web.archive.org (15 февраля 2009). Дата обращения: 23 декабря 2024.
  23. McAfee, A Good Decade for Cybercrime Архивировано 5 июня 2013 года., (pdf), (англ).

Ссылки