Conficker

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 15. juni 2014; checks kræver 40 redigeringer .
Conficker
Fulde navn (Kaspersky) Net-Worm.Win32.Kido.bt
Type netværksorm , botnet
År for optræden 2008
Software brugt sårbarhed i kritisk opdatering MS08-067
Symantec beskrivelse
 Mediefiler på Wikimedia Commons

Conficker (også kendt som Downup , Downadup og Kido ) er en computerorm , hvis epidemi begyndte den 21. november 2008 . Malwaren blev skrevet i Microsoft Visual C++ og dukkede først op online den 21. november 2008 . Også kendt som Downadup, der skabte infrastrukturen til botnettet [1] . Det inficerede operativsystemer i Microsoft Windows -familien ( Windows XP og Windows Server 2008 R2 ). Fra januar 2009 inficerede ormen 12 millioner computere verden over. Den 12. februar 2009 lovede Microsoft $250.000 for information om skaberne af ormen [2] .

Epidemien blev mulig som følge af, at en betydelig del af brugerne blev udsat for sårbarheder, der tidligere var elimineret af kritiske opdateringer MS08-067.

Titel

Navnet "Conficker" kommer fra engelsk.  konfiguration (config) (konfiguration) og det.  ficker (uhøflig deltager i samleje , jf . engelsk  fucker ). Dermed er Conficker en "konfigurationsvoldtægtsforbryder".

Funktionsprincipper

En sådan hurtig spredning af ormen skyldes netværkstjenesten. Ved at bruge en sårbarhed i det downloadede ormen sig selv fra internettet . Interessant nok lærte udviklerne af ormen, hvordan de konstant ændrer deres servere , hvilket ikke var muligt for angribere før .

Ormen kan også spredes via USB-drev , hvilket skaber en autorun.inf -eksekverbar fil og en RECYCLED\{SID}\RANDOM_NAME.vmx-fil. I det inficerede system registrerede ormen sig selv i tjenester og blev gemt som en dll -fil med et tilfældigt navn bestående af latinske bogstaver, for eksempel:

C:\Windows\System32\zorizr.dll

Når Conficker inficerede en computer, deaktiverede den mange sikkerhedsfunktioner og automatiske sikkerhedskopieringsindstillinger, slettede gendannelsespunkter og åbnede forbindelser for instruktioner fra fjerncomputeren. Efter at have konfigureret den første computer, brugte Conficker den til at få adgang til resten af ​​netværket [1] .

Ormen udnyttede bufferoverløbssårbarheder i Windows-familiens operativsystemer og udførte ondsindet kode ved hjælp af en forfalsket RPC -anmodning . Først og fremmest slukkede han for en række tjenester - automatiske Windows-opdateringer , Windows Security Center , Windows Defender og Windows Error Reporting , og blokerede også adgangen til en række antivirusproducenters websteder.

Med jævne mellemrum genererede ormen tilfældigt en liste over websteder (ca. 50.000 domænenavne om dagen), som den fik adgang til for at få eksekverbar kode. Når ormen modtog en eksekverbar fil fra webstedet, tjekkede den sin signatur , og hvis den var gyldig, udførte den filen.

Derudover brugte ormen en P2P- opdateringsudvekslingsmekanisme, som gjorde det muligt for den at sende opdateringer til fjernkopier og omgå kontrolserveren.

Symptomer på infektion

  1. Tjenester deaktiveret og/eller ikke aktiveret:
    • Windows Update Service
    • Baggrunds Intelligent Transfer Service
    • Windows Defender
    • Windows Fejlrapporteringstjenester
  2. Blokering af computeradgang til antivirusproducenters websteder
  3. Hvis der er inficerede computere på det lokale netværk, øges mængden af ​​netværkstrafik, da et netværksangreb starter fra disse computere .
  4. Antivirusprogrammer med en aktiv firewall rapporterer et angreb fra Intrusion.Win.NETAPI.buffer-overflow.exploit.
  5. Computeren begynder at reagere meget langsomt på brugerhandlinger, mens Task Manager rapporterer 100 % CPU-brug af svchost.exe - processen .
  6. IPSec-tjenesten blokeres. Som et resultat, netværksafbrydelse.

Ormebekæmpelse

Virksomheder som Microsoft , Symantec , Dr.Web , ESET , Kaspersky Lab , Panda Security , F-Secure , AOL og andre deltog i forebyggelsen af ​​ormeinfektion og dens ødelæggelse fra inficerede computere. Faren består dog den dag i dag.

Hver bruger skal også vide, at hvis computeren allerede er inficeret med en orm, vil en simpel systemopdatering ikke hjælpe den, da den kun vil lukke den sårbarhed, hvorigennem den kom ind i systemet. Derfor anbefales det at bruge specielle hjælpeprogrammer af de nyeste versioner for fuldstændigt at fjerne ormen.

Skader

Ifølge McAfee er skaden forårsaget af ormen på online-fællesskabet anslået til 9,1 milliarder dollars, kun næst efter skaden forårsaget af postorme som MyDoom (38 milliarder dollars) og ILOVEYOU (15 milliarder dollars) [3] .

Se også

Noter

  1. ↑ 1 2 Hvad er Conficker? - Definition fra WhatIs.com  (engelsk) . WhatIs.com . Hentet: 7. september 2022.
  2. Conficker Worm: Hjælp med at beskytte Windows mod Conficker Arkiveret 18. maj 2018 på Wayback Machine 10. april 2009 
  3. McAfee , A Good Decade for Cybercrime Arkiveret 5. juni 2013. , (pdf), (eng).

Links

 Botnets