Псевдонимы |
|
---|---|
Классификация | Неизвестно |
Тип | ) Компьютерный вирус |
Подтип | Компьютерный червь |
Conficker, также известный как Downup, Downadup и Kido, представляет собой компьютерный червь, нацеленный на Microsoft Windows операционная система, который был впервые обнаружен в ноябре 2008 года. Он использует недостатки программного обеспечения ОС Windows и словарные атаки на администратора. пароли для распространения при формировании ботнета, что было необычно сложно для противодействия из-за совместного использования множества передовых методов вредоносного ПО. Червь Conficker заразил миллионы компьютеров, в том числе правительственные, корпоративные и домашние, в более чем 190 странах, что сделало его крупнейшим из известных компьютерных червей со времен 2003 г. Welchia.
Несмотря на широкое распространение, червь не причинил большого ущерба, возможно, потому, что его авторы, предположительно являвшиеся украинскими преступниками, не осмелились использовать его из-за того внимания, которое оно привлекло. Четыре человека были арестованы, один признал себя виновным и был приговорен к 48 месяцам тюремного заключения.
Оценить количество зараженных компьютеров было сложно, потому что вирус менял свою стратегию распространения и обновления от версии к версии. В январе 2009 года оценочное количество зараженных компьютеров колебалось от почти 9 до 15 миллионов. Microsoft сообщила, что с середины 2010 до середины 2011 года общее количество зараженных компьютеров, обнаруженных ее продуктами для защиты от вредоносных программ, оставалось на уровне 1,7 миллиона. К середине 2015 года общее количество заражений упало примерно до 400 000, а в 2019 году оно составило 500 000.
Происхождение Считается, что название Conficker представляет собой комбинацию английского термина «configure» и немецкого уничижительного термина Ficker (англ. fucker). Аналитик Microsoft Джошуа Филлипс дает альтернативную интерпретацию имени, описывая его как перестановку частей доменного имени trafficconverter.biz (с буквой k, не найденной в имени домена, добавленной как "трафик-менеджер", чтобы избежать " soft "c sound"), который использовался в ранних версиях Conficker для загрузки обновлений.
Первый вариант Conficker, обнаруженный в начале ноября 2008 года, распространялся через Интернет, используя уязвимость в сетевой службе ( MS08-067) в Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2 бета. Хотя Windows 7 могла быть подвержена этой уязвимости, бета-версия Windows 7 не была общедоступной до января 2009 года. Хотя 23 октября Microsoft выпустила экстренное out-of-band патч, 2008 г., чтобы закрыть уязвимость, большое количество ПК с Windows (по оценкам, 30%) оставалось не исправленным вплоть до января 2009 г. Второй вариант вируса, обнаруженный в декабре 2008 г., добавил возможность распространения по локальной сети через съемный медиа и сетевые ресурсы. Исследователи полагают, что это были решающие факторы, позволившие вирусу быстро распространяться.
Интрамар, компьютерная сеть ВМС Франции, была заражена Conficker 15 января 2009 года. Впоследствии сеть была помещена в карантин, в результате чего самолеты на нескольких авиабазах быть обоснованным, потому что их планы полета не могут быть загружены.
Министерство обороны Соединенного Королевства сообщило, что некоторые из его основных систем и настольных компьютеров были заражены. Вирус распространился по административным офисам, настольным компьютерам NavyStar / N * на борту различных военных кораблей Королевского флота и подводным лодкам Королевского флота, а также по больницам в городе Шеффилд, о заражении более 800 компьютеров.
2 февраля 2009 г. Бундесвер, объединенные вооруженные силы Германии, сообщил, что около сотни его компьютеров были заражены.
Заражение Манчестера ИТ-отдела городского совета В феврале 2009 года система вызвала сбои на сумму около 1,5 млн фунтов стерлингов. Использование USB-накопителей было запрещено, так как считалось, что они являются вектором первоначального заражения.
Записка от директора Великобритании Парламентская служба ИКТ проинформировала пользователей Палаты общин 24 марта 2009 года о том, что она была заражена вирусом. В меморандуме, который впоследствии просочился, пользователям было рекомендовано избегать подключения к сети какого-либо несанкционированного оборудования.
В январе 2010 года компьютерная сеть полиции Большого Манчестера была заражена, что привело к ее отключению в течение трех дней из Национального компьютера полиции в качестве меры предосторожности; в это время офицерам приходилось просить другие силы проводить плановые проверки транспортных средств и людей.
Хотя почти все современные методы вредоносного ПО, используемые Conficker, имеют замечено в прошлом или хорошо известно исследователям, комбинированное использование такого большого количества вируса чрезвычайно затруднило его искоренение. Неизвестные авторы вируса, как полагают, также отслеживают усилия операторов сетей и правоохранительных органов по борьбе с вредоносным ПО и регулярно выпускают новые варианты, чтобы закрыть собственные уязвимости вируса.
Известно пять вариантов вируса Conficker и получили название Conficker A, B, C, D и E. Они были обнаружены 21 ноября 2008 г., 29 декабря 2008 г., 20 февраля 2009 г., 4 марта 2009 г. и 7 апреля 2009 г. соответственно. Рабочая группа Conficker использует наименования A, B, B ++, C и E для одних и тех же вариантов соответственно. Это означает, что (CWG) B ++ эквивалентно (MSFT) C, а (CWG) C эквивалентно (MSFT) D.
Вариант | Дата обнаружения | Векторы инфекции | Распространение обновлений | Самозащита | Завершить действие |
---|---|---|---|---|---|
Conficker A | 21.11.2008 |
|
| Нет |
|
Conficker B | 29 декабря 2008 |
|
|
|
|
Conficker C | 2009-02-20 |
|
|
|
|
Conficker D | 2009-03-04 | Нет |
|
|
|
Conficker E | 2007-04-07 |
|
|
|
Чтобы запустить себя при загрузке системы, вирус сохраняет копию своей DLL-формы в произвольном имени файла в системе Windows или папке system32, а затем добавляет ключи реестра, чтобы svchost.exe запускал эту DLL. как невидимая сетевая служба.
Вирус имеет несколько механизмов для передачи или передачи исполняемых полезных данных по сети. Эти полезные данные используются вирусом для обновления себя до новых вариантов и для установки дополнительных вредоносных программ.
Для предотвращения перехвата полезной нагрузки, вариант Полезные данные сначала SHA-1 - хешируются и RC4 - зашифрованы с 512-битным хешем в качестве ключа. Тогда хеш-код будет подписан RSA с 1024-битным закрытым ключом. Полезные данные распаковываются и выполняются только в том случае, если его подпись подтверждается с помощью открытого ключа, встроенного в вирус. Варианты B и более поздние используют MD6 в качестве своей хэш-функции и увеличивают размер ключа RSA до 4096 бит. Conficker B принял MD6 всего через несколько месяцев после его первой публикации; Через шесть недель после того, как в ранней версии алгоритма была обнаружена слабость и была опубликована новая версия, Conficker обновился до нового MD6.
DLL-форма вируса защищен от удаления, установив его право собственности на "SYSTEM", что блокирует его от удаления, даже если пользователю предоставлены права администратора. Вирус хранит резервную копию этой DLL, замаскированную под изображение.jpg, в кэше Internet Explorer сетевых служб пользователя.
Вариант C вируса сбрасывает точки восстановления системы и отключает ряд системных служб, таких как автоматическое обновление Windows, Центр обеспечения безопасности Windows, Защитник Windows и Отчет об ошибках Windows. Процессы, соответствующие предопределенному списку антивирусных, диагностических или системных средств исправления, отслеживаются и завершаются. Исправление в памяти также применяется к системному преобразователю DLL для блокировки поиска имен хостов, связанных с поставщиками антивирусного программного обеспечения и службой Центра обновления Windows.
Вариант E из вируса был первым, кто использовал свою базу зараженных компьютеров для скрытых целей. Он загружает и устанавливает с веб-сервера, размещенного в Украине, две дополнительные полезные нагрузки:
Симптомы заражения Conficker включают:
12 февраля 2009 года Microsoft объявила о создании отраслевой группы для совместной борьбы с Conficker. Группа, которую с тех пор неофициально называли Conficker Cabal, включает Microsoft, Afilias, ICANN, Neustar, Verisign., China Internet Network Information Center, Public Internet Registry, Global Domains International, M1D Global, America Online, Symantec, F-Secure, ISC, исследователи из Georgia Tech, Shadowserver Foundation, Arbor Networks и Support Intelligence.
13 В феврале 2009 года Microsoft предложила вознаграждение в размере долларов США 250 000 за информацию, которая приведет к аресту и осуждению лиц, стоящих за созданием и / или распространением Conficker.
ICANN добивалась упреждающего запрета на передачу и регистрацию доменов из всех реестров TLD, затронутых генератором доменов вируса. К числу тех, кто принял меры, относятся:
К середине апреля 2009 года все доменные имена, созданные Conficker A, были успешно заблокированы или зарегистрированы с упреждением, что сделало его механизм обновления неэффективным.
Члены рабочей группы заявили на брифингах Black Hat 2009 г., что Украина является вероятным источником вируса, но отказались раскрыть дальнейшие технические открытия о внутреннем устройстве вируса, чтобы избежать появления его авторы. Первоначальный вариант Conficker не заражал системы с украинскими IP-адресами или украинскими раскладками клавиатуры. Полезная нагрузка Conficker.E была загружена с хоста в Украине.
В 2015 году Фил Поррас, Винод Егнесваран и Хасан Саиди, которые первыми обнаружили и перепроектировали Conficker, написали в секретной статье., проверил публикацию правительства США по кибербезопасности, что они отслеживали вредоносное ПО до группы украинских киберпреступников. Porras et al. считали, что преступники покинули Conficker после того, как он распространился гораздо шире, чем они предполагали, полагая, что любая попытка его использования привлечет слишком много внимания правоохранительных органов всего мира. Это объяснение широко распространено в области кибербезопасности.
В 2011 году, работая с ФБР, украинская полиция арестовала трех украинцев, связанных с Conficker, но нет никаких записей о том, что они были привлечены к ответственности или осуждены. Швед Микаэль Саллнерт был приговорен к 48 месяцам тюремного заключения в США после признания вины.
Из-за блокировки вирусных файлов от удаления до тех пор, пока система работает, само удаление вручную или автоматически должно выполняться во время загрузки или при установленной внешней системе. Удаление любой существующей резервной копии - важный шаг.
Microsoft выпустила руководство по удалению вируса и рекомендовала использовать текущий выпуск своего Windows Malicious Software Removal Tool для удаления вируса, а затем применить патч для предотвращения повторного заражения. Новые версии Windows невосприимчивы к Conficker.
Многие сторонние поставщики антивирусного программного обеспечения выпустили обновления обнаружения для своих продуктов и заявляют, что могут удалить червя.. Развитие вредоносного ПО показывает некоторую адаптацию к общему программному обеспечению для удаления, поэтому вполне вероятно, что некоторые из них могут удалить или, по крайней мере, отключить некоторые варианты, в то время как другие останутся активными или, что еще хуже, дадут ложное срабатывание программному обеспечению для удаления и станут активными при следующей перезагрузке.
27 марта 2009 г. Феликс Ледер и Тиллманн Вернер из Honeynet Project обнаружили, что зараженные Conficker узлы имеют обнаруживаемую сигнатуру при удаленном сканировании. Командный протокол одноранговой сети, используемый вариантами D и E вируса, с тех пор был частично подвергнут обратной инженерии, что позволяет исследователям имитировать командные пакеты вирусной сети и точно идентифицировать зараженных. компьютеров в массе.
Теперь доступны обновления сигнатур для ряда приложений сетевого сканирования.
Его также можно обнаружить в пассивном режиме с помощью сниффинга широковещательные домены для повторения запросов ARP.
Группа готовности к компьютерным чрезвычайным ситуациям США (US-CERT) рекомендует отключить AutoRun, чтобы предотвратить распространение варианта B вируса. через съемный носитель. До выпуска статьи KB967715 базы знаний Microsoft US-CERT описал рекомендации Microsoft по отключению автозапуска как «не полностью эффективные» и предоставил обходной путь для более эффективного отключения. US-CERT также сделал сетевой инструмент для обнаружения зараженных Conficker хостов доступным федеральным агентствам и агентствам штата.
Викиновости имеют новости по теме: |