Conficker

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 15. kesäkuuta 2014 tarkistetusta versiosta . tarkastukset vaativat 40 muokkausta .
Conficker
Koko nimi (Kaspersky) Net-Worm.Win32.Kido.bt
Tyyppi verkkomato , botnet
ilmestymisvuosi 2008
Käytetty ohjelmisto kriittisen päivityksen MS08-067 haavoittuvuus
Symantec Kuvaus
 Mediatiedostot Wikimedia Commonsissa

Conficker (tunnetaan myös nimellä Downup , Downadup ja Kido ) on tietokonemato , jonka epidemia alkoi 21. marraskuuta 2008 . Haittaohjelma on kirjoitettu Microsoft Visual C++ -kielellä ja ilmestyi ensimmäisen kerran verkossa 21. marraskuuta 2008 . Tunnetaan myös nimellä Downadup, joka loi infrastruktuurin botnetille [1] . Se tartutti Microsoft Windows -perheen käyttöjärjestelmiä ( Windows XP ja Windows Server 2008 R2 ). Tammikuussa 2009 mato tartutti 12 miljoonaa tietokonetta maailmanlaajuisesti. 12. helmikuuta 2009 Microsoft lupasi 250 000 dollaria tiedoista madon tekijöistä [2] .

Epidemia tuli mahdolliseksi sen seurauksena, että merkittävä osa käyttäjistä altistui haavoittuvuuksille, jotka oli aiemmin poistettu kriittisillä päivityksillä MS08-067.

Otsikko

Nimi "Conficker" tulee englannista.  konfigurointi (config) (konfiguraatio) ja se.  ficker (töykeä osallistuja sukupuoliyhteyteen , vrt. englantilainen  fucker ). Näin ollen Conficker on "konfiguraatioraiskaaja".

Toimintaperiaatteet

Näin nopea madon leviäminen johtuu verkkopalvelusta. Mato latasi itsensä Internetistä käyttämällä sen haavoittuvuutta . Mielenkiintoista on, että madon kehittäjät oppivat jatkuvasti vaihtamaan palvelimiaan , mikä ei ollut mahdollista hyökkääjille aiemmin .

Lisäksi mato voi levitä USB-asemien kautta ja luoda suoritettavan autorun.inf -tiedoston ja RECYCLED\{SID}\RANDOM_NAME.vmx-tiedoston. Tartunnan saaneessa järjestelmässä mato rekisteröityi palveluihin ja tallentui dll - tiedostona latinalaisista kirjaimista koostuvalla satunnaisella nimellä, esimerkiksi:

C:\Windows\System32\zorizr.dll

Kun Conficker tartutti tietokoneen, se poisti käytöstä monet suojausominaisuudet ja automaattisen varmuuskopiointiasetukset, poisti palautuspisteitä ja avasi yhteydet etätietokoneen ohjeiden saamiseksi. Ensimmäisen tietokoneen asennuksen jälkeen Conficker käytti sitä päästäkseen muuhun verkkoon [1] .

Mato käytti hyväkseen puskurin ylivuodon haavoittuvuuksia Windows-perheen käyttöjärjestelmissä ja suoritti haitallista koodia käyttämällä väärennettyä RPC -pyyntöä . Ensinnäkin hän poisti käytöstä useita palveluita - automaattiset Windows-päivitykset , Windows Security Center , Windows Defender ja Windows Error Reporting , ja esti myös pääsyn useiden virustorjuntavalmistajien sivustoille.

Mato loi ajoittain satunnaisesti luettelon verkkosivustoista (noin 50 000 verkkotunnusta päivässä), joita se käytti saadakseen suoritettavan koodin. Vastaanottaessaan sivustolta suoritettavan tiedoston mato tarkisti allekirjoituksensa ja jos se oli kelvollinen, se suoritti tiedoston.

Lisäksi mato käytti P2P - päivitysten vaihtomekanismia, jonka avulla se saattoi lähettää päivityksiä etäkopioihin ohittaen ohjauspalvelimen.

Infektion oireet

  1. Palvelut pois käytöstä ja/tai ei käytössä:
    • Windows Update Service
    • Taustalla oleva älykäs siirtopalvelu
    • Windows Defender
    • Windowsin virheraportointipalvelut
  2. Tietokoneen pääsyn estäminen virustentorjuntavalmistajien verkkosivustoille
  3. Jos paikallisessa verkossa on tartunnan saaneita tietokoneita, verkkoliikenteen määrä kasvaa, koska verkkohyökkäys alkaa näistä tietokoneista .
  4. Virustorjuntasovellukset, joissa on aktiivinen palomuuri, raportoivat Intrusion.Win.NETAPI.buffer-overflow.exploitin hyökkäyksestä.
  5. Tietokone alkaa reagoida hyvin hitaasti käyttäjän toimiin, kun taas Tehtävienhallinta raportoi 100 % :n suorittimen käytön svchost.exe - prosessissa .
  6. IPSec-palvelu estetään. Seurauksena verkkohäiriö.

matotaistelu

Yritykset, kuten Microsoft , Symantec , Dr.Web , ESET , Kaspersky Lab , Panda Security , F-Secure , AOL ja muut osallistuivat matotartunnan ehkäisyyn ja sen tuhoamiseen tartunnan saaneilta tietokoneilta. Vaara jatkuu kuitenkin tähän päivään asti.

Jokaisen käyttäjän tulisi myös tietää, että jos tietokone on jo madon tartuttama, yksinkertainen järjestelmäpäivitys ei auta sitä, koska se vain sulkee haavoittuvuuden, jonka kautta se joutui järjestelmään. Tästä syystä on suositeltavaa käyttää uusimpien versioiden erityisiä apuohjelmia madon poistamiseksi kokonaan.

Vahinko

McAfeen mukaan madon verkkoyhteisölle aiheuttama vahinko on arviolta 9,1 miljardia dollaria, mikä on toiseksi vain postimatojen , kuten MyDoom (38 miljardia dollaria) ja ILOVEYOU (15 miljardia dollaria) aiheuttamat vahingot [3] .

Katso myös

Muistiinpanot

  1. ↑ 1 2 Mikä Conficker on? - Määritelmä sivustolta WhatIs.com  (englanniksi) . WhatIs.com . Haettu: 7.9.2022.
  2. Conficker Worm: Auta suojaamaan Windowsia Confickerilta Arkistoitu 18. toukokuuta 2018 Wayback Machinessa 10. huhtikuuta 2009 
  3. McAfee , Hyvä vuosikymmen tietoverkkorikollisuudelle Arkistoitu 5. kesäkuuta 2013. , (pdf), (eng).

Linkit

 Bottiverkot