Conficker (также известен как Downup, Downadup и Kido) — один из опаснейших из известных на сегодняшний день компьютерных червей. Появился в сети в октябре 2008. Атакует операционные системы семейства Microsoft Windows (от Windows 2000 до Windows Vista и Windows Server 2008). На январь 2009 вирус поразил 12 миллионов компьютеров во всём мире. 13 января 2009 Microsoft обещал 250 000 долларов за информацию о создателях вируса. 1 апреля вирус не активировался как ожидалось, но опасность сохраняется по сей день.
Название
Название «Conficker» происходит от англ. configuration (конфигурация) и нем. ficken (груб. совокупляться). Таким образом, Conficker — «насильник конфигураций».
Распространение
Столь быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам. Также он может распространяться через USB-накопители. При этом вирус в виде переименованной DLL-библиотеки, сохраняется в папке RECYCLER.
Принципы работы
Червь находит уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. Первым делом он отключает ряд служб: автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting, а также блокирует доступ к сайтам ряда производителей антивирусов.
Периодически червь случайным образом генерирует список сайтов (около 50 тыс. доменных имён в сутки), к которым обращается для получения исполняемого кода. При получении с сайта исполняемого файла червь сверяет электронно-цифровую подпись и, если она совпала, исполняет файл.
Кроме того, червь реализует P2P механизм обмена обновлениями, что позволяет ему рассылать обновления удалённым копиям, минуя управляющий сервер.
Борьба с вирусом
В предупреждении заражения вирусом и его уничтожении с заражённых компьютеров принимали участие такие корпорации, как Microsoft, ESET, Kaspersky Lab, Panda Security, F-Secure, AOL и другие. Тем не менее, опасность сохраняется по сей день. Но появились способы его полного удаления.
Tmhack's Blog 
Leave a comment