Conficker.pdf

Conficker - Poznaj swojego wroga

Sam Conficker charakteryzuje się stosunkowo nieszkodliwym działaniem. Jego celem jest w

głównej mierze przygotowanie gruntu pod dalsze ataki szkodliwego oprogramowania. To

właśnie one stanowią rzeczywisty problem: gdy komputer PC zostanie zainfekowany, robak

(przynajmniej w swoich nowszych wersjach) uniemożliwi dostęp do ponad 100 portali

bezpieczeństwa i antywirusowych, jak również do witryny Microsoft.com. Zablokowane

zostaną również takie usługi systemu Windows jak aktualizacja, Centrum Zabezpieczeń czy

Windows Defender. Jednak ta niezbyt przyjemna cenzura daje Ci możliwość szybkiego

ustalenia, czy Twój komputer należy do ogromnej rzeszy zainfekowanych.

W artykule czytamy, iż w celu szybkiego sprawdzenia, czy padłeś ofiarą Confickera możesz

także odwiedzić stronę

http://www.confickerworkinggroup.org/wiki/pmwiki.php/Main/HomePage. Jeżeli

przeglądarka nie wyświetli wszystkich logotypów dostawców rozwiązań bezpieczeństwa,

oznacza to, że Twój komputer został zainfekowany. Kolejny test pozwalający jednoznacznie

stwierdzić, czy komputer został zainfekowany, znajduje się na stronie http://four.cs.uni-

bonn.de/fileadmin/user_upload/werner/cfdetector/.

Tym, co stanowi rzeczywiste niebezpieczeństwo, jest potencjał Confickera. Robak ten

próbuje ładować kolejne szkodniki. Ich rodzaj zależy od twórców tego robaka. W

międzyczasie użytkownicy mogli pobrać lub kupić crimeware pod postacią skanerów

wirusów lub narzędzi do usuwania robaków.

Cyberprzestępcy mogą wykorzystywać zainfekowane maszyny do różnych celów: zbudować

z nich ogromną, zdalnie kontrolowaną sieć zombie służącą do przeprowadzania ataków na

strony internetowe, wysyłać miliardy wiadomości spamowych lub zebrać miliony haseł i

danych dotyczących kont – możliwości wydają się niewyczerpane.

Odrobaczanie systemu Windows

Conficker, znany również jako Downup, Downandup oraz Kido, po raz pierwszy pojawił się

pod koniec listopada 2008 roku. Jego działanie – podobnie jak wielu innych robaków -

opierało się na wykorzystaniu luki w zabezpieczeniach systemu Microsoft Windows, która

dotyczyła prawie wszystkich wersji tego systemu operacyjnego: Windows 2000, Windows

XP, Windows Vista, Windows Server 2003, Windows Server 2008, a nawet Windows 7 Beta.

Jednak w tym przypadku Microsoft nie ponosi całej winy: w momencie pojawienia się

Confickera łata na wykorzystywaną przez szkodnika lukę była już dostępna. Pojawienie się

tego robaka ze zrozumiałych przyczyn było nie w smak firmie Microsoft, która zaoferowała

250 000 dolarów nagrody za informacje mogące pomóc w aresztowaniu winnego. Jak dotąd,

nikt nie odebrał nagrody.

Od momentu pojawienia się, 21 listopada 2008 roku, robak ten jest nieustannie rozwijany.

Obecnie Kaspersky Lab zidentyfikował i skategoryzował pięć głównych wariantów

Confickera. Zostały oznaczone literami od A do E. Najnowsza wersja została

zidentyfikowana 8 kwietnia. Poza tym istnieją setki modyfikacji.

Eksperci zauważają, że każdy wariant wykorzystuje do rozprzestrzeniania się tę samą lukę.

Niektóre posuwają się jednak dalej. Na przykład dwa pierwsze warianty, A i B, instalują na

komputerze ofiary niewielki serwer sieciowy. Conficker.B potrafi również rozprzestrzeniać

się poprzez współdzielenie plików oraz nośniki wymienne, takie jak pamięć USB. Robak

kopiuje się na nośnik wymienny lub inne przenośne urządzenia do przechowywania danych i

aktywuje się za pomocą funkcji AutoRun/AutoPlay, która w większości systemów Windows

jest domyślnie włączona.

Zdaniem Piotra Kupczyka nie ma zatem nic dziwnego w tym, że wkrótce po pojawieniu się

tego szkodnika w dość krótkim czasie zainfekowana została spora liczba systemów. Nawet

Brytyjskie Ministerstwo Obrony musiało przyznać, że Conficker zaatakował okręty wojenne,

podwodne oraz samo ministerstwo. W Sheffield zainfekowanych zostało 800 komputerów PC

w wielu szpitalach. Szkodnik nie oszczędził ani Niemieckiej Armii, ani Brytyjskiej Izby

Gmin.

Czas działać

Kaspersky Lab uspokaja, iż pomimo tego, co zostało napisane, nie należy się martwić,

ponieważ „odrobaczenie” komputera nie jest wcale takie trudne. Eksperci radzą:

 Po pierwsze, załataj we wszystkich komputerach z systemem Windows

wykorzystywaną przez szkodnika lukę. Łatka dostępna jest na poniższej stronie:

http://www.microsoft.com/poland/technet/security/bulletin/MS08-067.mspx.

 Upewnij się, że wszystkie komputery posiadają włączone i aktualne rozwiązanie

antywirusowe.

 Rozsądnym środkiem zapobiegawczym jest również wyłączenie funkcji

AutoRun/AutoPlay, szczególnie gdy nie potrzebujesz jej w swojej codziennej pracy.

Przydatne wskazówki oferuje również Microsoft na stronie

http://support.microsoft.com/kb/953252 oraz http://support.microsoft.com/kb/967715.

Na razie jest dobrze. Jednak jak zdobyć pewność, że w Twojej sieci nie ma komputerów

zainfekowanych Confickerem? Jak czytamy w artykule odpowiedź jest prosta: skorzystaj z

wyspecjalizowanych narzędzi od dostawców rozwiązań bezpieczeństwa. Są one darmowe, a

ich uzyskanie nie wymaga zakupu oprogramowania od takiego dostawcy.

Na koniec autor artykułu przedstawia kilka porad, w jaki sposób można przechytrzyć wirusa,

aby nie dostał się do naszego systemu. Niewielki program może przygotować komputer w

taki sposób, aby „prawdziwy” wirus sądził, że system został już zainfekowany, i omijał go.

Program nosi nazwę „Nonficker" i jest dostępny na stronie http://iv.cs.uni-

bonn.de/uploads/media/nonficker_01.zip.

Jeżeli zainfekowany system blokuje dostęp do ważnej strony, Kaspersky Lab podaje, iż

pomocne będzie pewne proste polecenie: otwórz wiersz poleceń MS-DOS (Start ->

Uruchom...) i wpisz następujące polecenie: NET STOP DNSCACHE. Dostęp do

zablokowanych stron internetowych zostanie przywrócony i będzie można pobrać narzędzia

potrzebne do elektronicznego „odrobaczania”.

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: