Template by:
Free Blog Templates

пятница, 3 апреля 2009 г.

Conficker C: Предотвратите превращение вашего компьютера в Зомби

Conficker C - Первоапрельский подарок

По взволнованным оценкам специалистов, 1 апреля в сети появился новый, очень опасный червь Conficker C, известный также как Downadup. Сейчас миллионы компьютеров по всему миру заражены двумя версиями червя – A и В. Напомним, что червь Conficker приобрел широкую популярность во второй половине прошлого года, когда вредоносная программа была обнаружена на миллионах персональных компьютеров по всему миру. Для проникновения в систему Conficker использует уязвимость в программных продуктах Microsoft (устраненную с выпуском октябрьского патча). Захваченный червем ПК превращается в «зомби-систему», которая контролируется злоумышленниками и может использоваться для решения таких задач, как рассылка спама и совершение распределенных атак.

Эксперты из компании Symantec вынуждены констатировать факт, что хакеры на шаг опережают ведущих производителей средств защиты, которые пытаются общими усилиями ликвидировать угрозу. В прошлом месяце два десятка крупнейших ИТ-компаний (в том числе Microsoft, Symantec, VeriSign и ICANN) объединились в альянс для совместной борьбы с червем. Одной из мер, предпринимаемых членами экспертной группы Conficker Cabal, являлась упреждающая регистрация Интернет-адресов, которые используются червем для рассылки инструкций на зараженные машины. К сожалению, весьма эффективная на первый взгляд попытка не увенчалась успехом.


С появлением новой модифицации червя, видоизменился и алгоритм, предназначенный для связи зараженных компьютеров с контролирующим центром. Напомним, что "Конфикер" ежедневно генерирует по 250 доменных имён, с которыми пытается связываться для получения инструкций (которых, к счастью, до сих пор не было). Этот алгоритм уже давно расшифрован антивирусными компаниями, которые сами регистрируют домены из этих списков для анализа действий червя, а также блокируют эти доменные имена. Очевидно, авторам "Конфикера" это пришлось не по душе, поэтому они разработали новый алгоритм, генерирующий уже по 50000 доменных имён в сутки. При этом они пользуются списком из 116 доменов верхнего уровня. Кроме того, обновленный Conficker стал еще более гибким и труднообнаружимым для современных защитных сервисов и программных продуктов.

Впрочем, Вифер и его коллеги считают, что им удалось сдержать лавинообразное распространение червя, и час славы Conficker уже миновал. На сегодняшний день количество скомпрометированных систем исчисляется сотнями тысяч, а не миллионами, как это было ранее. Производители средств защиты не намерены отказываться от дальнейшей борьбы. Причем, в первоочередные задачи членов альянса входит не только изучение новых образцов и выработка «противоядия», но и идентификация авторов вируса. К примеру, компания Microsoft предлагает 250 000 долларов за любую информацию, которая поможет задержать создателя червя и доказать его вину в суде.

Эксперты также рекомендуют пользователям лично позаботиться о защите собственных Windows-систем. Для этого им необходимо установить обновление Microsoft MS08-067, убедиться в надежности используемых паролей и отключить функции Autoplay и Autorun, реализованные в операционной системе Windows, сообщает computerworld.com.
Что интересно, больше всего зараженных новым вирусом компьютеров находится в Бразилии, России и странах Восточной Европы, и существуют определенные подозрения, что авторы Conficker находятся на Украине.

Описание 

При запуске, червь Win32/Conficker создает копию в директории %System% с произвольным именем. Win32/Conficker проверяет использует ли зараженная машина Windows. Если да, то червь внедряет свой код в процесс services.exe.

Если операционная система отлична от Windows 2000, червь создает службу со следующими характеристиками:
Имя службы: netsvcs
Путь к файлу: %System%\svchost.exe -k netsvcs

Также создает следующий ключ реестра:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\<worm executable filename>.dll"

Win32/Conficker подключается к домену trafficconverter.biz и пытается загрузить и выполнить следующие файлы:
http://trafficconverter.biz/<censored>/loadadv.exe

Как удалить Conficker?


Уязвимость в службе сервера делает возможным удаленное выполнение кода (958644) специально созданного RPC-запроса. В системах Microsoft Windows 2000, Windows XP и Windows Server 2003 можно воспользоваться этой уязвимостью и запустить произвольный код без прохождения проверки подлинности. Ею можно воспользоваться посредством вирусов-червей или специально созданных средств. Рекомендуемые и стандартные параметры конфигурации брандмауэра позволяют защитить сеть от атак из-за пределов среды организации.
Майкрософт рекомендует пользователям установить обновление немедленно:
1. Версия для пользователей домашних компьютеров
2. Версия для ИТ-специалистов
3. Полная версия 

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления воспользуйтесь специальной утилитой от Лаборатории Касперского и рекомендациями по удалению, которые можно скачать по следующей ссылке:
http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215 



Вы можете воспользоваться разработками специалистов ESET, зафиксировавших злонамеренную программу, создающую обширные бот-сети, еще в ноябре 2008 года. С тех пор утилита ESET определяет Conficker в его трех вариантах - A, B, C. С уже зараженного компьютера червь удаляется с помощью специальной утилиты которую можно скачать по ссылке http://download.eset.com/special/EConfickerRemover.exe
 Вы также можете произвести вычистку вашего компьютера вручную, если вы подозреваете опасность заражения:

   1. Удалить ключ системного реестра:
     [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
   2. Удалить строку "%System%\<rnd>.dll" из значения следующего параметра ключа реестра:
     [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"
   3. Перезагрузить компьютер
   4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
   5. Удалить копию червя:
     %System%\<rnd>.dll
     %Program Files%\Internet Explorer\<rnd>.dll
     %Program Files%\Movie Maker\<rnd>].dll
     %All Users Application Data%\<rnd>.dll
     %Temp%\<rnd>.dll
     %System%\<rnd>.tmp
     %Temp%\<rnd>.tmp
     где <rnd> - случайная последовательность символов.
   6. Удалить следующие файлы со всех съемных носителей:
     <X>:\autorun.inf <X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx, где rnd – случайная последовательность строчных букв, d – произвольное число, X – буква съемного диска.



Скачать и установить обновление операционной системы.



Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.