Pytania i odpowiedzi dotyczące wirusa Conficker (Downadup)

Conficker to jeden z najbardziej skutecznych robaków, które pojawiły się na przełomie ostatnich 12 miesięcy. Poniżej znajdują się odpowiedzi na podstawowe pytania dotyczące tego zagrożenia.

Czy naprawdę Conficker jest groźny?
Conficker – znany także jako Downadup, Downad lub Kido.ih – wykorzystuje lukę w zabezpieczeniach usługi RPC systemu Windows. Luka została załatana specjalną aktualizacją wyemitowaną przez Microsoft w październiku. Wirus sprawdza czy losowo wybrane komputery są podatne na atak. Jeżeli znajdzie niezabezpieczony komputer, umieszcza na jego dysku plik ze złośliwym kodem. Plik uruchamia się automatycznie i instaluje w systemie serwer HTTP, co umożliwia zarażanie kolejnych komputerów tą samą drogą. Dodatkowo wirus infekuje wszystkie komputery w otoczeniu sieciowym zarażonego systemu zabezpieczone słabymi hasłami. Na wszystkich podłączanych nośnikach USB (dyski twarde, pendrive’y) itp. umieszcza mechanizm instalujący wirusa automatycznie we wszystkich komputerach, do których podłączony zostanie nośnik. Dzięki połączeniu wielu metod infekcji wirus osiągnął tak drastyczny procent zarażonych komputerów. W efekcie unieruchomionych zostało m. in. 3000 komputerów rządowych austriackiej Karyntii, komputery wielu australijskich i brytyjskich szpitali, a także część sprzętu komputerowego marynarki wojennej Francji.

Po dokonaniu infekcji wirus pobiera kolejne złośliwe pliki z różnych domen internetowych. Między innymi są to aplikacje typu scareware, mające na celu zastraszenie użytkowników komputerów. Aby nie utracić połączeń między poszczególnymi komputerami sieci botów, Conficker generuje 250 nowych nazw domen dziennie, bazując na bieżącej dacie. Wygląda na to, że ta fala infekcji przygotowuje sieć komputerów zombie nowej generacji. Zarażone komputery najwyraźniej są w stanie gotowości do przeprowadzenia szerszej operacji cyberprzestępczej.

Pierwsze analizy przeprowadzone w laboratorium G DATA Software wskazywały, że olbrzymia sieć botów komputerów zostanie aktywowana do potężnego ataku w dniu 14 lutego. Na szczęście te prognozy się nie sprawdziły.

Ile jest zarażonych komputerów?
Szacuje się z dużym marginesem bezpieczeństwa, że problem dotknął już od kilkaset tysięcy do ponad 10 milionów maszyn na całym świecie. Trudno jest o bardziej precyzyjne dane, gdyż część zarażonych komputerów połączonych jest z tymi samymi serwerami - mogły więc zostać policzone kilka razy. Z drugiej strony mylący może fakt, że sieci korporacyjne składające się z setek komputerów traktowane są z zewnątrz jako pojedyncza maszyna. Jednak nawet najostrożniejsze szacunki wskazują, że jesteśmy światkami stworzenia jednej z największych bot sieci w historii Internetu.

Jak się chronić przed atakiem?
Przykład wirusa Conficker w dramatyczny sposób demonstruje, jak ważne są aktualizacje systemów operacyjnych i oprogramowania, zainstalowanego na komputerze. Informacja o dziurze w zabezpieczeniach systemów operacyjnych wykorzystywanej przez Confickera została opublikowana w październiku 2008 roku. Microsoft umożliwił pobranie odpowiedniej aktualizacji łatającej dziurę. Niestety ogromna ilość osób odpowiedzialnych za administrowanie sieciami nie zareagowała odpowiednio szybko.

Uaktualnienie systemów i zlikwidowanie słabych haseł dostępu do sieci i kont użytkowników uchroniłoby wiele przedsiębiorstw i użytkowników domowych. Proste hasła, jak „12345“ lub „admin“ nie gwarantują bezpieczeństwa zabezpieczonych nimi danych, co bezlitośnie wykorzystuje Conficker. Ponadto wiele przedsiębiorstw nie stosuje jednoznacznej polityki, co do stosowania przenośnych nośników USB, takich jak pendrive’y, które są jedną z głównych dróg rozprzestrzeniania się wirusa Conficker. Mechanizm autostartu, włączony w większości komputerów, wykorzystywany jest do infekowania nie tylko przez Confickera, lecz także przez masę innych złośliwych programów.

Ciekawą usługę zaoferowała firma OpenDNS. Serwery rozpoznają w sieci komputery zarażone Confickerem i blokują dostęp do ok. 250 nowych domen botsieci. Komputery pozostają co prawda zarażone, ale twórca wirusa traci nad nimi kontrolę.

W jaki sposób rozpoznać infekcję?
Kompleksowy pakiet zabezpieczeń z aktualnymi sygnaturami wirusów jest w stanie wykryć obecność wirusa Conficker. Każdy użytkownik, który nie uaktualnił na czas systemu operacyjnego będzie musiał podjąć trud wyleczenia systemu z wirusa. Conficker zapisuje swoje pliki stosując losowe nazwy, więc ich zlokalizowanie może być niełatwe. Wirus rejestruje się jako usługa systemowa o losowo wybranej nazwie. Modyfikuje następujące elementy rejestru systemu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ [losowa nazwa usługi]Image Path = „%System Root%\system32\svchost.exe -k netsvcs“

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[losowa nazwa usługi]\ParametersServiceDll = „[ścieżka i nazwa złośliwego pliku]“

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

Inną oznaką działania wirusa może być wyłączenie następujących usług systemowych związanych z bezpieczeństwem:

• Centrum zabezpieczeń Windows
• Automatycznych aktualizacji
• Windows Defender
• Usługi raportowania błędów

Conficker odcina dostęp do stron internetowych zawierających w nazwach adresów określone ciągi znaków. Dzięki temu zarażony system nie może wyświetlić stron najpopularniejszych producentów oprogramowania antywirusowego (w tym G DATA Software):

„virus“, „spyware“, „malware“, „rootkit“, „defender“, „microsoft“,
„symantec“, „norton“, „mcafee“, „trendmicro“, „sophos“, „panda“,
„etrust“, „networkassociates“, „computerassociates“, „f-secure“,
„kaspersky“, „jotti“, „f-prot“, „nod32“, „eset“, „grisoft“,
„drweb“, „centralcommand“, „ahnlab“, „esafe“, „avast“, „avira“,
„quickheal“, „comodo“, „clamav“, „ewido“, „fortinet“, „gdata“,
„hacksoft“, „hauri“, „ikarus“, „k7computing“, „norman“, „pctools“,
„prevx“, „rising“, „securecomputing“, „sunbelt“, „emsisoft“,
„arcabit“, „cpsecure“, „spamhaus“, „castlecops“, „threatexpert“,
„wilderssecurity“, „windowsupdate“

Administratorzy sieci mogą rozpoznać działalność wirusa po zwiększeniu ruchu na porcie 445. Conficker usiłuje ustalić adresy IP kolejnych komputerów korzystając ze stron internetowych:

• http://checkip.dyndns.org
• http://getmyip.co.uk
• http://www.getmyip.org

Wirus generuje nazwy domen aktualizujących złośliwe oprogramowanie na podstawie bieżącej daty:

• ask.com
• baidu.com
• google.com
• msn.com
• www.w3.org
• yahoo.com

Jak się pozbyć wirusa Conficker?
Szczegółowe opisy usuwania poszczególnych wersji wirusa są dostępne na stronach firmy Microsoft:

http://www.microsoft.com/security/portal/SearchResults.aspx?query=conficker

Ponieważ wirus jest dość rozbudowany i infekuje kilka różnych elementów systemu jednocześnie, jego ręczne usuwanie może być uciążliwe. Początkującym użytkownikom komputerów zaleca się stosowanie procedur usuwania otrzymanych od producentów oprogramowania antywirusowego lub skorzystanie z najnowszej wersji

narzędzia Microsoft MSRT (Malicious Software Removal Tool):
http://www.microsoft.com/poland/security/virus/malware.mspx
 

Informacje o firmie G DATA