Сетевой Вирус Conficker и как с ним бороться
Печать: Шрифт: Абв Абв Абв
admin 08 Февраля 2009 в 21:55:22
В пики атак, наша сеть из тысячи с лишним машин ложится намертво.


Гляжу все расслабились и забили на антивирусную защиту и пропустили Conficker. Вирус новогодний, так что те у кого базы не были обновлены попали.

Conficker.X. работает так: блокирует пользователей домена, блокирует сайты Microsoft, AVP, NOD, рубится по 445 порту, подбирает парль к IRC, загружет свою часть на атакуемую машину, потом подгружет надостающие части. Во временных файлах он создёт свои кусочки в формате jpg, bmp и прочее, это если мы его случайно удалим то его тело заново соберёться из этих кусочков!а потом собирает свой скрипт файлик с расширением ws размером 157 к.

Старый вирус Conficker.A.
прятался в регестре
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\<worm executable filename>.dll"
но эта гадасть создёт имя в регестре рандомом!!

Григорий Васильев, технический директор ESET:

"Данный червь использует критическую уязвимость MS08-67 операционных систем Windows, подсистемы удаленного вызова процедур Remote Call Procedure (RPC), предоставляющую злоумышленнику возможность атаковать удаленные компьютеры без подтверждения прав доступа к системе. Conficker пытается скачать дополнительно рекламное ПО или вредоносные программы, обычно это варианты FakeAlert, Wigon.

Интересная особенность червя заключается в том, что он имеет механизм проверки языков, установленных в системе и не заражает компьютеры, в которых используется украинская раскладка. Обычно подобные трюки используются для того, чтобы избежать юридического преследования в определенных странах. К тому же, червь отключает брандмауэр Windows и запускает http-сервер на случайном порту.
Заражение такого внушительного количества компьютеров червем Downadup (Conficker) говорит о том, что многие Интернет-пользователи до сих пор пренебрегают средствами информационной защиты. Специалисты ESET зафиксировали злонамеренную программу, создающую обширные бот-сети, еще в ноябре 2008 года. С тех пор решения ESET свободно детектируют Conficker в его трех вариантах - A, B, C, а также удаляют червя с уже зараженного компьютера".

Для удобства я поместил всё заплатки для всех версий виндуса в один архив. Там же лежит EConfickerRemover. Если вы его запустили и он больше одного раза попросил нажать его "Yes" у вас точно в системе сидел вирус.

Скачать заплатки + ConfickerRemover

[code]Список файлов в архиве
EConfickerRemover.exe
Windows2000-KB921883-x86-ENU.EXE
Windows2000-KB921883-x86-RUS.EXE
WindowsServer2003-KB921883-v2-x86-ENU.exe
WindowsServer2003-KB921883-v2-x86-RUS.exe
WindowsServer2003-KB958644-x86-ENU.exe
WindowsServer2003-KB958644-x86-RUS.exe
WindowsXP-KB921883-x86-ENU.exe
WindowsXP-KB921883-x86-RUS.exe
WindowsXP-KB958644-x86-ENU.exe
WindowsXP-KB958644-x86-RUS.exe [/code]

Червь Conficker заразил уже 10 миллионов ПК

Количество персональных компьютеров, инфицированных червем Conficker (он же Downadup), приблизилось к десяти миллионам. Вредоносная программа Conficker была обнаружена еще в ноябре, однако пик ее распространения пришелся на начало января. Червь проникает через уязвимость в операционных системах Windows и, попав на компьютер жертвы, открывает злоумышленникам полный доступ к машине. Заражение также может происходить через USB-устройства — к примеру, флеш-брелоки или МР3-плееры.

Согласно статистике компании Trend Micro, по состоянию на 19 января червем Conficker было заражено около девяти миллионов машин. Ежедневно червь поражает более миллиона ПК. Специалисты Trend Micro опасаются, что заражение может быть первым шагом в создании глобального ботнета.

Эксперты по вопросам безопасности настоятельно рекомендуют пользователям Сети установить обновление для «дыры» в Windows, которую эксплуатирует червь, а также загрузить апдейты антивирусных баз данных.

Подготовлен
атериалам SFGate и Trend Micro.
Комментарии, по рейтингу, по дате
  Maiymi 22.02.2009 в 16:19:26   # 10191
Огромнеешее спасибо!!!!
  Гость 25.02.2009 в 12:19:37   # 10362
эта скатина мне пол года мозг трахает
  Make 16.03.2009 в 10:32:19   # 11377
Спасибо
поставлю посмотрю
  Гость 16.03.2009 в 15:08:17   # 11392
согласен.. из-за этой мерзопакости приходится ездить на удалённую работу, что ппц как неудобно. ибо блокирует сеть, и ремоутом ничего сделать невозможно. перезапускаешь сеть - работает. сутки-двое, потом опять всё по кругу. перестановка системы ниччего не даёт, так как отформатироватиь всё под чистую нет возможности. попробуем сегодня таким образом почистить..
  Гость 16.03.2009 в 15:33:56   # 11395
Сумашествие какое то
  Палыч 16.03.2009 в 16:42:40   # 11398
Червь Conficker автоматически обновился до новой версии

Несколько дней назад на все компьютеры, зараженные печально известным червем Conficker, был в принудительном порядке установлен модифицированный вариант опасной программы. Напомним, что червь Conficker, также известный под именем Downadup, приобрел широкую популярность во второй половине прошлого года, когда вредоносная программа была обнаружена на миллионах персональных компьютеров по всему миру. Для проникновения в систему Conficker использует уязвимость в программных продуктах Microsoft (устраненную с выпуском октябрьского патча). Захваченный червем ПК превращается в «зомби-систему», которая контролируется злоумышленниками и может использоваться для решения таких задач, как рассылка спама и совершение распределенных атак.
  Палыч 16.03.2009 в 16:43:46   # 11399
«Выпущенная модификация Conficker.c сводит на нет наши усилия», - сообщает Винсент Вифер, глава рабочей группы Symantec Security Response Group, - «Список, генерируемый предыдущими версиями червя, состоял из двух с половиной сотен вероятных доменов. Cвежая модификация расширяет этот список до 50 000 URL-адресов. Кроме того, обновленный Conficker стал еще более гибким и труднообнаружимым для современных защитных сервисов и программных продуктов».
  Ядерщик 16.03.2009 в 17:02:16   # 11401
Поздравляем!

  Sasha 18.03.2009 в 13:17:48   # 11533
Я по твоим совета скачал пачи установил (Windows2000-KB921883-x86-ENU.EXE) перегрузил ... запустил (EConfickerRemover.exe) нажал там "y" и больше не просило.... Это значит я вылечил свой комп ????
  Палыч 18.03.2009 в 14:08:15   # 11540
Ставьте убунту и не парьтесь
  Ядерщик 18.03.2009 в 15:00:11   # 11547
А мы уже думали о Сусеке, посчитали так, подумали нафиг надо
  Гость 29.03.2009 в 11:50:12   # 12211
Cпасибо большое а то он достал реально
  Гость 03.04.2009 в 23:11:35   # 12565
ятъ-ятъ-ятъ
  Гость 04.04.2009 в 00:35:54   # 12566
ПА-СИ-БО... Мил-человек! Мочканул я его. 1:0 можно считать....
  Гость 04.04.2009 в 21:34:33   # 12595
епт че такое язык несоответствует эта хуйня мне весь мозг поебала
  Гость 04.04.2009 в 21:48:43   # 12596
Может у тебя какая нибудь китайская винда?
  Гость 04.04.2009 в 21:56:28   # 12597
а не все заработала блин вы спасители)
  Ядерщик 04.04.2009 в 23:22:33   # 12604
Кстати, в новом ноде есть поддержка Conficker-а
  Гость 06.04.2009 в 09:31:55   # 12631
Доктор Веб (DRWEB) его валит. Но иногда приходится повозиться.
  Зло 07.04.2009 в 08:26:25   # 12680
Сижу себе на Линуксе... Вирусы? Черви? О.о Господа, вы с Марса?
  Гость 07.04.2009 в 08:30:56   # 12681
>Палыч
>18.03.2009 14:08:15
>Ставьте убунту и не парьтесь
Аналог Висты по глюконутости. Полно же нормальных дистов, нах этот детский сад советовать?
  Ядерщик 07.04.2009 в 09:02:09   # 12682
Меня дистрибутивы от Novell радуют
Сайт кстати на нём фунциклирует
  Гость 07.04.2009 в 13:55:43   # 12709
а если у меня Microsoft Windowx XP Professional, кодовое название Whistler, версия 5.1, сборка 2006, Service Pakc 3, то какой мне патч нужен? =)
  Ядерщик 07.04.2009 в 14:02:11   # 12711
Этим
[cod
owsXP-KB921883-x86-RUS.exe
WindowsXP-KB958644-x86-RUS.exe[/co
А вообще, в паке третьем должно быть уже установлено это обновление. Если не попросит перегрузится, значит пропатчино.
  Гость 07.04.2009 в 14:40:31   # 12718
а если чначала 2 раза y нажала и предупреждение о вирусе появилось (я в нем удалить нажала), а потом еще раз програмку открыла и только 1 раз y ответила, то все норм, вирус удален?
  Ядерщик 07.04.2009 в 16:29:17   # 12724
Всё верно, а у вас вообще антивирь стоит?
Эти заплатки как мне кажется дают защиту только от сетевого заражения, а если вы принесли его на флешки или на чём нибудь другом, то ппц
  Гость 10.04.2009 в 04:10:56   # 13002
большое спасибо за полезные патчи ОЧЕНЬ помогли ! Респект и уважуха ! ))
  победа 10.04.2009 в 19:45:05   # 13044
Вот тут ещё есть лекарство от Microsoft, я у себя пару компов таким образом исчелил, главное в сети локализовать компутеры с которых лезет эта гадость.
http://www.dost.gov.ph/index.php?option=content&task=view&id=686
  Гость 10.04.2009 в 21:24:47   # 13046
победа, странная какая то ссылка, не пашет, и почему с какого то левого сайта? Не вирус ли там? Меня пока это устраивает
  ajjzhanat 29.04.2009 в 13:48:57   # 14129
Спосибо большое! помогло!
Добавить сообщение
Чтобы добавлять комментарии зарeгиcтрирyйтeсь