Сетевой Вирус Conficker и как с ним бороться

Печать: Шрифт: Абв Абв Абв
admin 08 Февраля 2009 в 21:55:22
В пики атак, наша сеть из тысячи с лишним машин ложится намертво.


Гляжу все расслабились и забили на антивирусную защиту и пропустили Conficker. Вирус новогодний, так что те у кого базы не были обновлены попали.

Conficker.X. работает так: блокирует пользователей домена, блокирует сайты Microsoft, AVP, NOD, рубится по 445 порту, подбирает парль к IRC, загружет свою часть на атакуемую машину, потом подгружет надостающие части. Во временных файлах он создёт свои кусочки в формате jpg, bmp и прочее, это если мы его случайно удалим то его тело заново соберёться из этих кусочков!а потом собирает свой скрипт файлик с расширением ws размером 157 к.

Старый вирус Conficker.A.
прятался в регестре
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\<worm executable filename>.dll"
но эта гадасть создёт имя в регестре рандомом!!

Григорий Васильев, технический директор ESET:

"Данный червь использует критическую уязвимость MS08-67 операционных систем Windows, подсистемы удаленного вызова процедур Remote Call Procedure (RPC), предоставляющую злоумышленнику возможность атаковать удаленные компьютеры без подтверждения прав доступа к системе. Conficker пытается скачать дополнительно рекламное ПО или вредоносные программы, обычно это варианты FakeAlert, Wigon.

Интересная особенность червя заключается в том, что он имеет механизм проверки языков, установленных в системе и не заражает компьютеры, в которых используется украинская раскладка. Обычно подобные трюки используются для того, чтобы избежать юридического преследования в определенных странах. К тому же, червь отключает брандмауэр Windows и запускает http-сервер на случайном порту.
Заражение такого внушительного количества компьютеров червем Downadup (Conficker) говорит о том, что многие Интернет-пользователи до сих пор пренебрегают средствами информационной защиты. Специалисты ESET зафиксировали злонамеренную программу, создающую обширные бот-сети, еще в ноябре 2008 года. С тех пор решения ESET свободно детектируют Conficker в его трех вариантах - A, B, C, а также удаляют червя с уже зараженного компьютера".

Для удобства я поместил всё заплатки для всех версий виндуса в один архив. Там же лежит EConfickerRemover. Если вы его запустили и он больше одного раза попросил нажать его "Yes" у вас точно в системе сидел вирус.

Скачать заплатки + ConfickerRemover

Список файлов в архиве
EConfickerRemover.exe
Windows2000-KB921883-x86-ENU.EXE
Windows2000-KB921883-x86-RUS.EXE
WindowsServer2003-KB921883-v2-x86-ENU.exe
WindowsServer2003-KB921883-v2-x86-RUS.exe
WindowsServer2003-KB958644-x86-ENU.exe
WindowsServer2003-KB958644-x86-RUS.exe
WindowsXP-KB921883-x86-ENU.exe
WindowsXP-KB921883-x86-RUS.exe
WindowsXP-KB958644-x86-ENU.exe
WindowsXP-KB958644-x86-RUS.exe


Червь Conficker заразил уже 10 миллионов ПК

Количество персональных компьютеров, инфицированных червем Conficker (он же Downadup), приблизилось к десяти миллионам. Вредоносная программа Conficker была обнаружена еще в ноябре, однако пик ее распространения пришелся на начало января. Червь проникает через уязвимость в операционных системах Windows и, попав на компьютер жертвы, открывает злоумышленникам полный доступ к машине. Заражение также может происходить через USB-устройства — к примеру, флеш-брелоки или МР3-плееры.

Согласно статистике компании Trend Micro, по состоянию на 19 января червем Conficker было заражено около девяти миллионов машин. Ежедневно червь поражает более миллиона ПК. Специалисты Trend Micro опасаются, что заражение может быть первым шагом в создании глобального ботнета.

Эксперты по вопросам безопасности настоятельно рекомендуют пользователям Сети установить обновление для «дыры» в Windows, которую эксплуатирует червь, а также загрузить апдейты антивирусных баз данных.

Подготовлено по материалам SFGate и Trend Micro.
Комментарии, по рейтингу, по дате
  Гость 14.05.2009 в 10:03:24   # 14764
дааа эта сволочь мне целый месяц спокойно жить не давала, вся сеть висит предприятие висит, бухи мнея чих-пых....%)
  Гость 15.06.2009 в 00:47:09   # 16643
Ну и какой же мудак додумался такое написать!!! Девченки его чтоли в детстве били?
  Гость 23.07.2009 в 21:34:28   # 18738
ПОМОГЛО!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
  SevS 05.08.2009 в 07:53:46   # 19407
ну я не буду оригинален....большое, человеческое спасибо !!!
  Гость 13.08.2009 в 03:24:43   # 19775
Линуксоиды заткнитесь! Нравится Линух - радуйтесь и не ебите людям мозги!!!
  Миша Minami 25.08.2009 в 17:12:30   # 20785
Эта тварь столько мне еб*ла мозг
Теперь норм за патч БОЛШЬШОЕ СПАСИБО!!!
  cyberpunk 13.10.2009 в 14:15:53   # 24409
Спасибо! вирус побежден!
  Гость 07.11.2009 в 16:11:11   # 26264
Большое человеческое спасибо!
  Гость 09.01.2010 в 02:24:01   # 31675
спасибо, я лечил сразу всем, возможно Ваше лекарство помогло
  Гость 12.01.2010 в 15:22:01   # 31967
Вполне нормально с этой бедой борется даже халявная Авира 9, но никто не гарантирован от нового заражения модификациями Confiker. Даже при установленых!!!! заплатках от Мелкософта. Но лучше не пользоваться обрезанной халявой. Затраты на лицензионные продукты и трудозатраты и потери на ловлю и убивание этой заразы несопоставимы. Противостояние вирусов и антивирусов описано философским принципом "борьбы и единства противоположностей" Гегеля -Маркса. Это вечно.
Никсы конечо хорошо, но пользователи не программисты и работают на ПК, а не на серверах. так что МС пока рулит. И значит проблема разнообразных Конфикеров не снимается. Да и под никсы вирусня существует.
Компьютеры в этом смысле ничем не отличаются от людей, вылечил один штам грипа, появился другой, или его изобрели производители таблеток
  Ultimate 21.01.2010 в 11:07:02   # 32667
огромная благодарность за заплатки
  Masaynay 27.01.2010 в 01:27:23   # 33174
спасибо!!!!
  Leo 30.08.2010 в 18:55:07   # 58411
Вирус страшный
----
skype logoff45
  Гость 04.10.2010 в 13:01:27   # 65943

спасибо
  Гость 04.12.2010 в 07:37:50   # 86951
какой нужен патч для Microsoft Windowx XP Zver v2010.8
Добавить сообщение
Чтобы добавлять комментарии зарeгиcтрирyйтeсь