Ядерщик

В пики атак, наша сеть из тысячи с лишним машин ложится намертво.


Гляжу все расслабились и забили на антивирусную защиту и пропустили Conficker. Вирус новогодний, так что те у кого базы не были обновлены попали.

Conficker.X. работает так: блокирует пользователей домена, блокирует сайты Microsoft, AVP, NOD, рубится по 445 порту, подбирает парль к IRC, загружет свою часть на атакуемую машину, потом подгружет надостающие части. Во временных файлах он создёт свои кусочки в формате jpg, bmp и прочее, это если мы его случайно удалим то его тело заново соберёться из этих кусочков!а потом собирает свой скрипт файлик с расширением ws размером 157 к.

Старый вирус Conficker.A.
прятался в регестре
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\<worm executable filename>.dll"
но эта гадасть создёт имя в регестре рандомом!!

Григорий Васильев, технический директор ESET:

"Данный червь использует критическую уязвимость MS08-67 операционных систем Windows, подсистемы удаленного вызова процедур Remote Call Procedure (RPC), предоставляющую злоумышленнику возможность атаковать удаленные компьютеры без подтверждения прав доступа к системе. Conficker пытается скачать дополнительно рекламное ПО или вредоносные программы, обычно это варианты FakeAlert, Wigon.

Интересная особенность червя заключается в том, что он имеет механизм проверки языков, установленных в системе и не заражает компьютеры, в которых используется украинская раскладка. Обычно подобные трюки используются для того, чтобы избежать юридического преследования в определенных странах. К тому же, червь отключает брандмауэр Windows и запускает http-сервер на случайном порту.
Заражение такого внушительного количества компьютеров червем Downadup (Conficker) говорит о том, что многие Интернет-пользователи до сих пор пренебрегают средствами информационной защиты. Специалисты ESET зафиксировали злонамеренную программу, создающую обширные бот-сети, еще в ноябре 2008 года. С тех пор решения ESET свободно детектируют Conficker в его трех вариантах - A, B, C, а также удаляют червя с уже зараженного компьютера".

Для удобства я поместил всё заплатки для всех версий виндуса в один архив. Там же лежит EConfickerRemover. Если вы его запустили и он больше одного раза попросил нажать его "Yes" у вас точно в системе сидел вирус.

Скачать заплатки + ConfickerRemover

Список файлов в архиве
EConfickerRemover.exe
Windows2000-KB921883-x86-ENU.EXE
Windows2000-KB921883-x86-RUS.EXE
WindowsServer2003-KB921883-v2-x86-ENU.exe
WindowsServer2003-KB921883-v2-x86-RUS.exe
WindowsServer2003-KB958644-x86-ENU.exe
WindowsServer2003-KB958644-x86-RUS.exe
WindowsXP-KB921883-x86-ENU.exe
WindowsXP-KB921883-x86-RUS.exe
WindowsXP-KB958644-x86-ENU.exe
WindowsXP-KB958644-x86-RUS.exe

Червь Conficker заразил уже 10 миллионов ПК

Количество персональных компьютеров, инфицированных червем Conficker (он же Downadup), приблизилось к десяти миллионам. Вредоносная программа Conficker была обнаружена еще в ноябре, однако пик ее распространения пришелся на начало января. Червь проникает через уязвимость в операционных системах Windows и, попав на компьютер жертвы, открывает злоумышленникам полный доступ к машине. Заражение также может происходить через USB-устройства — к примеру, флеш-брелоки или МР3-плееры.

Согласно статистике компании Trend Micro, по состоянию на 19 января червем Conficker было заражено около девяти миллионов машин. Ежедневно червь поражает более миллиона ПК. Специалисты Trend Micro опасаются, что заражение может быть первым шагом в создании глобального ботнета.

Эксперты по вопросам безопасности настоятельно рекомендуют пользователям Сети установить обновление для «дыры» в Windows, которую эксплуатирует червь, а также загрузить апдейты антивирусных баз данных.

Подготовлено по материалам SFGate и Trend Micro.