$250 тыс за голову создателя червя Conficker

Печать: Шрифт: Абв Абв Абв
admin 16 Февраля 2009 в 10:28:58
Компания Microsoft, 12 февраля, объявила о том, что заплатит $250 тыс. вознаграждения за сведения, которые приведет к аресту и суду над создателями Conficker, одного из самых опасных интернет-червей за последние годы.

По словам представителей софтверного гиганта, компания также активно сотрудничает со специалистами по безопасности, регистраторами доменных имен и Корпорацией по присвоению имен и номеров в интернете (ICANN) с целью выявить и отключить серверы, через которые проводятся атаки червя Conficker, сообщает Associated Press.

«Лучший способ победить такие потенциальные ботнеты, как Conficker/Downadup – совместная работа специалистов по безопасности и компаний, которые занимаются контролем над доменными именами. ICANN является сообществом, суть которого в том, чтобы координировать такие усилия и поддерживать безопасность и стабильность в Сети», - сказал Грэг Рэттрэй (Greg Rattray), главный советник по безопасности ICANN.

Напомним, что червь, известный под кодовыми названиями Downadup и Conficker, заражает компьютеры пользователей с помощью уязвимости MS08-067 в операционной системе Windows. Вирус распространяется, получая доступ к одному компьютеру, после чего подбирает пароли к другим ПК в той же сети. Недавно компания Microsoft выпустила обновление для Windows, которое должно защитить пользователей от вируса. Большинство систем автоматически скачает новое обновление, однако на зараженных системах функцию автоматического обновления червь отключает.

По сведениям компании F-Secure, еще 13 января насчитывалось всего 2,4 млн зараженных ПК, через день их было уже 3,5 млн, а по данным на 16 января вирус заразил почти 9 млн систем. По последним данным, число зараженных систем превышает 11 млн.

На сегодняшний день происхождение вируса остается неизвестным, однако специалисты F-Secure высказывали предположения, что Downadup был создан злоумышленниками из Украины — вирус не затрагивает компьютеры из этой страны. По мнению F-Secure, это говорит о том, что создатели червя не хотели привлекать к себе внимание со стороны местных властей.

«Если авторы Conficker живут в той части мира, которая известна своим мягким отношением к киберпреступности – например, в России, на Украине или в Румынии – получить точные сведения о них будет сложно. Однако с другой стороны, $250 тыс. – это хороший стимул для хакеров, которые могут знать, кто ответственен за это. Обычно, организованные криминальные группы платят хакерам около $10 тыс. за организацию атак на большое число компьютеров», - сказал Джарт Армин (Jart Armin), редактор сайта Hostexploit.com, которые занимается исследованиями в области киберпреступности.

Компания Microsoft не впервые назначает награду за информацию о хакерах. В 2005 г. софтверный гигант заплатил $250 тыс. двум людям, которые помогли поймать Свена Джашана (Sven Jaschan), подростка, написавшего червя Sasser.

Кое что о Conficker

Червь, получивший название Conficker, пока распространяется преимущественно в корпоративных сетях, однако уже зафиксированы и сотни случаев заражения компьютеров рядовых пользователей Интернета. Conficker использует дыру, описание которой содержится в бюллетене безопасности Microsoft MS08-067. Проблема связана с тем, что при обработке сформированных специальным образом запросов удаленного вызова процедур (Remote Procedure Call) в службе Server программных платформ Microsoft возникает ошибка, позволяющая злоумышленникам захватить полный контроль над компьютером жертвы.
Вредоносная программа Conficker открывает произвольный порт между 1024 и 10000 и работает как веб-сервер. При проникновении на компьютер червь маскируется под JPG-файл, а затем записывает себя на диск под видом библиотеки DLL. Примечательно, что, попав на машину жертвы, Conficker устанавливает патч для уязвимости MS08-067. Однако в данном случае червь заботится вовсе не о владельце компьютера — просто таким образом Conficker закрывает лазейку для других вредоносных программ, которые могут помешать его работе.

Алгоритм этот достаточно хитрый: ежедневно, беря за основу отметки времени с публичных сайтов вроде Google и Baidu, программа генерирует массу последовательностей символов, похожих на доменные имена. Используя этот набор строк, зараженный компьютер пытается связаться с серверами, расположенными на соответствующих доменах. На практике такой домен может быть только один — его, используя тот же алгоритм, заранее регистрируют владельцы бот-сети, поднимают на нём сервер и, таким образом, контролируют всё стадо зомби-компьютеров.
Такой подход делает неэффективными традиционные методы борьбы с ботнетами, заключающиеся в закрытии вредоносных серверов. Ведь новые домены злоумышленники регистрируют каждый день, и даже если этот домен удастся обнаружить и заблокировать в столь короткий срок, завтра наступит новый день, и схема отработает снова.
С другой стороны, "хорошим парням" из F-Secure ничто не мешает самим зарегистрировать подходящий домен и дождаться, когда зараженные червём компьютеры начнут с ним связываться. Теоретически это даёт возможность вмешаться в работу всех выходящих на связь "зомби" и даже излечить их — но только теоретически: юридически такие действия расцениваются как "неправомочное использование", так что за благие намерения хорошим парням светит дорога прямо в пенитенциарный ад. (Аналогичная причина мешает немецким учёным зарубить на корню ботнет Storm.)
Поэтому в F-Secure ограничились лишь наблюдениями, которые, в частности, позволили определить количество входящих в супер-ботнет компьютеров

Conficker.A - Сетевой червь, эксплуатирующий уязвимость, описанную в бюллетене MS08-067. Червь может также загружать и выполнять произвольные файлы.
Другие названия:
Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)
При запуске, червь Win32/Conficker.A создает копию в директории %System% с произвольным именем. Win32/Conficker.A c проверяет использует ли зараженная машина Windows 2000. Если да, то червь внедряет свой код в процесс services.exe.
Если операционная система отлична от Windows 2000, червь создает службу со следующими характеристиками:
Имя службы: netsvcs
Путь к файлу: %System%\svchost.exe -k netsvcs
Также создает следующий ключ реестра:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\<worm executable filename>.dll"
Win32/Conficker.A подключается к домену trafficconverter.biz и пытается загрузить и выполнить следующие файлы:
http://trafficconverter.biz/<censored>/loadadv.exe

Десятки миллионов компьютеров по всему миру заражены программой Conficker. Главные пострадавшие - Китай, Бразилия и Россия.
Еще неделю назад червь Conficker (также известен как Downadup и Kido) заразил 2,4 млн компьютеров, а в пятницу их было уже 9 млн, сообщил производитель антивирусных программ F-Secure. По его оценке, 41% пострадавших ПК находится в Китае (15,1%), России (13,9%) и Бразилии (11,9%). Другой производитель защитного ПО - Symantec считает, что на Россию приходится около 5% случаев заражения этим вирусом (7-е место в мире), а всего их на 20 января было 4 млн.
Впервые этот червь был замечен еще осенью 2008 г.: он внедрялся в компьютеры, используя уязвимость в операционной системе Windows. Conficker использует стандартную для подобных программ схему - попав на ПК, он блокирует доступ к обновлениям всех антивирусов, говорит директор департамента аудита "Информзащиты" Максим Эмм. В результате компьютером можно управлять извне: он может стать одной из сотен тысяч машин, участвующих в DDoS-атаках, рассылке спама, на него можно установить шпионские программы, ворующие пароли к банковским счетам, и т. п., предупреждает он.
9 млн машин, зараженных Conficker, - крайне сдержанная оценка, считает руководитель центра глобальных исследований и анализа угроз "Лаборатории Касперского" Александр Гостев. Столько машин, по его мнению, инфицировано лишь одной из модификаций этого вируса, наиболее распространенной, а всего их сотни. Но наибольший урон Conficker причинил владельцам компьютеров в России, Индии, Бразилии и Китае - странах, где распространено нелицензионное ПО (прежде всего Windows), согласен Гостев с F-Secure. Жертвы - прежде всего компьютеры с нелицензионными копиями Windows, у которых нет доступа к обновлениям Microsoft, подтверждает Эмм.
Главные проблемы впереди, предупреждает Гостев: ведь пока сеть зараженных машин бездействует - она просто растет. Предсказать, что случится, когда авторы червя начнут им управлять, он не берется.
Уязвимые страны
59% пользователей Бразилии используют пиратские продукты
73% - таков уровень пиратства на рынке ПО в России
82% владельцев ПК в Китае используют в том числе пиратские программы

Морской флот Франции пострадал от сетевого червя Conficker
Популярный сетевой червь Conficker нашел себе новую жертву – не больше, не меньше, чем Национальный флот Франции. В конце прошлого месяца в одну из сетей военного ведомства попал злонамеренный программный код, после чего Conficker молниеносно распространился на все другие компьютеры в сети.
По информации сайта CyberSecurity.Ru, новая вирусная эпидемия достигла такого размаха что некоторые сети пришлось изолировать от внешнего мира, а в остальных был значительно затруднена работа электронной почты и обмена корпоративными данными.
По предварительной информации, злополучным червем заразили компьютер работники, которые постоянно пользуются внешними USB-носителями. Но вполне возможен и вариант саботажа – на следующий день после выявления Conficker в одном сегменте сети, он был обнаружен и в другом, при этом связь между этими сегментами ограничена и с обеих сторон защищена межсетевыми экранами.

Сетевой червь Conficker, успевший с ноября прошлого года поработить миллионы компьютеров, терроризирует сети ведомств в разных странах. Как сообщает Telegraph, парализовал работу ВМС Франции.
Пресс-атташе ВМС сообщил прессе, что опасный компьютерный вирус поразил внутренние компьютерные сети, в том числе и систему обмена информацией. Никакая секретная информация не пострадала. С другой стороны, в результате заражения сетей, команды некоторых французских истребителей не смогли получить доступ к планам полетов и осуществить взлет. Для того, чтобы самолеты взлетели, понадобилось воспользоваться альтернативной электронной системой.
Этого, впрочем, можно было бы избежать, если бы сотрудники ВМС более серьезно отнеслись к свалившейся на их голову угрозе. Дело в том, что компания Microsoft сообщила ВМС об обнаружении Conficker сразу после того, как вирус заявил о себе осенью прошлого года - но превентивные мероприятия военные проводить поленились.
Тем временем по другую сторону океана из-за хитроумного вируса полиция города Хьюстон не может отправлять в суд для оплаты штрафов злостных нарушителей дорожного движения, так как правосудие также подверглось заражению - вернее, та часть компьютерных сетей местного суда, которая отвечает за судебное делопроизводство, поэтому документооборот временно заблокирован. По предварительным подсчетам, устранение неполадок и меры по снижению риска распространения Conficker обойдутся примерно 25 тысяч долларов.
Напомним, червь Conficker отличается от других вирусов тем, что, во-первых, после заражения компьютера он исправляет уязвимость в API, для того чтобы другие черви не могли использовать ее. Во-вторых, вирус распространяется внутри корпоративных сетей и открывает возможность загрузки из Сети и запуска произвольных файлов, что, конечно, тормозит работу компьютеров. А заодно строит новый ботнет. Радует, что сервис OpenDNS уже научился противодействовать попыткам компьютеров, зараженных червём Conficker, связываться с возможным контролирующим доменом.

Нашумевший вирус Conficker нанес удар по вооруженным силам Германии
Сотни компьютеров в структурах армии ФРГ поразил компьютерный вирус Conficker. Несколько учреждений бундесвера пришлось отключить от компьютерной сети.
Германский бундесвер борется с новым вирусом, поразившим сотни компьютеров в различных армейских структурах, сообщил вечером 13 февраля в Берлине официальный представитель министерства обороны. По его словам, пришлось отключить от компьютерной сети бундесвера несколько учреждений, наиболее пострадавших от вируса.

OpenDNS отрубит Conficker от центра
Сервис научился противодействовать попыткам компьютеров, зараженных червём, связываться с возможным контролирующим доменом. Таким образом, использование OpenDNS позволит защититься от зловредных действий червя, когда (и если) его авторы попытаются извлечь выгоду из построенного им потенциального супер-ботнета, пишет PC World.
Как сообщалось ранее, в черве Conficker (известном также как Downadup и Kido) реализован ряд хитроумных алгоритмов, которые позволили ему заразить уже порядка 10 миллионов компьютеров. Все копии вредоноса синхронно генерируют 250 доменных имён каждый день и пытаются связаться с соответствующими серверами, ожидая инструкций от координирующего центра.
Пока таких инструкций от злоумышленников не поступало, но нет гарантий, что так будет продолжаться вечно. В любой момент они могут начать использовать эти миллионы компьютеров для рассылки спама, DDoS-атак или в других целях, превратив их в самый крупный ботнет.
Учитывая, что алгоритм предусматривает постоянную смену контролирующего домена, традиционные методы борьбы, включающие отключение таких центров от Интернета, окажутся бессильны. Поэтому в OpenDNS решили пойти другим путём и скооперировались со специалистами "Лаборатории Касперского". Те сумели расшифровать алгоритм генерации доменных имён, которым пользуется Conficker, что позволяет заранее определить, к каким серверам будет обращаться армия зараженных компьютеров в тот или иной день.
Далее база вредных доменов попадает в OpenDNS для блокировки. Ну а воспользоваться этим сервисом проще простого: достаточно прописать соответствующие IP-адреса в качестве серверов DNS — в операционной системе компьютера или же на маршрутизаторе. Также приятно, что использование OpenDNS совершенно бесплатно, поскольку его владельцы зарабатывают на опечатках, допущенных юзерами при наборе веб-адресов (причём только на тех, которые система не сумела исправить автоматически).
Разумеется, компьютеры от этого не перестанут быть зараженными, однако избавляться от червя индивидуальным пользователям и администраторам сетей уже придётся самостоятельно.
Комментарии, по рейтингу, по дате
  Ядерщик 16.02.2009 в 13:52:57   # 9916
Они ведь проверять меня будут, не повярят. Сразу расколят
  MrX 16.02.2009 в 14:23:52   # 9919
Тогда другой вариант - пишем виря, ждем, когда за нас (авторов) станут предлагать вознаграждение, и потом сдаем одного
А дальше - как Нео предложил !
  Ядерщик 16.02.2009 в 14:28:33   # 9921
Всё понял, я крайний
  Гость 02.03.2009 в 09:43:18   # 10643
Не шарите. 250к вам заплатят, а потом потребуют возмещение ущерба, нанесенного вирусом - в сотни раз больше. И будете отрабатывать.
  Inkognito 28.03.2009 в 00:42:38   # 12176
nravetjsja walitj?? avtor VIRUSA potomu kak kinul,mnigih na babosi respekt i uvazuha...
Добавить сообщение
Чтобы добавлять комментарии зарeгиcтрирyйтeсь