| Conficker | |
|---|---|
| Fullständigt namn (Kaspersky) | Net-Worm.Win32.Kido.bt |
| Sorts | nätverksmask , botnät |
| År av utseende | 2008 |
| Programvara som används | sårbarhet i kritisk uppdatering MS08-067 |
| Symantec Beskrivning | |
| Mediafiler på Wikimedia Commons | |
Conficker (även känd som Downup , Downadup och Kido ) är en datormask vars epidemi började den 21 november 2008 . Skadlig programvara skrevs i Microsoft Visual C++ och dök upp online den 21 november 2008 . Även känd som Downadup som skapade infrastrukturen för botnätet [1] . Det infekterade operativsystemen i Microsoft Windows- familjen ( Windows XP och Windows Server 2008 R2 ). I januari 2009 infekterade masken 12 miljoner datorer över hela världen. Den 12 februari 2009 lovade Microsoft $250 000 för information om skaparna av masken [2] .
Epidemin blev möjlig som ett resultat av att en betydande del av användarna exponerades för sårbarheter som tidigare eliminerats av kritiska uppdateringar MS08-067.
Namnet "Conficker" kommer från engelskan. konfiguration (config) (konfiguration) och det. ficker (oförskämd deltagare i samlag , jfr engelska fucker ). Således är Conficker en "konfigurationsvåldtäktsman".
En sådan snabb spridning av masken beror på nättjänsten. Med hjälp av en sårbarhet i den laddade masken ner sig själv från Internet . Intressant nog lärde sig utvecklarna av masken hur man ständigt ändrar sina servrar , vilket inte var möjligt för angripare tidigare .
Dessutom kan masken spridas via USB-enheter och skapa en körbar fil autorun.inf och en RECYCLED\{SID}\RANDOM_NAME.vmx-fil. I det infekterade systemet registrerade sig masken i tjänster och lagrades som en dll -fil med ett slumpmässigt namn bestående av latinska bokstäver, till exempel:
C:\Windows\System32\zorizr.dllNär Conficker väl infekterade en dator inaktiverade den många säkerhetsfunktioner och automatiska säkerhetskopieringsinställningar, raderade återställningspunkter och öppnade anslutningar för instruktioner från fjärrdatorn. Efter att ha ställt in den första datorn använde Conficker den för att få tillgång till resten av nätverket [1] .
Masken utnyttjade buffertspillsårbarheter i Windows-familjens operativsystem och exekverade skadlig kod med en falsk RPC -begäran . Först och främst stängde han av ett antal tjänster - automatiska Windows-uppdateringar , Windows Säkerhetscenter , Windows Defender och Windows Error Reporting , och blockerade även åtkomsten till webbplatser för ett antal antivirustillverkare.
Med jämna mellanrum genererade masken slumpmässigt en lista med webbplatser (cirka 50 000 domännamn per dag) som den fick åtkomst till för att få körbar kod. När masken tog emot en körbar fil från webbplatsen kontrollerade den sin signatur och om den var giltig körde den filen.
Dessutom använde masken en P2P- uppdateringsutbytesmekanism, som gjorde det möjligt för den att skicka uppdateringar till fjärrkopior, förbi kontrollservern.
Företag som Microsoft , Symantec , Dr.Web , ESET , Kaspersky Lab , Panda Security , F-Secure , AOL och andra deltog i förebyggandet av maskinfektion och dess förstörelse från infekterade datorer. Faran kvarstår dock än i dag.
Varje användare bör också veta att om datorn redan är infekterad med en mask, kommer en enkel systemuppdatering inte att hjälpa den, eftersom den bara kommer att stänga sårbarheten genom vilken den kom in i systemet. Det är därför det rekommenderas att använda specialverktyg av de senaste versionerna för att helt ta bort masken.
Enligt McAfee uppskattas skadorna som orsakas av masken på online-communityt till 9,1 miljarder dollar, näst efter skadan som orsakats av postmaskar som MyDoom (38 miljarder dollar) och ILOVEYOU (15 miljarder dollar) [3] .
| Botnät | |
|---|---|
| |
| Hackerattacker på 2000-talet | |
|---|---|
| Största attackerna | |
| Grupper och grupper av hackare | |
| ensamma hackare | |
| Upptäckte kritiska sårbarheter | |
| Datavirus |
|
| 1990 -tal • 2000 -tal • 2010- tal | |