| Conficker | |
|---|---|
| Celé jméno (Kaspersky) | Net-Worm.Win32.Kido.bt |
| Typ | síťový červ , botnet |
| Rok vzhledu | 2008 |
| Použitý software | zranitelnost v kritické aktualizaci MS08-067 |
| Popis Symantec | |
| Mediální soubory na Wikimedia Commons | |
Conficker (také známý jako Downup , Downadup a Kido ) je počítačový červ , jehož epidemie začala 21. listopadu 2008 . Malware byl napsán v Microsoft Visual C++ a poprvé se objevil online 21. listopadu 2008 . Také známý jako Downadup, který vytvořil infrastrukturu pro botnet [1] . Infikoval operační systémy rodiny Microsoft Windows ( Windows XP a Windows Server 2008 R2 ). V lednu 2009 červ infikoval 12 milionů počítačů po celém světě. 12. února 2009 Microsoft slíbil 250 000 dolarů za informace o tvůrcích červa [2] .
Epidemie byla možná v důsledku skutečnosti, že významná část uživatelů byla vystavena zranitelnostem, které byly dříve odstraněny kritickými aktualizacemi MS08-067.
Název „Conficker“ pochází z angličtiny. konfigurace (config) (konfigurace) a it. ficker (hrubý účastník pohlavního styku , srov . anglicky fucker ). Conficker je tedy „konfigurační násilník“.
Tak rychlé šíření červa je způsobeno síťovou službou. Červ se pomocí zranitelnosti stáhl z internetu . Zajímavé je, že se vývojáři červa naučili neustále měnit své servery , což dříve útočníci nemohli .
Červ se také mohl šířit přes USB disky a vytvořit spustitelný soubor autorun.inf a soubor RECYCLED\{SID}\RANDOM_NAME.vmx. V infikovaném systému se červ zaregistroval ve službách a byl uložen jako dll soubor s náhodným názvem složeným z latinských písmen, například:
C:\Windows\System32\zorizr.dllJakmile Conficker infikoval počítač, deaktivoval mnoho funkcí zabezpečení a nastavení automatického zálohování, odstranil body obnovení a otevřel připojení pro pokyny ze vzdáleného počítače. Po nastavení prvního počítače jej Conficker použil k získání přístupu ke zbytku sítě [1] .
Červ zneužil zranitelnosti přetečení vyrovnávací paměti v operačních systémech řady Windows a spustil škodlivý kód pomocí falešného požadavku RPC . V první řadě vypnul řadu služeb - automatické aktualizace Windows , Windows Security Center , Windows Defender a Windows Error Reporting a také zablokoval přístup na stránky řady výrobců antivirů.
Červ pravidelně náhodně generoval seznam webových stránek (asi 50 000 doménových jmen denně), na které přistupoval, aby získal spustitelný kód. Při příjmu spustitelného souboru z webu červ zkontroloval jeho podpis , a pokud byl platný, soubor spustil.
Červ navíc používal mechanismus výměny aktualizací P2P , který mu umožňoval posílat aktualizace na vzdálené kopie a obcházet tak řídicí server.
Na prevenci červové infekce a její likvidaci z infikovaných počítačů se podílely společnosti jako Microsoft , Symantec , Dr.Web , ESET , Kaspersky Lab , Panda Security , F-Secure , AOL a další. Nebezpečí však trvá dodnes.
Každý uživatel by také měl vědět, že pokud je počítač již napaden červem, nepomůže mu jednoduchá aktualizace systému, protože pouze zavře zranitelnost, přes kterou se do systému dostal. K úplnému odstranění červa se proto doporučuje použít speciální nástroje nejnovějších verzí.
Podle McAfee se škody způsobené červem online komunitě odhadují na 9,1 miliardy dolarů, na druhém místě za škodami způsobenými poštovními červy jako MyDoom (38 miliard dolarů) a ILOVEYOU (15 miliard dolarů) [3] .
| Botnety | |
|---|---|
| |
| Hackerské útoky z roku 2000 | |
|---|---|
| Největší útoky | |
| Skupiny a komunity hackerů | |
| osamělí hackeři | |
| Zjištěna kritická zranitelnost | |
| Počítačové viry |
|
| 90. léta • 21. století • 10. léta 20. století | |