From Wikipedia, the free encyclopedia
Conficker (zināms arī kā Downup, Downadup un Kido) — mūsdienu viens no zināmajiem un bīstamākajiem datora tārpiem. Programma tika uzrakstīta Microsoft Visual C++ valodā un pirmoreiz tīklā parādījās 2008. gada 21. novembrī.[1] Uzbrūk Microsoft Windows operētājsistēmām (no Windows 2000 līdz Windows 7 un Windows Server 2008 R2). Līdz 2009. gada janvārim vīruss bija skāris no 9[2] līdz 15 miljoniem[3] pasaules datoru. 2009. gada 13. janvārī Microsoft solīja 250 000 dolāru par vīrusa autora informāciju.[4] 1. aprīlī bija paredzēts, ka vīrusam jāaktivizējas, taču tas neaktivējās, bet bīstamība ir saglabājusies līdz pat šai dienai. Epidēmija kļuva iespējama, jo zināma daļa lietotāju laikus neizmantoja vienlaikus ar biļetenu MS08-067 pieejamu atjauninājuma ielādēšanas iespēju.[5]
Nosaukums „Conficker” cēlies no angļu: configuration (konfigurācija) un vācu: ficker (rupji — tas, kas nodarbojas ar dzimumaktu, salīdz. angļu: fucker)[6] Tādējādi, Conficker — „konfigurāciju izvarotājs”.
Tik ātra vīrusa izplatīšanās ir saistīta ar „Server service” pakalpojumu. Izmantojot „caurumu” tajā, tārps lejuplādē sevi no interneta. Interesanti ir tas, ka vīrusa izstrādātāji iemācījušies pastāvīgi mainīt savus serverus.
Tāpat tas arī var izplatīties caur USB, izveidojot failu autorun.inf un failu RECYCLED\{SID}\RANDOM_NAME.vmx. Sistēmā tārps saglabājas dll-faila izskatā ar nejaušu nosaukumu, kas sastāv no latīņu burtiem, piemēram: c:\windows\system32\zorizr.dll. Tāpat arī ieraksta sevi servisos ar nejaušu nosaukumu, kas sastāv no latīņu burtiem.
Tārps atrod Windows neaizsargātību, saistītu ar bufera pārpildinājumu un ar palīdzību viltus RPC-pieprasījumu izpilda kodu. Pirmkārt tas atslēdz pakalpojumu sēriju: automātiskā Windows atjaunošanās, Windows Security Center, Windows Defender un Windows Error Reporting, kā arī bloķē piekļuvi pretvvīrusa programmatūru tīmekļa vietnēm
Periodiski tārps nejaušā veidā ģenerē Interneta adrešu sarakstu (apmēram 50 tūkst. domēnu vārdus dienā), kuriem pievēršas, lai saņemtu izpildāmo kodu. Saņemot no adreses izpildāmo failu, tārps salīdzina elektronisko ciparparakstu un, ja tas saskan, izpilda failu. Turklāt tārps realizē P2P apmaiņas mehānismu atjauninājumus, kas ļauj viņam izsūtīt atjauninājumus dzēstām kopijām, apejot pārvaldības serveri.
1. Atslēgti un/vai nevarat ieslēgt šādus pakalpojumus:
2. Bloķēta pieeja pretvīrusu programmatūru tīmekļa vietnēm.
3. Inficētajos datoros lokālajā tīklā palielinās tīkla noslodze, jo no šiem datoriem sākas tīkla uzbrukumi.
4. Antivīrusu pieteikumi ar aktīvu tīkla ekrānu ziņo par Intrusion.Win.NETAPI.buffer-overflow.exploit uzbrukumu.
Brīdināšanā par vīrusa infekciju un tā iznīcināšanā no inficētiem datoriem piedalījās tādas korporācijas, kā Microsoft, Dr.Web, ESET,[7] Kaspersky Lab, Panda Security,[8] F-Secure, AOL un citi. Taču bīstamība tik un tā ir saglabājusies līdz pat šai dienai, jo vīruss pastāvīgi pārveidojas, tāpēc, lai novērstu datora inficēšanos, vajag vienmēr atjaunot sistēmu un pretvīrusu bāzes parakstus.
Kā arī katram lietotājam jāzina, ka, ja dators jau ir inficēts ar vīrusu — atjauninājums var nepalīdzēt. Tieši tāpēc pilnīgai tārpa dzēšanai iesaka izmantot īpašas programmas pašas jaunākās versijas.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.
