Обнаружение и удаление червей Conficker

К настоящему времени вы, возможно, уже слышали о последнем черве, поразившем пользователей Интернета по всему миру. Он известен под названием Conficker (или Downadup) и представлен в вариантах A, B и C, причем c является наиболее развитым вариантом. Проще говоря: Conficker использует уязвимость Windows, обнаруженную в сентябре 2008 г., и патч был выпущен компанией Microsoft, которая исправила это. Первый червь, использовавший уязвимость, был обнаружен в ноябре 2008 года.

Conficker C инициирует ряд процессов на зараженных хост-системах, включая открытие случайного порта, который используется в процессе распространения червя.

Затем червь залатает дыру в безопасности компьютерной системы, которая позволила ему атаковать систему. Это предотвращает использование уязвимости другими вирусами, в то же время оставляя бэкдор открытым для новых вариантов червя Conficker.

Червь блокирует доступ к определенным строкам в Интернете. Доступ к доменным именам, использующим эти строки, невозможен, если для этого не используется IP. Среди строк есть домены различных компаний по обеспечению безопасности, таких как microsoft, panda или symantec, а также общие строки, такие как defender, conficker или anti-. Это сделано для предотвращения доступа пользователей к веб-сайтам, которые содержат информацию и инструкции по удалению, чтобы узнать больше о черве или удалить его.

Хотя это, безусловно, неудобно для пользователя, это означает, что сам червь не наносит вреда пользовательской системе каким-либо образом, кроме описанных выше методов. Реальная опасность исходит от механизма обновления Conficker C. Червь попытается получить новые инструкции 1 апреля 2009 г. Автор реализовал очень сложный механизм обновления. Червь сгенерирует список из 50 тысяч доменных имен и добавит к ним список из 116 доменов верхнего уровня. Затем он случайным образом выберет 500 из списка и попытается подключиться к ним. Если новые инструкции будут найдены на одном из URL-адресов, он загрузит их и выполнит в компьютерной системе. Этот процесс будет повторяться каждые 24 часа.

Самый простой способ обнаружения — это зайти на такой сайт, как microsoft.com или symantec.com, и сравнить результаты с доступом к сайту с использованием IP-адресов (207.46.197.32 и 206.204.52.31). Хотя это обычно является хорошим индикатором, лучше проверить компьютерную систему с помощью инструментов, специально разработанных для обнаружения и удаления вариантов Conficker.

удаление конфикера

Некоторые инструменты, которые можно использовать для обнаружения и удаления вариантов Conficker: Инструмент для удаления ESET Conficker, Даунадуп от F-Secure или KidoKiller от Касперского.

Подробная информация об обнаружении и удалении Conficker инструкции доступна по адресу Sans.org.