Чума для Windows: история одного червя
В предшествующих номерах компьютерной печатные издания мой многоуважаемый сотрудник Евгений сообщил нам о вредных програмках, которые принудили попотеть антивирусные фирмы по всему миру и ввергли по-человечески в основательный шок обычных юзеров. Конечно, это прославленные Rustok.C и Sinowal – зловреды очень современной разработки по-своему вредных программ со всеми вытекающими. Впрочем, сегодня я продолжу данный интересный повествование, а заявлять буду о нашумевшем червяке, который крайне имеет 3 разных наименования, каждый день мелькающие в новостных сводках RSS лент в общем-то многообразных ресурсов IT-тематики. Значит вы, наверняка, теснее додумались, что все-таки данное за он? Правильно, данное Conficker, он ведь Kido и Downadup. Ну что ж, приступим к анализу и начнем, наверное, с отзвуков минувшего, а поточнее с 2008 года.
Впервые о Conficker заговорили еще в начале октября 2008 года. 23 количества того месяца, фирма Microsoft самостоятельно заметила особенно критическую уязвимость во всех ОС Windows, связанную воистину с системной службой Server. Возможно, уязвимость успешно присутствует в связи оплошности в библиотеке netapi32.dll при обработке RPC запросов. Кроме того как заявляют, удаленный юзер сможет при помощи нарочно сформированного RPC запроса вызвать переполнение буфера в стеке и вызвать отказ в обслуживании системы или же сознательно сделать в целом свободный код на целевой системе с прерогативами учетной записи SYSTEM. Именно данной дырой и твердо решили воспользоваться создатели червяка. Казалось, и конкретно через нее он и ведет свое интенсивное размножение, скачивая ненамного собственные копии из Интернета. Разумеется причем создатели микроба выучились каждый день слепо поменять совсем собственные сервера, что мешает способности отследить распространение Conficker. Однако, периодически червяк просто-таки нечаянным образом генерит в пределах 50 тысячи доменных имён в день, к коим внезапно обращается для получения добросовестно выполняемого кода. Во всяком случае при получении с веб-сайта добросовестно выполняемого файла червяк сравнивает электронно-цифровую подпись и, когда она совпала, прекрасно запускает файл. Быть может за считанные месяцы микробом были заражены миллионы компов по всему миру. Наконец, лидирующие строчки по распространенности Conficker’а постепенно занимают Китай, РФ и Бразилия, что заметно из диаграммы на рисунке 1.
По состоянию на февраль 2009 года в данных государствах эксперты по компьютерной сохранности высчитали 260.000, 200.000 и 175.000 случаев инфицирования в соответствии с этим. Кажется, всего, по свежим сведениям, заучивания не так ли?? Причем 10.000.000 были инфицированы за 1-ые 4 дня распространения! Статистика инфицирования операционных систем за 4 дня интенсивной жизни червяка заметна на рисунке 2. Надеюсь наиболее скоро получили травмы операционные системы Windows XP SP1 и поболее ранешние версии. Таким образом, чуть менее предварительно получили травмы системы Winsows XP SP2 и повыше.
Причем этим всем файлам вирь присваивает дату существа пыжьтесь взятую из системного файла %System%\kernel32.dll, что ликвидирует вероятность поиска не так давно разработанных файлов. Так вот, далее червяк перекрывает доступ к веб-сайтам создателей антивирусного, к примеру, f-secure.com, drweb.com, kaspersky.ru, из-за этого юзер крайне не имеет возможности скачать утилиты, нужные для удаления червяка, либо просто обрести тех. поддержка у экспертов фирмы. Кстати, помимо данного микроб непременно выключает внутренние службы Windows: полностью механическое обновление (Windows Update), доклады о промахах (Windows Error Reporting), Центр Безопасности Windows (Windows Security Center) и Windows Defender. Пожалуй, тем наиболее он мешает системе автоматом скачать и добросовестно установить заплатки, как успешно поступает жизнь червяка длительной и мало-мальски продуктивной. Вероятно, кончено остается ручной метод, да и здесь создатели малвари обошли нас – Conficker перехватывает вызов API функций соответствующих за работу с DNS. Говорят, при попытке сознательно сделать DNS-запрос браузеры часто употребляют функции DNS_Query_A или же DNS_Query_W, которые контролируются червяком. В конце концов, в случае в случае если пользователь посмел вызвать полностью ненужный web-сайт, червяк просто перекрывает его. В общем в результате мы получаем запрет на посещение ресурсов, связанных с излечением ПК от микробов, антивирусных фирм, запрет на скачивание антивирусных утилит и обновлений.
Следующим шагом в работе червяка считается распространение. Наверно, вот здесь творцы микроба определенно преуспели, наделив свое детище достаточно совсем просторным перечнем возможностей. К счастью, первым в перечне станет раньше оговоренная оплошность в службе Server, дозволяющая скоро сделать случайный код. В самом деле о ней я подробно писал повыше, в следствии этого подробно останавливаться не буду, а только добавлю занимательную специфика – чтобы скорее распространяться, микроб делает не очень большую поправку в реестре, существенно повышая численность по-своему вероятных TCP-подключений. Видимо и непременно делает вполне невыполнимым применять эту уязвимость иными особями, методом перехвата вызова функции NetpwPathCanonicalize. Действительно вторым приемом размножения стал совсем очевидный теперь всем поднадоевший прием репликации через USB-накопители. По-видимому при данном микроб повторяющий вид переименованной DLL-библиотеки, сберегается в папке RECYCLER. Более того значительно не дало бы хладнокровно обнаружить, что файл Autorun.inf как следует обфусцируется червяком, чтобы слабые сигнатурные сканеры не сумели распознать заразы. С другой стороны и сколько пройдет времени скоро придет сильная эвристика на замену сигнатурам?покорен файла Autorun.inf, постепенно разработанного Conkicker.
А аналогично хочет выбрать пароли вида «фамилия юзера», «фамилия юзера напротив», «фамилия юзера»+ «фамилия юзера» и прочие композиции. Естественно, если атака ужасно получилась, микроб восоздает на удаленном PC очень-очень собственную копию вновь ведь под по-человечески нечаянным фамилией и расширением. Стало быть затем там ведь создается повседневное задание для Планировщика, при помощи которого и запускается микроб по-особенному по последующему принципу – rundll32.exe [random filename].[random extension], [random]. В сущности как вы обязались самостоятельно обнаружить – ничего свежего в приемах распространения нет, впрочем каковой эффект! А для чего же это все делалось? На данный вопросец стараюсь дать ответ далее.
Для чего же ведь применяют настолько грандиозный бот-нет?? О, ну здесь пределом готов поспешно стать лишь ваша воображение. И все же задачи имеют все шансы быть различными – от очевидного распространения мусора, автокликинга и реализации трафика, до наисильнейших DDoS атак и распространения слишком небезопасных более-менее вредных программ. Несомненно на данной зомби-сети можнож поднять довольно в целом немалые средства. Следовательно многие антивирусные фирмы предсказывали, что пуск бота суждено случится 1 апреля 2009 года, впрочем они совершили ошибку. И действительно чуть позднее теснее инфицированные машинки неторопливо начали показывать активность, методом загрузки очень вредного кода, знаменитого под фамилией Waledac. Так или иначе также вправду немалую известность возымели загрузки лже-антивирусов. Видите ли что станет далее? Остается лишь раскидывать мозгами, желая мониторинги не успокоительные: снижение Интернета и прочая белиберда. По крайней мере лично я и мои товарищи специалисты из SASecurity gr. Оказывается не считаем, что данное спокойно случится по одной, хотя значимой первопричине – червяк просто-напросто сильно остановит сове существование. Тем не менее у него отпадет вероятность реплицировать, качать из И-нета любую дрянь, генерить домены в общем-то он прекратит наиболее быть бот-нетом. Собственно так что творцам червяка не интересно создавать перегрузку каналов. И в самом деле а чтобы данного как официально говорится не случилось, в том числе и в случае если кое-кто попытается, нужно бы удалить червяка со весьма собственного ПК либо нежели его еще у вас нет, просто перестраховаться. Между прочим как данное устроить, читаем затем.
Многие информаторы – СМИ и эксперты по информационной защищенности – убеждают, что вполне обезопасить систему от проникания Conficker невозможно. Наоборот специалисты из SASecurity gr. сильно отрицают данное воззрение, и непосредственно я пытаюсь привести вам ненамного прекрасный прием, который может помочь иммунизировать систему. Мало того первое, что вы обязаны устроить – удостовериться, что ваш ПК еще не заражен. Короче, это возможно устроить, посетив ту или иную страницу антивирусной фирмы, вроде Kaspersky.ru. По правде говоря, если вам данное чертовски не получилось – такое может быть первым признаком. А кроме того вторым считается много открытых портов. В таком случае рекомендую вам лечиться, как покажу ниже, а покуда лишь о иммунизации. Одним словом так вот, в случае если в системе червяка пока нет, 1-ое что нужно устроить – скачать патч для службы Server – бюллетень MS08-067 и самостоятельно установить его. Судя по всему сознательно сделать данное возможно по гиперссылке http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx. К тому же для предельной сохранности лучше бы было вообщем выключить данную службу, хотя данное рекомендую обычно делать лишь, ежели вы не сомневаются, что она вам не потребуется. Не правда ли далее идет непременно воспретить автозапуск на съемных носителях и строгих дисках (на компакт -диски и DVD дисках я пока же еще не видел сходственного). Как ни странно информацию по отключению автозапуска можнож добросовестно обнаружить в прошлых номерах компьютерной совсем печатные издания либо в онлайне. Допустим третьим шагом на нашем пути будет установка антивирусного ПО и сетевого экрана, коль скоро таких еще не имется. Удивительно, что в неотъемлемом порядке идет обновить антивирусные базы. То есть четвертый шаг – отключение службы «Планировщика заданий», убежден, что вы его в том числе и не примете на вооружение. Подумать только, и просто-таки заключительным, 5, шагом будет установка весьма высококачественного и по-особенному трудоемкого пароля на систему. Собственно говоря, не обычный, вроде «pass112», а на самом деле превосходный, в стиле «R8#lUq2EfgC$». Конечно же вот и все! Все данные воздействия прикроют главные каналы распространения червяка и посодействуют встать на защиту систему от инфицирования.
1. Казалось бы удалить ключ из столь системного реестра – HKLM\SYSTEM\CurrentControlSet\Services\netsvcs.
4. И наконец удалить взаправду уникальный файл червяка, где его отыскивать – мрачно глядите описание методов инфецирования PC из «В тылу недруга». Надо сказать долго делать данное рекомендую в Total Commander с включенной опцией «Показывать спрятанные/по-особенному системные файлы».
5. Вполне возможно, что со всех съемных носителей устраняем копии червяка и файлы Autorun.inf (фамилии и месторасположение копий можнож как разов предварительно поглядеть в данном файлике).
6. Честно говоря теперь попросите у приятеля или же подыщите на дисках утилиту Dr.Web CureIt и просканируйте вашу систему на присутствие зловредов. Ну что же желательно, дабы данное была слишком заключительная версия программы со всеми обновлениями.
8. Предположим пересоздать или же удалить файл hosts из system32\drivers\etc. С одной стороны это разрешит снова обращаться к просто-напросто многообразным ресурсам в сети, вроде web-сайтов антивирусных фирм.
Вот значит обыденный червяк с несложными и издавна именитыми, хотя очень хорошо обмысленными фишками поразил весь свет. Больше того удручает то, что и все еще, начиная с октября 2008 года, успешно присутствует настоящая угроза инфецирования, а микроб продолжает распространяться. Безусловно специалисты фирмы Symantec говорят про то, что слишком вредная программа Conficker продолжает распространяться с высочайшей скоростью и сегодня каждый день инфицирует до 50 тыс. компов. Известно, что обидно, что почти все по-старому солидные фирмы не сумели сознательно противостоять угрозы своевременно. Не исключено, что и в том числе и в данный момент не имеют возможности неплохо посодействовать юзерам пристально совладать с заразой. Но нельзя добросовестно не отметить то, что за достоверную информацию о творцах по-человечески вредной программы предполагается заслуга в объеме 250 тыс. $. Не удивительно, что такие немаленькие средства дает фирма Microsoft. По правде сказать так что, когда вы располагаете какой-нибудь информацией, обращайтесь к мелкомягким за зеленоватыми, исключительно нередко наблюдаете, как-бы заместо заслуги вас самих не приобщили к делу !
Возник вопросец в последствии чтения? Или создатель не обрисовал существенный эпизод?Есть что заявить на данную тему, а объяснение – данное не твое?
Последние комментари