Conficker (так же извесный как Kido, Downup, Downadup, Shadow.Based) – один из опаснейших из известных на сегодняшний день компьютерных червей. Использует сразу несколько лазеек в безопасности операционных систем.

Способы заражения:

  • лазейка в Server Service (заражение по незащищенному каналу связи)
  • usb-накопители (по средствам автозагрузки)
  • помещение тела вируса в папку RECYCLEN

Принцип работы:

  • Обращаясь по порту 139 к удаленное машине выполняет функции по не авторизованной сессии
  • По порту 445 обращается к IRC каналу и загружает сови части после чего создает исполняемый скрипт ws
  • загружает задания с web-серверов на исполнение

Опасность вируса заключается в том, что одним решением установки антивируса проблему не решить. Как показала практика вирус пропускали и AVP и DrWeb и NOD32 и Avira.

Данный вирус заражает компьютеры для построение бот-сетей, некоторой армии машин, которая будет выполнять поставленные задачи: заражать другие машины, распространять спам, производить сетевые атаки.

Опеределение наличия вируса:

Определить наличие вируса на компьютере вы можете несколькими спосабами:

Первый: запсустить утилиту EConfickerRemover.exe. По умолчанию она определит есть ли в подгуженное памяти данный вирус. Ссылка на днную утилиту приведена ниже.

Второй: Пройти по сслыке, где предлагают пройти тест на зараженность. Если логотипы антивирусных компаний у вас не подгружаются, значит вирус блокирует обращения к сайтам разработчиков антивирусов и как следствие компьютер заражен.

Третий: Это решения для корпоративных сетей, где пройтись по каждому рабочему месту будет довольно проблематично. Для этого можно воспользоваться сетевым сканером безопасности Nmap. Скачать его можно с ссайта разработчиков (http://nmap.org/download.html). Задать следующую строку для сканирования сети:

nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 host

или

nmap --script smb-check-vulns.nse -p445 host

или

nmap -sU -sS --script smb-check-vulns.nse -p U:137,T:139 host

после чего по резльтату отчета можно будет определить какая из машин заражена.

Если компьютер на компьютере установлен фаервол проверку провести не удастся , отчет будет следующим:

Host 192.168.1.2 is UP.
Interesting ports ON 192.168.1.2:
PORT    STATE    SERVICE
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds

Если компьютер не заражен и фаервол не блокирует соединения, отчет будет следующим:

Host 192.168.1.2 is UP (0.00042s latency).
Interesting ports ON 192.168.1.2:
PORT    STATE SERVICE
139/tcp OPEN  netbios-ssn
445/tcp OPEN  microsoft-ds

Host script results:
| smb-check-vulns:
| MS08-067: Check disabled (remove ’safe=1′ argument to run)
| Conficker: Likely CLEAN
|_ regsvc DoS: Check disabled (add –script-args=unsafe=1 to run)

Если компьютер заражен:

Host 192.168.1.2 is UP (0.00042s latency).
Interesting ports ON 192.168.1.2:
PORT    STATE SERVICE
139/tcp OPEN  netbios-ssn
445/tcp OPEN  microsoft-ds

Host script results:
| smb-check-vulns:
| MS08-067: FIXED
| Conficker: Likely INFECTED
|_ regsvc DoS: VULNERABLE

* Для борьбы с этим вирусо была сформирована рабочая группа для борьбы с этим червем. Адрес в сети: http://www.confickerworkinggroup.org/

Лечение

  1. Отключить зараженную машину от сети, либо заблокировать 139 или 445 порты
  2. Установить патчи информационных бюллетенях Microsoft
  3. Просканироваться компьютер на наличие вируса

Компания DrWeb предлагает интересное сетевое решение антивирусного сканера – CureNet. Передав программе адреса хостов, логины и пароли от административных учетных записей – дает возможность централизованно проверить компьютеры на наличие вирусов без установки. При этом конфликта двух антивирусов – не будет.

Для удобства я разместил всё заплатки для всех версий виндуса в один архив. Там же лежат две утилиты: от ESET (EConfickerRemover.exe) и Kasperskiy (KK.exe). Утилиты самостоятельно определят наличие вируса, его версию. По интуитивно понятному интерфейсу вам необходимо будет ответить на вопросы, после чего сможете окончательного удалить данный вирус.

Скачать заплатки + ConfickerRemover + KK (from Kasperskiy)

Tagged with:  

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>