Название
Название «Conficker» происходит от англ. configuration (конфигурация) и нем. ficker (груб. тот, кто совершает половой акт, сравн. англ. fucker). Таким образом, Conficker — «насильник конфигураций».
Распространение
Столь быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам.
Также он может распространяться через USB-накопители создавая файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например: c:\windows\system32\zorizr.dll. Также, прописывает себя в сервисах со случайным именем, состоящим из латинских букв.
Принципы работы
Червь находит уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. Первым делом он отключает ряд служб: автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting, а также блокирует доступ к сайтам ряда производителей антивирусов.
Периодически червь случайным образом генерирует список сайтов (около 50 тыс. доменных имён в сутки), к которым обращается для получения исполняемого кода. При получении с сайта исполняемого файла червь сверяет электронно-цифровую подпись и, если она совпала, исполняет файл.
Кроме того, червь реализует P2P механизм обмена обновлениями, что позволяет ему рассылать обновления удалённым копиям, минуя управляющий сервер.
Симптомы заражения
1. Отключены и/или не можете включить службы:
* Windows Update Service
* Background Intelligent Transfer Service
* Windows Defender
* Windows Error Reporting Services
2. Блокирован доступ компьютера к сайтам производителей антивирусов
3. При наличии заражённых компьютеров в локальной сети повышается объём сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
4. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
Борьба с вирусом
В предупреждении заражения вирусом и его уничтожении с заражённых компьютеров принимали участие такие корпорации, как Microsoft, Symantec, Dr.Web, ESET, Kaspersky Lab, Panda Security, F-Secure, AOL и другие. Тем не менее, опасность сохраняется по сей день, так как вирус постоянно мутирует, поэтому, чтобы предупредить заражение компьютера, нужно регулярно обновлять систему и антивирусные базы сигнатур.
Также каждый пользователь должен знать, что если компьютер уже инфицирован вирусом — обновление может не помочь. Вот почему для полного удаления червя рекомендуется использовать специальные утилиты самых свежих версий.