SkyNet+ADSL+кулхацкер

Вирусная эпидемия в ритме Нового года - Win32.Conflicker

Новый 2009 год сразу "порадовал" достаточно серьёзной вирусной эпидемией.
1 января Microsoft Malware Protection Center (MMPС) опубликовал информацию о сетевом черве Win32.Conficker.B (MMPС), также известном как Net-Worm.Win32.Kido.dv (Лаборатория Касперского), W32/Downadup.B (Symantec), W32/Downadup.AL (F-Secure), Win32/Conficker.B (Computer Associates), W32/Confick-D (Sophos), WORM_DOWNAD.AD (Trend Micro).

На данный момент в сети Интернет появилась информация о множественных заражениях компьютерных систем несколькими версиями этого сетевого червя (описание более старшей модификации можно прочитать в вирусной энциклопедии Лаборатории Касперского).

Win32.Conficker.B использует критическую уязвимость в службе "Сервер (Server)", подробно описанную в Бюллетене по безопасности компании Microsoft MS08-067, для распространения через локальные сети и съёмные устройства хранения информации. Помимо этого червь отключает функцию Восстановление системы (System Restore), блокирует доступ к сайтам, посвящённым информационной безопасности, скачивает на заражённые компьютеры дополнительные вредоносные программы и отключает некоторые системные службы, в частности службу обновления Windows (Windows Automatic Update Service).

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры. После заражения червь Win32.Conficker.B получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера в сервисе Vulnerability in Server Service Could Allow Remote Code Execution (958644). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Для того, чтобы воспользоваться вышеуказанной уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора (и другими учетными записями найденными в C:\Documents and Settings и C:\Users), последовательно перебирая пароли из собственного словаря.

Подробное техническое описание сетевого червя Win32.Conficker.B приведено в вирусной энциклопедии Лаборатории Касперского, Symantec и Microsoft Malware Protection Center.

Одним из симптомов заражения являются жалобы пользователей на множественные блокировки их учётными записей в домене Active Directory, в результате неудачных попыток подбора паролей сетевым червем Win32.Conficker.B.

Для предотвращения повторного заражения и дальнейшего распространения вируса необходимо установить в систему обновление, описанное в статье базы знаний Уязвимость службы сервера делает возможным удаленное выполнение кода (KB958644). Еще раз обращаю Ваше внимание на то, что Win32.Conficker.B блокирует работу служб Automatic Updates, Background Intelligent Transfer Service (BITS). Поэтому распространение обновления с помощью WSUS или службы Microsoft Update может быть невозможным.

На данный момент сигнатура Win32.Conficker.B была добавлена в обновления антивирусных баз продуктов компаний Microsoft (Windows Defender и Malicious Software Removal tool, MSRT), Symantec, BitDefender, Trend Micro. Так что в первую очередь поищите обновление антивирусных баз на сайте производителя Вашего антивирусного продукта. Помимо этого можно удалить червя Win32.Conficker.B вручную или же воспользоваться бесплатно распространяемыми специализированными утилитами для обнаружения и удаления Win32.Conficker.B:

Virus alert about the Win32/Conficker.B worm
Как бороться с сетевым червем Net-Worm.Win32.Kido
Symantec W32/Downadup.B Removal Tool
Также Вы можете заблокировать распространения червя Win32.Conficker.B в другие сети посредством корпоративного межсетевого экрана Microsoft ISA Server или Microsoft Forefront Threat Management Gateway. В блоге Yuri Diogenes Вы найдете ссылку на готовый скрипт, производящий все необходимые изменения в конфигурации брандмауэра для блокирования трафика распространения червя Win32.Conficker.B.

Необходимо отметить, что сетевой червь Win32.Conficker.B для распространения помимо сетевых файловых ресурсов использует также съёмные устройства хранения данных (читай флэшки). Поэтому рекомендуется в срочном порядке отключить автоматический запуск программ на всех потенциально уязвимых системах. Отключить автоматический запуск в ОС Windows можно централизованно с помощью объектов групповой политики (Group Policy) или же внесением изменений в реестр.

Подводя итоги, хочу отметить, что критическая уязвимость службы ОС Windows, используемая для распространения червя, была обнаружена давно. Причем информация об этой уязвимости была выпущена в виде срочного бюллетеня по безопасности вместе с набором обновлений для устранения данной уязвимости ещё в октябре 2008 года! Если бы на системы были установлены последние обновления безопасности, вряд ли бы этому червю удалось придать своему распространению характер эпидемии.

Так что следует отнестись к обновлению систем и поддержанию их в актуальном состоянии как к критичной и первостепенной задаче. Держите руку на пульсе =)

P.S. Отдельная благодарность за помощь в исследовании и разрешении инцидента с вирусной эпидемией Олегу Крылову и Максиму Ефремову.

ftp://172.17.1.30/FTP-soft/progs/antivirus/win32conflicker.rar