Preskočiť na obsah

Conficker

z Wikipédie, slobodnej encyklopédie

Conficker alebo Downad je počítačový malware (škodlivý softvér) typu červ. Napáda počítače a počítačové systémy vybavené operačným systémom MS Windows, využívajúc pritom bezpečnostnú dieru v systéme Microsoft Windows. Postihnuté sú verzie MS Windows NT, 2000, XP a 2003 Server.

Prvá verzia

[upraviť | upraviť zdroj]

Conficker sa po prvýkrát objavil v novembri 2008. Variant sa šíril prostredníctvom bezpečnostnej diery vo Windows (Security Bulletin MS08-067 október 2008). Tento variant sa vyhýbal počítačom s nastaveným ukrajinským rozložením klávesnice, a tiež IP adresám z Ukrajiny. Po infikovaní počítača červ generoval náhodné IP adresy a pokúšal sa na ne dostať. Červ do počítača inštaloval falošné antivírusové programy a oznamoval používateľom, že ich počítač bol nakazený (tzv. scareware).

Druhá verzia

[upraviť | upraviť zdroj]

Objavila sa v januári 2009. Šlo len o modifikáciu prvej verzie, ktorá už napádala všetky počítače a utajovala sa. Okrem rovnakej diery v systéme použila aj iný spôsob šírenia - pomocou prenosných médií - napr. USB kľúčov. Červ sa skopíroval do súboru a vytvoril na médiu (ale aj na sekundárnych pevných diskoch a pod.) súbor autorun.inf, pomocou ktorého si zabezpečil spustenie pri zasunutí kľúča, resp. po poklepaní na ikonku pevného disku. Microsoft ako odpoveď uverejnil opravu, kde vypol autorun. Červ sledoval aj sieť a snažil sa dostať do nechránených sieťových adresárov, pričom sa pokúšal aj prelomiť prípadné heslo pomocou vlastnej databázy hesiel. Červ vedel vypnúť vo Windows automatické aktualizácie, zablokovať prístup na niektoré webové stránky a neutralizovať známe antivírusové programy. Túto verziu odstraňoval Windows Update pomocou "nástroja na odstránenie škodlivého softvéru". Červ dosiahol značné rozšírenie.

Tretia verzia

[upraviť | upraviť zdroj]

Tretia verzia využívala sieť počítačov nakazených druhou verziou. Druhá verzia červa si ju automaticky stiahla a updatovala sa. Červ napáda viac ako sto domén najvyššej úrovne. Tretia verzia obsahuje aj metódu, a podporu priamej komunikácie medzi nakazenými počítačmi navzájom tzv. peer-to-peer. Tým sa vytvorila fyzická počítačová sieť (botnet), ktorú je možné riadiť na diaľku. Možnosti siete sú prakticky neobmedzené, pretože na sieťových počítačoch je možné spustiť akýkoľvek softvér a prípadne ich použiť na útok. Sieť je momentálne v stave šírenia a vyčkávania. Takáto forma siete existuje len vďaka už nakazeným počítačom, pričom nákaza sa momentálne nijako neprejavuje.

Štvrtá verzia

[upraviť | upraviť zdroj]

Koncom apríla sa červ upgradoval, upgrade sa ukladá do adresára Windows/Temp (súbor s veľkosťou 119.296 bytov). Na základe analýzy antivírusovej spoločnosti TrendMicro by updgrade mal vytvoriť zmenu už nainštalovanej verzie.

  • Conficker by sa mal deaktivovať 3.mája 2009
  • dovtedy sa pokúša ďalej šíriť, pričom sa spúšťa ako rôzne služby systému
  • ak je k dispozícii internetové pripojenie, využije ho k svojmu šíreniu
  • otvorí port 5114 a bude plniť HTTP servera vysielaním požiadaviek pomocou SSDP protokolu
  • snaží sa pripojiť na stránky myspace.com, msn.com, ebay.com, cnn.com, aol.com

Ochranou je používanie Windows update, čiže sťahovanie aktualizácií, ktoré "zaplátajú" bezpečnostnú dieru a odstránia červa z počítača.

Tento článok je čiastočný alebo úplný preklad článku Conficker na anglickej Wikipédii (číslo revízie nebolo určené).