Conficker (zināms arī kā Downup, Downadup un Kido) — mūsdienu viens no zināmajiem un bīstamākajiem datora tārpiem. Programma tika uzrakstīta Microsoft Visual C++ valodā un pirmoreiz tīklā parādījās 2008. gada 21. novembrī.[1] Uzbrūk Microsoft Windows operētājsistēmām (no Windows 2000 līdz Windows 7 un Windows Server 2008 R2). Līdz 2009. gada janvārim vīruss bija skāris no 9[2] līdz 15 miljoniem[3] pasaules datoru. 2009. gada 13. janvārī Microsoft solīja 250 000 dolāru par vīrusa autora informāciju.[4] 1. aprīlī bija paredzēts, ka vīrusam jāaktivizējas, taču tas neaktivējās, bet bīstamība ir saglabājusies līdz pat šai dienai. Epidēmija kļuva iespējama, jo zināma daļa lietotāju laikus neizmantoja vienlaikus ar biļetenu MS08-067 pieejamu atjauninājuma ielādēšanas iespēju.[5]

Shēma par to kā var notikt datora inficēšanās.

Nosaukums „Conficker” cēlies no angļu: configuration (konfigurācija) un vācu: ficker (rupji — tas, kas nodarbojas ar dzimumaktu, salīdz. angļu: fucker)[6] Tādējādi, Conficker — „konfigurāciju izvarotājs”.

Izplatīšanās

labot šo sadaļu

Tik ātra vīrusa izplatīšanās ir saistīta ar „Server service” pakalpojumu. Izmantojot „caurumu” tajā, tārps lejuplādē sevi no interneta. Interesanti ir tas, ka vīrusa izstrādātāji iemācījušies pastāvīgi mainīt savus serverus.

Tāpat tas arī var izplatīties caur USB, izveidojot failu autorun.inf un failu RECYCLED\{SID}\RANDOM_NAME.vmx. Sistēmā tārps saglabājas dll-faila izskatā ar nejaušu nosaukumu, kas sastāv no latīņu burtiem, piemēram: c:\windows\system32\zorizr.dll. Tāpat arī ieraksta sevi servisos ar nejaušu nosaukumu, kas sastāv no latīņu burtiem.

Darbības principi

labot šo sadaļu

Tārps atrod Windows neaizsargātību, saistītu ar bufera pārpildinājumu un ar palīdzību viltus RPC-pieprasījumu izpilda kodu. Pirmkārt tas atslēdz pakalpojumu sēriju: automātiskā Windows atjaunošanās, Windows Security Center, Windows Defender un Windows Error Reporting, kā arī bloķē piekļuvi pretvvīrusa programmatūru tīmekļa vietnēm

Periodiski tārps nejaušā veidā ģenerē Interneta adrešu sarakstu (apmēram 50 tūkst. domēnu vārdus dienā), kuriem pievēršas, lai saņemtu izpildāmo kodu. Saņemot no adreses izpildāmo failu, tārps salīdzina elektronisko ciparparakstu un, ja tas saskan, izpilda failu. Turklāt tārps realizē P2P apmaiņas mehānismu atjauninājumus, kas ļauj viņam izsūtīt atjauninājumus dzēstām kopijām, apejot pārvaldības serveri.

Infekcijas simptomi

labot šo sadaļu

1. Atslēgti un/vai nevarat ieslēgt šādus pakalpojumus:

  • Windows Update Service
  • Background Intelligent Transfer Service
  • Windows Defender
  • Windows Error Reporting Services

2. Bloķēta pieeja pretvīrusu programmatūru tīmekļa vietnēm.

3. Inficētajos datoros lokālajā tīklā palielinās tīkla noslodze, jo no šiem datoriem sākas tīkla uzbrukumi.

4. Antivīrusu pieteikumi ar aktīvu tīkla ekrānu ziņo par Intrusion.Win.NETAPI.buffer-overflow.exploit uzbrukumu.

Cīņa ar vīrusu

labot šo sadaļu

Brīdināšanā par vīrusa infekciju un tā iznīcināšanā no inficētiem datoriem piedalījās tādas korporācijas, kā Microsoft, Dr.Web, ESET,[7] Kaspersky Lab, Panda Security,[8] F-Secure, AOL un citi. Taču bīstamība tik un tā ir saglabājusies līdz pat šai dienai, jo vīruss pastāvīgi pārveidojas, tāpēc, lai novērstu datora inficēšanos, vajag vienmēr atjaunot sistēmu un pretvīrusu bāzes parakstus.

Kā arī katram lietotājam jāzina, ka, ja dators jau ir inficēts ar vīrusu — atjauninājums var nepalīdzēt. Tieši tāpēc pilnīgai tārpa dzēšanai iesaka izmantot īpašas programmas pašas jaunākās versijas.

Ārējās saites

labot šo sadaļu
  1. Conficker vēsture, darbības mehānisms un aizsardzība Arhivēts 2010. gada 15. aprīlī, Wayback Machine vietnē. (krieviski)
  2. Net-Worm.Win32.Kido.bt (krieviski)