Conficker

Conficker (také Downadup, Kido) je počítačový červ šířící se pomocí chyby operačního systému Windows. Útočí na sdílené zdroje (síťové disky) a zneužívá automatické spouštění z přenosných médií (USB disků a pod.). Červ zpřístupňuje infikovaný počítač pro vzdálené ovládání útočníkem, upravuje údaje DNS (tím blokuje aktualizace jak operačního systému, tak antivirových nástrojů) a ukončuje aplikace bezpečnostního softwaru (antivir, antimalware). Pokouší se sám aktualizovat.^[1]

Vznik[editovat | editovat zdroj]

Conficker se začal šířit koncem roku 2008.^[1] Jeho tvůrce není znám. Počítačová společnost Microsoft vypsala na dopadení tvůrce odměnu. Conficker v napadených počítačích instaluje další červ Waledac. Ten rozesílá nevyžádanou poštu spolu s falešným antispywarem. červ Waledac napadené počítače využije pro práci v jiné síti botnet, která existuje už řadu let a specializuje se právě na rozesílání nevyžádaných emailů.^[2]

Ochrana[editovat | editovat zdroj]

Společnost Microsoft vydala aktualizace (MS08-067, firmy ESET a Kaspersky Lab doporučují i MS08-068 a MS09-001 ) na zacelení chyby, díky níž se červ šíří. Společnosti také doporučují používat aktualizovaný antivirový program.

Proti BruteForce útokům na sdílené zdroje je vhodné používat silná hesla správcovských (administrátorských) účtů (kombinace velkých a malých písmen + jiné znaky).

Další způsob šíření červa (přes vyměnitelná média pomocí souboru autorun.inf) lze eliminovat zákazem jejich automatického spouštění (Přehrát automaticky). Tento zákaz chrání i před jinými červy, které využívají pro svoje šíření přenosná média.

Jedním z velice rozšířených způsobů šíření jsou naplánované úlohy, proto je při napadení vhodné dočasně zakázat přístup do plánovaných úloh. Dalším způsobem šíření jsou tzv. admin share, což jsou sdílené disky pro uživatele s oprávněním administrátora. Postup pro odstranění škůdce naleznete zde http://support.microsoft.com/kb/962007.

Některé verze Confickera si dokáží zprovoznit i vlastní webový server, odkud se pak dále Conficker šíří po síti. To lze poznat, pokud byl červ zachycen antivirem a zdroj je například "http://10.0.0.124:544/jkkdj^{[nedostupný zdroj]}", kde IP adresa náleží nakaženému PC.

Další vlastností červa je možnost stahovat si vlastní update a instrukce. Jeho oblibou a především i prozrazením v sítích s doménou Microsoft Windows jsou neustálé útoky na doménové řadiče, kdy se snaží hádat hesla k uživatelským jménům. Proto se důrazně doporučuje nastavit možnost uzamčení účtu na co nejmenší hodnotu (3 - 5 špatných pokusů). Na serverových operačních systémech od firmy Microsoft je častým jevem odepírání práv na vlastní soubory včetně vlastnictví souboru. Tím se snaží servery bránit proti smazání souborů.

Hrozba[editovat | editovat zdroj]

Počítač infikovaný červem Conficker může být ovládán tvůrcem červa. Předpokládá se, že byly infikovány miliony počítačů po celém světě. Společnost ESET předpokládá, že tvůrce si buduje síť (botnet), kterou může využít například k útokům vůči síťové infrastruktuře nebo rozesílání spamu.^[1]

Reference[editovat | editovat zdroj]

↑ ^a ^b ^c Informace o viru Conficker na Eset.cz^{[nedostupný zdroj]}
↑ Conficker se probouzí ibitz.cz, 25. duben 2009

Externí odkazy[editovat | editovat zdroj]

Obrázky, zvuky či videa k tématu Conficker na Wikimedia Commons

[eset-1] Informace o viru Conficker na Eset.cz^{[nedostupný zdroj]}

[ibitz-2] Conficker se probouzí ibitz.cz, 25. duben 2009

[1]

[2]