Широкую огласку червь получил в ноябре 2008 года. Именно тогда корпорация Microsoft предупредила о появлении новой вредоносной программы. Червь, получивший название Conficker, распространялся преимущественно в корпоративных сетях, однако уже были зафиксированы и сотни случаев заражения компьютеров рядовых пользователей интернета.

Дальше — больше

  На 13 января 2009 г. количество заражений составляло 2,4 млн хостов, 14 января – 3,5 млн, а на следующий день уже 8,9 млн. Антивирусные компании опубликовали статус вирусной эпидемии, однако большинство из них присудили червю средний уровень опасности.

  Количество ПК, инфицированных червем Conficker, продолжало расти. Более 6% компьютеров по всему миру оказались заражены этим типом червей. В интернете появились тысячи публикаций о различных случаях заражений, а большинство антивирусных компаний выпустили специальные утилиты для удаления вредоносной программы. Впрочем это ничуть не помешало червю стать виновником нескольких особо заметных инцидентов.

  Так, например, Conficker заразил компьютеры ВМС Франции, в результате чего пилоты некоторых французских истребителей Dassault Rafale 15 и 16 января не смогли загрузить планы полетов и были вынуждены остаться на земле. Французские СМИ сообщили, что командование ВМС Франции проигнорировало предупреждения об угрозе данного вируса и не приняло необходимых мер безопасности. Червь заразил внутреннюю компьютерную систему военно-морских сил страны. Во время устранения неполадок вызванных червем военные были вынуждены прибегнуть к более традиционным видам коммуникации: телефону, факсу и почте.

  Несколько дней назад поступила информация о новом заражении. Печально знаменитый червь Conficker на этот раз нарушил деятельность городской судебной системы города Хьюстона, четвертого по величине города в США. Она была вынуждена прекратить работу вечером прошлой пятницы (6 февраля), поскольку этот компьютерный вирус добрался до информации, связанной с судебным делопроизводством. Вирус поразил 475 из 16 000 городских административных компьютеров. В результате власти города до четверга следующей недели ушли на вынужденные каникулы. Не ведется прием граждан, многие городские ведомства закрыты, не работают суды.

Как происходит заражение

  Conficker использует уязвимость MS08-067 в службе Server в Microsoft Windows. Корпорация Microsoft выпустила исправление к этой уязвимости еще в октябре 2008 г., однако уязвимость продолжает активно эксплуатироваться злоумышленниками. Проблема связана с тем, что при обработке сформированных специальным образом запросов удаленного вызова процедур (Remote Procedure Call) в службе Server программных платформ Microsoft возникает ошибка, позволяющая злоумышленникам захватить полный контроль над компьютером жертвы.

  При проникновении на компьютер червь маскируется под JPG-файл, а затем записывает себя на диск под видом библиотеки DLL. Очутившись в Windows, вирус присваивает себе расширение DLL и название, состоящее из 5-8 букв, например, «piftoc.dll». Вредоносная программа открывает произвольный порт между 1024 и 10000 и работает как веб-сервер. Червь перегружает всю систему, что делает очень сложным ее последующее восстановление, и начинает загружать файлы с хакерских сайтов. Примечательно, что, попав на машину жертвы, Conficker устанавливает патч для уязвимости MS08-067. Однако в данном случае червь заботится вовсе не о владельце компьютера — просто таким образом Conficker закрывает лазейку для других вредоносных программ, которые могут помешать его работе.

  Червь сконструирован таким образом, что также может распространяться через USB-устройства: когда вы вставляете устройство, на панели Windows появляется опция для запуска программы (активирующая вредоносное ПО) под видом безопасной опции открытия папки для просмотра файлов. Таким образом, когда пользователи просто хотят посмотреть, что находится в папке, они могут запустить червя и заразить свой компьютер.

  Кроме того, червь способен распространяться, взламывая слабые пароли методом подбора, таким образом получая доступ к другим компьютерам в локальной сети.

  На данный момент выявлено три варианта данного червя (Conficker A, B и C). Первыми симптомами заражения являются прекращение обновления антивируса и невозможность попасть на сайты разработчиков антивирусных продуктов. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке.

Взгляд антивирусных компаний

  Многие антивирусные компании выпустили специальные бесплатные утилиты для удаления червя Conficker. Подобные программы и инструкции по их установке вы можете найти на сайтах:

• Лаборатории Касперского — специальная утилита kidokiller.exe
• Eset (Nod32) — специальная утилита
• Доктор Веб — удаление посредством единой утилиты Dr.Web CureIt!

  Следует отметить, что эпидемия червя вызвала множество споров о возможностях антивирусных компаний — начиная мнениями об их абсолютной неспособности помочь в случае действительно серьёзных и хорошо продуманных вредоносных программ (с одним из таких мнений вы могли ознакомиться в прошлом выпуске нашей газеты), и кончая мнениями о том, что и вовсе ничего не происходит, лишь пустая шумиха и всесторонний пиар, как производителей антивирусных продуктов, так и средств массовой информации, заинтересованных в подаче "кричащих" новостей.

  В завершении заметим лишь, что на данный момент скорость распространения вирусной эпидемии заметно снизилась, однако миллионы зараженных компьютеров, обслуживающие совершенно разные сферы деятельности, наверняка еще не раз напомнят нам о черве Conficker.