Ochrona systemu Windows przed robakiem Conficker

Opublikowano: 30 marca 2009 | Zaktualizowano: 30 marca 2009

Zawartość strony

	Informacje o robaku Conficker
	Historia programu Conficker
	Ochrona komputera przed robakiem Conficker
	Czyszczenie systemów z programu Conficker

Informacje na tej stronie mają pomóc specjalistom IT ochronić swoje systemy przed robakiem Conficker. Mają również pomóc przywrócić zainfekowane systemy do życia.

Informacje o robaku Conficker

23 października 2008 firma Microsoft udostępniła krytyczną aktualizację zabezpieczeń, MS08-067, usuwającą lukę w usłudze Server systemu Windows, która w okresie wydania aktualizacji była celem ograniczonego ataku.

Luka pozwalała anonimowemu napastnikowi przejąć kontrolę nad systemem poprzez atak bazujący na sieci, zaliczany do rodzaju „robaków sieciowych". Od wydania aktualizacji MS08-067 zespół Microsoft Malware Protection Center (MMPC) zidentyfikował dwa warianty programu Win32/Conficker:

• Worm:Win32/Conficker.A: zidentyfikowany przez MMPC 21 listopada 2008
• Worm:Win32/Conficker.B: zidentyfikowany przez MMPC 29 grudnia 2008
• Worm:Win32/Conficker.C: zidentyfikowany przez MMPC 20 lutego 2009*
• Worm:Win32/Conficker.D: zidentyfikowany przez MMPC 4 marca 2009**

* znany również jako Conficker B++
** znany również jako Conficker.C oraz Downadup.C

 Do początku strony

Historia programu Conficker

• 21 listopada 2008 zespół MMPC zidentyfikował program Worm:Win32/Conficker.A. Robak ten próbuje propagować sam siebie poprzez ataki sieciowe, wykorzystując lukę usuwaną przez aktualizację MS08-067. W tym samym dniu zespół MMPC dodał sygnatury i funkcje wykrywania robaka do oprogramowania Microsoft Forefront, Microsoft OneCare i Windows Live OneCare Safety Scanner.

• 25 listopada 2008 zespół MMPC przedstawił informacje o złośliwym programie Worm:Win32/Conficker.A na stronach swojego weblog.

• 20 grudnia 2008 zespół MMPC zidentyfikował drugi wariant robaka Worm:Win32/Conficker.B oraz w tym samym dniu dodał sygnatury i funkcje wykrywania do programów Microsoft Forefront, Microsoft OneCare i Windows Live OneCare Safety Scanner. Złośliwy program Worm:Win32/Conficker.B próbuje propagować się sam poprzez:

  1. Infekowanie podatnych systemów poprzez ataki sieciowe, wykorzystując lukę usuwaną przez aktualizację MS08-067.
  2. Kopiowanie samego siebie do folderu ADMIN$\System32 na komputerze docelowym i zaprogramowanie zadania codziennego wykonywania tego pliku. Najpierw próbuje wykorzystać poświadczenia zalogowanego użytkownika, co może działać dobrze w środowiskach, w których to samo konto użytkownika jest używane na różnych komputerach w sieci i tak długo, jak konto to ma prawa administracyjne. Jeśli metoda ta nie powiedzie się, robak próbuje innego sposobu: uzyskuje listę kont użytkowników komputera docelowego i próbuje połączyć się przy użyciu każdej nazwy użytkownika i listy słabych haseł (na przykład: „1234", „hasło" czy „student"). Jeśli jedna z tych kombinacji zadziała, a dane konto ma uprawnienia zapisu, robak skopiuje się sam do folderu ADMIN$.
  3. Kopiowanie samego siebie do wymiennych dysków, takich jak USB czy inne pamięci przenośne przy użyciu funkcji AutoPlay do uruchomienia samego siebie.
     Uwaga: Drugi i trzeci sposób ataku wymieniony powyżej nie wykorzystuje luki usuwanej przez aktualizację MS08-067. Z tego względu robak może działać z powodzeniem w systemach, w których już zastosowana została aktualizacja zabezpieczeń MS08-067.

• 31 grudnia 2008 zespół MMPC przedstawił informacje o programie Worm:Win32/Conficker.B poprzez swój weblog.

• 13 stycznia 2009 zespół MMPC dołączył możliwość usuwania obu złośliwych programów Worm:Win32/Conficker.A i Worm:Win32/Conficker.B w aktualizacji styczniowej (2009) programu Windows Malicious Software Removal Tool (MSRT) i przedstawił informacje o tych robakach poprzez swój weblog.

• 22 stycznia 2009 zespół MMPC przedstawił spójne informacje techniczne o programie Worm:Win32/Conficker.B poprzez swój weblog.

• 12 lutego 2009 zespół Microsoft Security Response Center (MSRC) opublikował informacje o domenach, do których próbują połączyć systemy zainfekowane robakiem Conficker. Firma Microsoft przekazała także informacje o współpracy z przemysłem i uczelniami w celu wyłączenia domen atakowanych przez Conficker.

• 12 lutego 2009 firma Microsoft ufundowała 250 000 $ nagrody za informacje, w rezultacie których będzie można aresztować i skazać osoby odpowiedzialne za wprowadzenie w Internecie złośliwego kodu Conficker. Nagroda firmy Microsoft miała swoje źródło na podstawie informacji z firm o tym, że robak Conficker jest atakiem o charakterze przestępczym. Firma Microsoft chce pomóc urzędom schwytać przestępców odpowiedzialnych za te działania. Prawo do nagrody mają obywatele wszystkich krajów, zgodnie z obowiązującym prawem w danym kraju, jako że wirusy internetowe atakują sieć na całym świecie.

• 20 lutego 2009 zespół MMPC przedstawił informacje techniczne o programie Worm:Win32/Conficker.C poprzez swój weblog.

• 27 marca 2009 zespół MMPC przedstawił więcej szczegółów na temat nowej funkcjonalności P2P w programie Worm:Win32/Conficker.D poprzez swój weblog.

Osoby posiadające informacje o robaku Conficker są zachęcane do kontaktu ze swoimi międzynarodowymi agencjami prawnymi. Ponadto firma Microsoft uruchomiła punkt informacyjny Antivirus Reward Hotline, +1-425-706-1111, i skrzynkę pocztową Antivirus Reward Mailbox, avreward@microsoft.com, gdzie można udostępniać wskazówki.

 Do początku strony

Ochrona komputera przed robakiem Conficker

1. Należy zastosować aktualizację MS08-067 oraz przeglądać biuletyny bezpieczeństwa pod kątem dodatkowych informacji na temat luk, atakowanego oprogramowania, narzędzi i poradników wykrywania oraz informacji na temat aktualizacji zabezpieczeń.
2. Należy upewnić się, że używane jest aktualne oprogramowanie antywirusowe pochodzące od zaufanego dostawcy, takie jak Forefront Client Security lub Windows Live OneCare firmy Microsoft. Programy antywirusowe można również uzyskać od zaufanych producentów niezależnych, takich jak członkowie stowarzyszenia Virus Information Alliance .
3. Należy sprawdzić aktualizację zabezpieczeń oprogramowania lub urządzeń ochrony, takich jak program antywirusowy, sieciowe systemy wykrywania intruzów lub systemy ochrony przed intruzami bazujące na hoście. Program MAPP (Microsoft Active Protection Program) szybko udostępnia partnerom informacje o lukach w oprogramowaniu firmy Microsoft.
4. Należy izolować „niezaktualizowane” lub starsze systemy przy użyciu metod opisanych w poradniku Microsoft Windows NT 4.0 and Windows 98 Threat Mitigation Guide.
5. Należy zaimplementować stosowanie silnych haseł zgodnie z opisem w artykule Creating a Strong Password Policy .
6. Należy wyłączyć funkcję AutoPlay poprzez rejestr lub przy użyciu zasad grupy zgodnie z opisem w artykule Microsoft Knowledge Base 953252.
   Uwaga: Klienci systemów Windows 2000, Windows XP i Windows Server 2003 muszą zainstalować aktualizację skojarzoną z artykułem Microsoft Knowledge Base 953252, aby prawidłowo wyłączyć funkcję AutoRun. Klienci systemów Windows Vista i Windows Server 2008 muszą zainstalować aktualizację skojarzoną z biuletynem Microsoft Security MS08-038, aby prawidłowo wyłączyć funkcję AutoRun.

 Do początku strony

Czyszczenie systemów z programu Conficker

W tym celu należy na niezainfekowanym systemie pobrać narzędzie MSRT i zainstalować go na zainfekowanym komputerze tak, aby automatycznie wyczyszczony został zainfekowany system.
Uwaga: Dodatkowe informacje na temat instalowania narzędzia MSRT w środowisku przedsiębiorstwa można znaleźć w artykule Microsoft Knowledge Base 891716 .

Klienci, którzy w swoim środowisku nie mogą posłużyć się narzędziem MSRT, w artykule Microsoft Knowledge Base 962007 znajdą informacje na temat sposobu ręcznego usuwania programu Worm:Win32/Conficker.B.

Do początku strony