Conficker

Conficker (také Downadup, Kido) je počítačový červ šířící se pomocí chyby operačního systému Windows, útokem na sdílené zdroje (síťové disky) a zneužitím automatického spouštění z přenosných médií (USB disků a pod.). Virus zpřístupňuje infikovaný počítač pro vzdálené ovládání útočníkem, upravuje údaje DNS (tím blokuje aktualizace jak operačního systému, tak antivirových nástrojů) a ukončuje aplikace bezpečnostního softwaru (antivir, antimalware). Virus se pokouší sám aktualizovat.^[1]

Vznik[editovat | editovat zdroj]

Virus Conficker se začal šířit koncem roku 2008.^[1] Jeho tvůrce zatím není znám. Počítačová společnost Microsoft ale již vypsala odměnu na dopadení tvůrce. Conficker v napadených počítačích instaluje další červ Waledac. Ten rozesílá nevyžádanou poštu spolu s falešným antispywarem. Virus Waledac napadené počítače využije pro práci v jiné síti botnet, která existuje už řadu let a specializuje se právě na rozesílání nevyžádaných emailů.^[2]

Ochrana[editovat | editovat zdroj]

Společnost Microsoft vydala aktualizace (MS08-067, firmy ESET a Kaspersky Lab doporučují i MS08-068 a MS09-001 ) na zacelení chyby, díky níž se červ šíří. Společnosti také doporučují používat aktualizovaný antivirus.

Proti BruteForce útokům na sdílené zdroje je vhodné používat silná hesla správcovských (administrátorských) účtů (kombinace velkých a malých písmen + jiné znaky).

Další způsob šíření červa (přes vyměnitelná média pomocí souboru autorun.inf) lze eliminovat zákazem jejich automatického spouštění (Přehrát automaticky). Tento zákaz chrání i před jinými viry, které využívají pro svoje šíření přenosná média.

Jedním z velice rozšířených způsobů šíření jsou naplánované úlohy, proto je při napadení vhodné dočasně zakázat přístup do plánovaných úloh. Dalším způsobem šíření jsou tzv. admin share, což jsou sdílené disky pro uživatele s oprávněním administrátora. Postup pro odstranění škůdce nalznete zde http://support.microsoft.com/kb/962007

Některé verze Confickera si dokáží zprovoznit i vlastní webový server, odkud se pak dále Conficker šíří po síti, toto poznáte pokud byl virus zachycen antivirem a zdroj je například "http://10.0.0.124:544/jkkdj^{[nedostupný zdroj]}" kde IP adresa náleží nakaženému PC.

Další vlastností červa je možnost stahovat si vlastní update a instrukce. Jeho oblibou a především i prozrazením v sítích s doménou Microsoft Windows, jsou neustálé útoky na doménové řadiče, kdy se snaží hádat hesla k uživatelským jménům. Proto důrazně doporučuji nastavit možnost uzamčení účtu na co nejmenší hodnotu (3 - 5 špatných pokusů). Na serverových operačních systémech od firmy Microsoft je častým jevem odepírání práv na vlastní soubory včetně vlastnictví souboru, tímto se snaží bránit proti smazání.

Hrozba[editovat | editovat zdroj]

Počítač infikovaný virem Conficker může být ovládán tvůrcem viru, předpokládá se, že byly infikovány miliony počítačů po celém světě. Společnost ESET předpokládá, že tvůrce si buduje síť (botnet), kterou může využít například k útokům vůči síťové infrastruktuře, nebo rozesílání spamu.^[1]

Reference[editovat | editovat zdroj]

↑ ^a ^b ^c Informace o viru Conficker na Eset.cz^{[nedostupný zdroj]}
↑ Conficker se probouzí ibitz.cz, 25. duben 2009

Externí odkazy[editovat | editovat zdroj]

Obrázky, zvuky či videa k tématu Conficker na Wikimedia Commons

[eset-1] Informace o viru Conficker na Eset.cz^{[nedostupný zdroj]}

[ibitz-2] Conficker se probouzí ibitz.cz, 25. duben 2009

[1]

[2]