Conficker – primaaprilisowy robak

Od pewnego czasu pojawiają się w mediach alarmistyczne informacje na temat robaka Conficker (W32/Conficker.worm), którego kolejna już wersja grasuje w Internecie. Ponieważ wielkimi krokami nadchodzi 1 kwietnia, kiedy to robak ma się uaktywnić, McAfee podaje garść informacji na temat zagrożenia.

Informacje pochodzą one od Torralva Dirro, CISSP, McAfee Avert Labs Security Strategist, są też podane na blogu McAfee Avert Labs.

Czym jest Conficker?

·        Conficker jest robakiem internetowym, który rozprzestrzenia się wykorzystując luki w systemie Microsoft Windows

·        Luki wykorzystywane przez Confickera są znane od dawna i firma Microsoft udostępniła odpowiednie łaty już kilka miesięcy temu. Już w czasie pierwszych wysypów Confickera w końcu 2008 roku, robak był w stanie zaatakować wyłącznie komputery, które nie miały zainstalowanych odpowiednich aktualizacji.

·        Choć kolejne wersje Confickera atakują już od kilku miesięcy, istnieją podejrzenia, że zacznie on siać spustoszenie 1 kwietnia br. Jednak nie ma pewności, czy to rzeczywiście nastąpi. Także wszystkie przewidywania dotyczące zamierzeń autorów robaka oraz jego działań po 1 kwietnia są oparte wyłącznie na domysłach – na dzień dzisiejszy nie ma na te tematy żadnych pewnych informacji.

·        Duże zainteresowanie wzbudził mechanizm automatycznej aktualizacji robaka – jednak nie jest on niczym nowym i wiele wcześniejszych robaków również korzystało z możliwości doinstalowywania fragmentów kodu pobieranych z serwerów internetowych.

·        Dla wielu specjalistów bezpieczeństwa Conficker jest swego rodzaju deja vu – pod koniec lat 90-tych XX w. i w pierwszych latach XXI w. działały takie robaki, jak Blaster czy Sasser, które również bardzo szybko się rozprzestrzeniały bez udziału człowieka.

Jak wykryć infekcję?

·        Najprostszym sposobem jest próba otwarcia strony firmy Microsoft (www.microsoft.com) lub firmy McAfee (www.mcafee.com) – robak blokuje dostęp do tych witryn, więc brak możliwości ich otwarcia może świadczyć o infekcji.

Co robi Conficker?

·        Robak blokuje dostęp do niektórych stron internetowych, próbuje zablokować oprogramowanie bezpieczeństwa oraz narzędzia służące do jego usunięcia. Nawalające oprogramowanie bezpieczeństwa albo brak możliwości wejścia na takie strony, jak www.mcafee.com, może świadczyć o infekcji Confickerem.

·        Robak przejmuje kontrolę nad komputerem, może więc służyć do rozsyłania spamu, realizacji ataków DoS itp.

Jak się zabezpieczyć?

·        Podstawową formą zabezpieczenia jest instalacja aktualnych łat i poprawek firmy Microsoft – to usuwa główną przyczynę infekcji.

·        Należy zaktualizować oprogramowanie bezpieczeństwa i kilkakrotnie przeprowadzić pełne skanowanie systemu.

Jak oczyścić zainfekowany system?

·        Jeżeli komputer jest zainfekowany i nie ma pod ręką programu, który potrafiłby go usunąć, można skorzystać z dedykowanego programu Stinger udostępnionego przez McAfee Avert Labs (tu). Jeśli bezpośredni dostęp do tego pliku został zablokowany, można wyszukać w Internecie hasła „stinger virus removal”.

Szczegółowa informacja na temat wykrywania i usuwania Confickera jest dostępna w specjalnym dokumencie Avert Labs: tutaj