Меню

Укр Рус

Worm.Conficker.Win32

Виды вредоносных программ:
Worm.Conficker.Win32

Worm.Conficker.Win32 - сімейство мережевих хробаків, які використовують для свого поширення знімні носії та мережу.


Методи поширення 

Дане сімейство черв'яків використовує для ррозмноження знімні носії інформації та мережу. Для розповсюдження по мережі використовується критична уразливість (переповнення буфера) у службі Server Windows (svchost.exe) (MS08-067), для цього хробак посилає накомп'ютер що атакується  спеціальним чином сформований RPC-запит, який викликає переповнювання буфера. У разі невдачі вірус намагається атакувати комп'ютер методом підбору пароля адміністратора - якщо це вдається, вірус копіює себе в папку Windows\System32 і створює завдання в планувальнику завдань для свого запуску.
При розмноженні через змінні носії черв'як копіює себе в приховану папку RECYCLER на носії, а в корені диска створює файл autorun.inf, який дозволить виконатися копії хробака, якщо на комп'ютері включений автозапуск.


Функціональні можливості

При запуску хробак впроваджує свій код в адресний простір одного із системних процесів. 
Відключає служби:

  • Центр забезпечення безпеки Windows Service (wscsvc)
  • Автоматичне оновлення Windows Auto Update Service (wukuserv) 
  • Фонову інтелектуальну служба передачі (BITS) - виконує передачу даних у фоновому режимі, використовуючи резерви мережі. 
  • Cлужбу реєстрації помилок (ersvc) - відправляє звіти про помилки в Microsoft 

Відключає Firewall і можливість перегляду прихованих файлів. Блокує доступ до серверів антивірусних компаній. Блокує запуск деяких програм.


Деструктивні особливості

Сам черв'як не виконує деструктивних дій, але завантажує з Internet шкідливе ПЗ вказане зловмисником і таємно інсталює його в систему. Таким чином, наявність черв'яка в системі відкриває до неї практично необмежений доступ. Дане сімейство черв'яків часто використовується для створення підлеглих мереж (BotNet).