Microsoft предложила 250 000 долларов за данные об авторе червя Conficker
13.02.2009

Корпорация совместно с ICANN и рядом других технологических компаний объявила награду за за любую информацию, которая приведет к аресту лиц, ответственных за противозаконное распространение вредоносного кода червя Conficker в сети Интернет. Софтверный гигант также предложил скоординированный план действий, чтобы заблокировать доменные имена, которые потенциально могут быть использованы червем Conficker.

Супер-сеть, которую строит появившийся в октябре прошлого года червь Conficker, к 26 января выросла уже по крайней мере до 15 млн компьютеров. Таким образом, эта зомби-сеть по размерам переплюнула все известные до сих пор ботнеты, в том числе Storm, который, по некоторым оценкам, на пике своего развития включал от 500 тысяч до миллиона машин.

Для захвата контроля над компьютером-жертвой Conficker использует брешь в безопасности Windows, заплатка для которой была выпущена ещё 23 октября 2008г.

Алгоритм Conficker достаточно хитрый: ежедневно, беря за основу отметки времени с публичных сайтов вроде Google и Baidu, программа генерирует массу последовательностей символов, похожих на доменные имена. Используя этот набор строк, зараженный компьютер пытается связаться с серверами, расположенными на соответствующих доменах. На практике такой домен может быть только один — его, используя тот же алгоритм, заранее регистрируют владельцы бот-сети, поднимают на нём сервер и, таким образом, контролируют всё стадо зомби-компьютеров.

Такой подход делает неэффективными традиционные методы борьбы с ботнетами, заключающиеся в закрытии вредоносных серверов. Ведь новые домены злоумышленники регистрируют каждый день, и даже если этот домен удастся обнаружить и заблокировать в столь короткий срок, завтра наступит новый день, и схема отработает снова. 


Conficker (также известный как Downup, Downadup и Kido) - сетевой червь, эксплуатирующий уязвимость, описанную в бюллетене MS08-067. Червь может также загружать и выполнять произвольные файлы.

При запуске, червь Win32/Conficker.A создает копию в директории %System%  с произвольным именем. Win32/Conficker.A c проверяет использует ли зараженная машина Windows 2000. Если да, то червь внедряет свой код в процесс services.exe.

Если операционная система отлична от Windows 2000, червь создает службу со следующими характеристиками:

Имя службы: netsvcs
Путь к файлу: %System%\svchost.exe -k netsvcs

Также создает следующий ключ реестра:

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\<worm executable filename>.dll"

 
Ваш системный администратор / Новости / Microsoft предложила 250 000 долларов за данные об авторе червя Conficker