Jump to content

Конфикер

Конфикер
Техническое название
Тип Червь
Технические детали
Платформа Windows 2000 , Windows XP , Windows 2003 Server (SP2), Windows Vista , Windows 2008 Server [1]

Conficker , также известный как Downup , Downadup и Kido , — компьютерный червь , нацеленный на Microsoft Windows операционную систему , который был впервые обнаружен в ноябре 2008 года. [2] Использует недостатки программного обеспечения ОС Windows (MS08-067/CVE-2008-4250). [3] [4] и атаки по словарю на пароли администратора, которые распространяются при формировании ботнета , и противостоять им необычайно сложно из-за совместного использования многих передовых методов вредоносного ПО. [5] [6] Червь Conficker заразил миллионы компьютеров, включая правительственные, деловые и домашние компьютеры в более чем 190 странах, что сделало его крупнейшим известным заражением компьютерным червем со времен червя SQL Slammer 2003 года . [7]

Несмотря на широкое распространение, червь не причинил большого вреда, возможно, потому, что его авторы, предположительно граждане Украины, не осмелились использовать его из-за того внимания, которое он привлек. [ нужна ссылка ] Четверо мужчин были арестованы, один признал себя виновным и был приговорен к четырем годам лишения свободы.

Распространенность

Оценить количество зараженных компьютеров было сложно, поскольку вирус менял стратегию распространения и обновления от версии к версии. [8] В январе 2009 года оценочное количество зараженных компьютеров колебалось от почти 9 миллионов. [9] [10] [11] до 15 миллионов. [12] Microsoft сообщила, что общее количество зараженных компьютеров, обнаруженных ее антивирусными продуктами, с середины 2010 по середину 2011 года оставалось стабильным на уровне около 1,7 миллиона. [13] [14] К середине 2015 года общее число заражений снизилось примерно до 400 000. [15] и, по оценкам, в 2019 году их число составит 500 000. [16]

История

Имя

Считается, что название Conficker происходит от комбинации английского термина «configure» и немецкого уничижительного термина Ficker (англ. Fucker ). [17] Аналитик Microsoft Джошуа Филлипс дает альтернативную интерпретацию названия, описывая его как перестановку частей доменного имени Trafficconverter.biz [18] (с буквой k, отсутствующей в имени домена, добавленной как в «trafficker», чтобы избежать «мягкого» звука c), которая использовалась в ранних версиях Conficker для загрузки обновлений.

Открытие

Первый вариант Conficker, обнаруженный в начале ноября 2008 года, распространялся через Интернет путем использования уязвимости в сетевой службе (MS08-067) в Windows 2000 , Windows XP , Windows Vista , Windows Server 2003 , Windows Server 2008 и Windows Server. 2008 R2 Бета. [19] Хотя Windows 7 могла быть подвержена этой уязвимости, бета-версия Windows 7 не была общедоступной до января 2009 года. Хотя 23 октября 2008 года Microsoft выпустила внеочередное экстренное исправление, закрывающее уязвимость, [20] большое количество компьютеров с Windows (по оценкам, 30%) оставались необновленными вплоть до января 2009 года. [21] Второй вариант вируса, обнаруженный в декабре 2008 года, добавил возможность распространения по локальным сетям через съемные носители и общие сетевые ресурсы . [22] Исследователи полагают, что это были решающие факторы, позволившие вирусу быстро распространиться.

Влияние в Европе

Intramar, компьютерная сеть ВМС Франции , была заражена Conficker 15 января 2009 года. Впоследствии сеть была помещена в карантин, в результате чего самолеты на нескольких авиабазах были остановлены из-за того, что их планы полетов не удалось загрузить. [23]

сообщило Министерство обороны Соединенного Королевства , что некоторые из его основных систем и настольных компьютеров были заражены. Вирус распространился по административным офисам, настольным компьютерам NavyStar/N* на борту различных военных кораблей и подводных лодок Королевского флота, а больницы города Шеффилд сообщили о заражении более 800 компьютеров. [24] [25]

2 февраля 2009 года Бундесвер , объединенные вооруженные силы Германии, сообщил, что около сотни его компьютеров были заражены. [26]

Заражение ИТ-системы городского совета Манчестера в феврале 2009 года привело к сбоям стоимостью около 1,5 миллионов фунтов стерлингов. Использование USB-накопителей было запрещено, поскольку считалось, что они были переносчиками первоначального заражения. [27]

В записке директора парламентской службы ИКТ Великобритании от 24 марта 2009 года пользователи Палаты общин информировались о том, что она заражена вирусом. В памятке, которая впоследствии стала известна, пользователям призывалось избегать подключения к сети неавторизованного оборудования. [28]

В январе 2010 года компьютерная сеть полиции Большого Манчестера была заражена, что привело к ее отключению на три дня от национального компьютера полиции в качестве меры предосторожности; в течение этого времени офицерам приходилось просить другие силы провести плановые проверки транспортных средств и людей. [29]

Операция

Хотя почти все передовые методы вредоносного ПО , используемые Conficker, уже применялись в прошлом или хорошо известны исследователям, совместное использование вирусом такого большого количества сделало его искоренение необычайно трудным. [30] Предполагается, что неизвестные авторы вируса отслеживают усилия сетевых операторов и правоохранительных органов по борьбе с вредоносным ПО и регулярно выпускают новые варианты для закрытия собственных уязвимостей вируса. [31] [32]

Известны пять вариантов вируса Conficker, получившие названия Conficker A, B, C, D и E. Они были обнаружены 21 ноября 2008 г., 29 декабря 2008 г., 20 февраля 2009 г., 4 марта 2009 г. и 7 апреля 2009 г. соответственно. [33] [34] Рабочая группа Conficker использует названия A, B, B++, C и E для одних и тех же вариантов соответственно. Это означает, что (CWG) B++ эквивалентен (MSFT) C, а (CWG) C эквивалентен (MSFT) D.

Вариант Дата обнаружения Векторы инфекции Распространение обновлений Самооборона Завершить действие
Конфикер А 2008-11-21
  • NetBIOS
    • Использует уязвимость MS08-067 в службе сервера. [32]
  • HTTP-запрос
    • Загрузки с trafficconverter.biz
    • Загрузки ежедневно с любого из 250 псевдослучайных доменов в 5 TLD. [35]

Никто

  • Обновляет себя до Conficker B, C или D [36]
Конфикер Б 2008-12-29
  • NetBIOS
    • Использует уязвимость MS08-067 в службе сервера. [32]
    • Словарная атака на ADMIN$ акции [37]
  • Съемные носители
    • Создает троян AutoRun на основе DLL на подключенных съемных дисках. [22]
  • HTTP-запрос
    • Загрузки ежедневно с любого из 250 псевдослучайных доменов в 8 TLD. [35]
  • NetBIOS push
    • Исправления MS08-067 для открытия бэкдора повторного заражения в службе сервера. [38] [39]
  • Блокирует определенные запросы DNS
  • Отключает автоматическое обновление
  • Обновляет себя до Conficker C или D [36]
Конфикер С 2009-02-20
  • NetBIOS
    • Использует уязвимость MS08-067 в службе сервера. [32]
    • Словарная атака на ADMIN$ акции [37]
  • Съемные носители
    • Создает троян AutoRun на основе DLL на подключенных съемных дисках. [22]
  • HTTP-запрос
    • Ежедневные загрузки с 500 из 50 000 псевдослучайных доменов более 8 TLD в день [32]
  • NetBIOS push
    • Исправления MS08-067 для открытия бэкдора повторного заражения в службе сервера. [38] [39]
    • Создает именованный канал для получения URL-адреса с удаленного хоста, а затем загружает с URL-адреса.
  • Блокирует определенные запросы DNS
  • Отключает автоматическое обновление
  • Обновляет себя до Conficker D [36]
Конфикер Д 2009-03-04 Никто
  • HTTP-запрос
    • Загрузки ежедневно с любых 500 из 50 000 псевдослучайных доменов более 110 TLD. [35]
  • P2P push/pull
    • Использует специальный протокол для сканирования зараженных узлов через UDP, а затем передает через TCP. [40]
  • Блокирует определенные запросы DNS [41]
    • Выполняет ли патч в памяти DNSAPI.DLL для блокировки поиска веб-сайтов, связанных с защитой от вредоносных программ. [41]
  • Отключает безопасный режим [41]
  • Отключает автоматическое обновление
  • Убивает антивирусное ПО
    • Сканирует и завершает процессы с именами антивирусных программ, исправлений или диагностических утилит с интервалом в одну секунду. [42]
  • Загружает и устанавливает Conficker E. [36]
Конфикер Е 2009-04-07
  • NetBIOS
    • Использует уязвимость MS08-067 в службе сервера. [43]
  • NetBIOS push
    • Исправления MS08-067 для открытия бэкдора повторного заражения в службе сервера.
  • P2P push/pull
    • Использует специальный протокол для сканирования зараженных узлов через UDP, а затем передает через TCP. [40]
  • Блокирует определенные запросы DNS
  • Отключает автоматическое обновление
  • Убивает антивирусное ПО
    • Сканирует и завершает процессы с именами антивирусных программ, исправлений или диагностических утилит с интервалом в одну секунду. [44]
  • Обновляет локальную копию Conficker C до Conficker D. [45]
  • Загружает и устанавливает вредоносную нагрузку:
  • Удаляет себя 3 мая 2009 г. (но оставляет оставшуюся копию Conficker D) [47]

Начальное заражение

  • Варианты A, B, C и E используют уязвимость в службе сервера на компьютерах Windows, при которой уже зараженный исходный компьютер использует специально созданный запрос RPC для принудительного переполнения буфера и выполнения шелл-кода на целевом компьютере. [48] На исходном компьютере вирус запускает HTTP- сервер на порту между 1024 и 10000; целевой шеллкод подключается обратно к этому HTTP-серверу, чтобы загрузить копию вируса в форме DLL , которую затем прикрепляет к svchost.exe . [39] Варианты B и более поздние версии могут вместо этого подключаться к работающему процессу Services.exe или Проводнику Windows . [32] Подключение к этим процессам может быть обнаружено функцией доверия приложений установленного брандмауэра.
  • Варианты B и C могут удаленно выполнять свои копии через общий ресурс ADMIN$ на компьютерах, видимых через NetBIOS . Если общий ресурс защищен паролем, будет предпринята попытка атаки по словарю , которая потенциально может генерировать большие объемы сетевого трафика и отключать политики блокировки учетных записей пользователей. [49]
  • Варианты B и C помещают копию своей формы DLL в recycle.bin любого подключенного съемного носителя (например, USB-накопителя), с которого они затем могут заражать новые хосты через автозапуска Windows. механизм [22] используя управляемый autorun.inf .

Чтобы запуститься при загрузке системы, вирус сохраняет копию своей формы DLL в случайном имени файла в папке системы Windows или system32, затем добавляет ключи реестра, чтобы svchost.exe вызывал эту DLL как невидимую сетевую службу. [32]

Распространение полезной нагрузки

Вирус имеет несколько механизмов для передачи или получения исполняемых данных по сети. Эти полезные данные используются вирусом для обновления до более новых вариантов и для установки дополнительных вредоносных программ.

  • генерирует список из 250 доменных имен Вариант А ежедневно в пяти TLD . Доменные имена генерируются с помощью генератора псевдослучайных чисел (PRNG), в который добавляется текущая дата, чтобы гарантировать, что каждая копия вируса генерирует одни и те же имена каждый день. Затем вирус пытается установить HTTP-соединение с каждым доменным именем по очереди, ожидая от любого из них подписанных полезных данных. [32]
  • Вариант B увеличивает количество TLD до восьми и имеет генератор, настроенный для создания доменных имен, не пересекающихся с доменными именами A. [32]
    • Чтобы противодействовать использованию вирусом псевдослучайных доменных имен, Интернет-корпорация по присвоению имен и номеров (ICANN) и несколько TLD реестров начали в феврале 2009 года скоординированный запрет передачи и регистрации этих доменов. [50] Вариант D противодействует этому, ежедневно создавая пул из 50 000 доменов в 110 TLD, из которых он случайным образом выбирает 500 для попытки в этот день. Сгенерированные доменные имена также были сокращены с 8–11 до 4–9 символов, чтобы их было сложнее обнаружить с помощью эвристики . Этот новый механизм вытягивания (который был отключен до 1 апреля 2009 г.) [33] [42] вряд ли будет распространять полезную нагрузку более чем на 1% зараженных хостов в день, но ожидается, что он будет функционировать как механизм распространения вируса в одноранговой сети. [35] Однако ожидается, что более короткие сгенерированные имена будут конфликтовать со 150–200 существующими доменами в день, что потенциально может вызвать распределенную атаку типа «отказ в обслуживании» (DDoS) на сайтах, обслуживающих эти домены. Однако большое количество сгенерированных доменов и тот факт, что не каждый домен будет установлен в течение определенного дня, вероятно, предотвратит ситуации DDoS. [51]
  • Вариант C создает именованный канал , по которому он может передавать URL-адреса загружаемых полезных данных на другие зараженные узлы в локальной сети . [42]
  • в памяти Варианты B, C и E выполняют исправления для библиотек DLL, связанных с NetBIOS, чтобы закрыть MS08-067 и отслеживать попытки повторного заражения через ту же уязвимость. Допускается повторное заражение более поздними версиями Conficker, что фактически превращает уязвимость в бэкдор для распространения . [38]
  • Варианты D и E создают специальную одноранговую сеть для передачи и получения полезных данных через более широкий Интернет. Этот аспект вируса сильно запутан в коде и до конца не понятен, но было замечено, что он использует крупномасштабное сканирование UDP для создания списка одноранговых зараженных хостов и TCP для последующей передачи подписанных полезных данных. Чтобы усложнить анализ, номера портов для соединений хешируются из IP -адреса каждого узла. [40] [42]

Бронирование

Чтобы предотвратить перехват полезных данных, полезные данные варианта A сначала SHA-1 и хэшируются шифруются с RC4 использованием 512-битного хэша в качестве ключа . Затем хэш подписывается RSA с помощью 1024-битного закрытого ключа. [39] Полезная нагрузка распаковывается и выполняется только в том случае, если ее подпись проверяется открытым ключом, встроенным в вирус. Варианты B и более поздние используют MD6 в качестве хеш-функции и увеличивают размер ключа RSA до 4096 бит. [42] Conficker B принял MD6 всего через несколько месяцев после его первой публикации; Через шесть недель после того, как в ранней версии алгоритма была обнаружена уязвимость и была опубликована новая версия, Conficker обновился до нового MD6. [6]

Самооборона

Форма DLL вируса защищена от удаления путем установки ее владельца на « SYSTEM », что блокирует ее от удаления, даже если пользователю предоставлены права администратора. Вирус сохраняет резервную копию этой DLL под видом изображения .jpg в кэше Internet Explorer сетевых служб пользователя .

Вариант C вируса сбрасывает точки восстановления системы и отключает ряд системных служб, таких как автоматическое обновление Windows , центр безопасности Windows , Защитник Windows и отчеты об ошибках Windows . [52] Процессы, соответствующие заранее определенному списку антивирусных, диагностических или системных средств исправления, отслеживаются и завершаются. [53] также применяется исправление в памяти, К DLL системного преобразователя которое блокирует поиск имен хостов, связанных с поставщиками антивирусного программного обеспечения и службой Центра обновления Windows. [42]

Завершить действие

Вариант E вируса был первым, кто использовал базу зараженных компьютеров в корыстных целях. [46] Он загружает и устанавливает с веб-сервера, расположенного в Украине, две дополнительные полезные нагрузки: [54]

Симптомы

Симптомы заражения Conficker включают в себя:

Ответ

12 февраля 2009 года Microsoft объявила о создании отраслевой группы для совместной борьбы с Conficker. В группу, которую с тех пор неофициально называют Conficker Cabal, входят Microsoft , Afilias , ICANN , Neustar , Verisign , Китайский информационный центр сети Интернет , публичный интернет-реестр, Global Domains International, M1D Global, America Online , Symantec , F-Secure , ISC, исследователи из Технологического института Джорджии , The Shadowserver Foundation, Arbor Networks и Support Intelligence. [6] [31] [61]

От Майкрософт

13 февраля 2009 года Microsoft предложила вознаграждение в размере 250 000 долларов США за информацию, которая приведет к аресту и осуждению лиц, стоящих за созданием и/или распространением Conficker. [62]

Из реестров

ICANN добивалась упреждающего запрета передачи и регистрации доменов во всех реестрах TLD, пострадавших от генератора доменов вируса. В число тех, кто принял меры, входят:

  • 13 марта 2009 года NIC Чили, реестр национальных доменов верхнего уровня .cl , заблокировал все доменные имена, о которых сообщила рабочая группа Conficker, и проверил сотню уже зарегистрированных доменов из списка червей. [63]
  • 24 марта 2009 года CIRA , Канадский орган регистрации Интернета, заблокировал все ранее незарегистрированные доменные имена .ca, которые, как ожидается, будут созданы вирусом в течение следующих 12 месяцев. [64]
  • 27 марта 2009 года NIC-Panama, реестр национальных доменов верхнего уровня .pa , заблокировал все доменные имена, о которых сообщила рабочая группа Conficker. [65]
  • 30 марта 2009 года SWITCH , реестр швейцарских национальных доменов верхнего уровня , объявил, что «принимает меры по защите интернет-адресов с окончаниями .ch и .li от компьютерного червя Conficker». [66]
  • 31 марта 2009 года NASK , польский реестр национальных доменов верхнего уровня, заблокировал более 7000 доменов .pl , которые, как ожидается, будут созданы вирусом в течение следующих пяти недель. NASK также предупредило, что трафик червей может непреднамеренно вызвать DDoS- атаку на законные домены, которые оказались в сгенерированном наборе. [67]
  • 2 апреля 2009 года Island Networks, реестр национальных доменов верхнего уровня Гернси и Джерси , после расследования и взаимодействия с IANA подтвердила , что .gg или .je . в наборе имен, сгенерированных вирусом, нет имен

К середине апреля 2009 года все доменные имена, сгенерированные Conficker A, были успешно заблокированы или предварительно зарегистрированы, что сделало его механизм обновления неэффективным. [68]

Источник

Члены рабочей группы заявили на брифингах Black Hat в 2009 году , что Украина , но отказались раскрывать дальнейшие технические открытия о внутреннем устройстве вируса, чтобы не разглашать его авторов. вероятным источником вируса является [69] Первоначальный вариант Conficker не заражал системы с украинскими IP-адресами или украинской раскладкой клавиатуры. [6] Полезная нагрузка Conficker.E была загружена с хоста в Украине. [54]

В 2015 году Фил Поррас, Винод Йегнесваран и Хасан Саиди, которые первыми обнаружили и перепроектировали Conficker, написали в Journal of Sensitive Cyber ​​Research and Engineering , секретном рецензируемом издании правительства США по кибербезопасности, что они отслеживали вредоносное ПО группе украинских киберпреступников. Поррас и др. полагали, что преступники отказались от Conficker после того, как он распространился гораздо шире, чем они предполагали, мотивируя это тем, что любая попытка его использования привлечет слишком много внимания правоохранительных органов во всем мире. Это объяснение широко распространено в сфере кибербезопасности. [16]

В 2011 году украинская полиция, сотрудничая с ФБР, арестовала троих украинцев по делу Conficker, но нет никаких записей о том, что они были привлечены к ответственности или осуждены. Швед Микаэль Салнерт был приговорен к 48 месяцам тюремного заключения в США после признания вины. [16]

Удаление и обнаружение

Из-за блокировки вирусных файлов от удаления во время работы системы само удаление вручную или автоматически необходимо выполнять во время процесса загрузки или при установленной внешней системе. Удаление любой существующей резервной копии является важным шагом.

Microsoft выпустила руководство по удалению вируса и рекомендовала использовать текущую версию средства удаления вредоносных программ для Windows. [70] удалить вирус, а затем применить патч, чтобы предотвратить повторное заражение. [71] Новые версии Windows невосприимчивы к Conficker. [16]

Стороннее программное обеспечение

Многие сторонние поставщики антивирусного программного обеспечения выпустили обновления обнаружения для своих продуктов и заявляют, что могут удалить червя. Процесс развития вредоносного ПО демонстрирует некоторую адаптацию к обычному программному обеспечению для удаления, поэтому вполне вероятно, что некоторые из них могут удалить или, по крайней мере, отключить некоторые варианты, в то время как другие остаются активными или, что еще хуже, дают ложное срабатывание программному обеспечению для удаления и станет активным при следующей перезагрузке.

Автоматизированное удаленное обнаружение

27 марта 2009 года Феликс Ледер и Тиллманн Вернер из проекта Honeynet обнаружили, что хосты, зараженные Conficker, имеют обнаруживаемую сигнатуру при удаленном сканировании. [39] Одноранговый командный протокол , используемый вариантами D и E вируса, с тех пор был частично перепроектирован , что позволяет исследователям имитировать командные пакеты вирусной сети и массово идентифицировать зараженные компьютеры. [72] [73]

обновления сигнатур для ряда приложений сетевого сканирования . Теперь доступны [74] [75]

Его также можно обнаружить в пассивном режиме, отслеживая широковещательные домены на предмет повторения запросов ARP .

СЕРТ США

Группа готовности к компьютерным чрезвычайным ситуациям США (US-CERT) рекомендует отключить AutoRun , чтобы предотвратить распространение варианта B вируса через съемные носители. До выпуска статьи базы знаний Microsoft KB967715 [76] US-CERT назвал рекомендации Microsoft по отключению автозапуска «не полностью эффективными» и предложил обходной путь для более эффективного его отключения. [77] US-CERT также предоставил федеральным агентствам и агентствам штата сетевой инструмент для обнаружения зараженных Conficker хостов. [78]

См. также

В Викиновостях есть связанные новости:

Ссылки

  1. ^ «Вирусное предупреждение о черве Win32/Conficker» . Майкрософт .
  2. ^ Защитите себя от компьютерного червя Conficker , Microsoft, 9 апреля 2009 г., заархивировано из оригинала 27 июня 2009 г. , получено 28 апреля 2009 г.
  3. ^ БетаФред (8 июня 2023 г.). «Бюллетень по безопасности Microsoft MS08-067 — критично» . Learn.microsoft.com . Проверено 7 сентября 2023 г.
  4. ^ «CVE-CVE-2008-4250» . cve.mitre.org . Проверено 7 сентября 2023 г.
  5. ^ Маркофф, Джон (26 августа 2009 г.). «Вопреки экспертам, мошеннический компьютерный код все еще скрывается» . Нью-Йорк Таймс . Архивировано из оригинала 18 мая 2017 года . Проверено 27 августа 2009 г.
  6. ^ Jump up to: а б с д Боуден, Марк (июнь 2010 г.), The Enemy Within , The Atlantic , заархивировано из оригинала 28 февраля 2012 г. , получено 15 мая 2010 г.
  7. ^ Маркофф, Джон (22 января 2009 г.). «Червь заражает миллионы компьютеров по всему миру» . Нью-Йорк Таймс . Архивировано из оригинала 25 февраля 2020 года . Проверено 23 апреля 2009 г.
  8. ^ Макмиллан, Роберт (15 апреля 2009 г.), «Эксперты спорят по поводу номеров Conficker» , Techworld , IDG , заархивировано из оригинала 16 апреля 2009 г. , получено 23 апреля 2009 г.
  9. ^ «Часы тикают по коду атаки червя» . Новости BBC онлайн . Би-би-си. 20 января 2009 года. Архивировано из оригинала 16 января 2009 года . Проверено 16 января 2009 г.
  10. ^ Салливан, Шон (16 января 2009 г.). «Превентивный черный список и дополнительные номера Downadup» . F-безопасный . Архивировано из оригинала 2 марта 2009 года . Проверено 16 января 2009 г.
  11. ^ Нилд, Барри (16 января 2009 г.), Downadup Worm подвергает взлому миллионы компьютеров , CNN, заархивировано из оригинала 21 января 2009 г. , получено 18 января 2009 г.
  12. ^ Вирус поразил 15 миллионов компьютеров , UPI , 26 января 2009 г., архивировано из оригинала 2 апреля 2009 г. , получено 25 марта 2009 г.
  13. ^ Отчет Microsoft Security Intelligence: Том 11 (PDF) , Microsoft, 2011 г., заархивировано (PDF) из оригинала 18 октября 2011 г. , получено 1 ноября 2011 г.
  14. ^ Отчет Microsoft Security Intelligence: Том 10 (PDF) , Microsoft, 2010 г., заархивировано (PDF) из оригинала 6 октября 2011 г. , получено 1 ноября 2011 г.
  15. ^ Открываем банку с червями: почему Conficker просто не умрет, не умрет, не умрет? , ZDNet , 10 июня 2015 г., заархивировано из оригинала 18 января 2017 г. , получено 17 января 2017 г.
  16. ^ Jump up to: а б с д Боуден, Марк (29 июня 2019 г.). «Червь, который чуть не съел Интернет» . Нью-Йорк Таймс . Архивировано из оригинала 30 июня 2019 года . Проверено 30 июня 2019 г.
  17. ^ Григонис, Ричард (13 февраля 2009 г.), Вознаграждение Microsoft в размере 5 миллионов долларов США для создателей червей Conficker , IP Communications, заархивировано из оригинала 16 февраля 2009 г. , получено 1 апреля 2009 г.
  18. ^ Филлипс, Джошуа, Центр защиты от вредоносных программ — запись: Worm:Win32/Conficker.A , Microsoft , заархивировано из оригинала 18 июня 2009 г. , получено 1 апреля 2009 г.
  19. ^ Леффалл, Джабулани (15 января 2009 г.). «Червь Conficker все еще сеет хаос в системах Windows» . Правительственные компьютерные новости. Архивировано из оригинала 20 февраля 2009 года . Проверено 29 марта 2009 г.
  20. ^ Бюллетень Microsoft по безопасности MS08-067 — критично; Уязвимость в службе сервера может сделать возможным удаленное выполнение кода (958644) , Microsoft Corporation, заархивировано из оригинала 9 апреля 2010 г. , получено 15 апреля 2009 г.
  21. ^ Лейден, Джон (19 января 2009 г.), Три из 10 компьютеров с Windows все еще уязвимы для эксплойта Conficker , The Register, заархивировано из оригинала 1 апреля 2009 г. , получено 20 января 2009 г.
  22. ^ Jump up to: а б с д Нахорни, Бен; Парк, Джон (13 марта 2009 г.), «Распространение посредством автозапуска» (PDF) , The Downadup Codex , Symantec , стр. 32, заархивировано (PDF) из оригинала 24 сентября 2015 г. , получено 1 апреля 2009 г.
  23. ^ Уилшер, Ким (7 февраля 2009 г.), французские истребители остановлены компьютерным червем , Лондон: The Daily Telegraph, заархивировано из оригинала 10 марта 2009 г. , получено 1 апреля 2009 г.
  24. ^ Уильямс, Крис (20 января 2009 г.), сети Министерства обороны по-прежнему заражены вредоносным ПО спустя две недели , The Register , заархивировано из оригинала 2 апреля 2009 г. , получено 20 января 2009 г.
  25. ^ Уильямс, Крис (20 января 2009 г.), Conficker захватывает сеть городских больниц , The Register, заархивировано из оригинала 2 апреля 2009 г. , получено 20 января 2009 г.
  26. ^ Червь Conficker заражает сотни компьютеров Бундесвера (на немецком языке), PC Professionell, 16 февраля 2009 г., архивировано из оригинала 21 марта 2009 г. , получено 1 апреля 2009 г.
  27. ^ Лейден, Джон (1 июля 2009 г.). «Conficker покинул Манчестер, не имея возможности выдавать штрафы за нарушение правил дорожного движения» . Регистр . Архивировано из оригинала 10 августа 2017 года . Проверено 10 августа 2017 г.
  28. ^ Лейден, Джон (27 марта 2009 г.), Утечка в записке говорит, что Conficker pwns Parliament , The Register, заархивировано из оригинала 17 декабря 2021 г. , получено 29 марта 2009 г.
  29. ^ «Вирус Conficker поразил компьютеры полиции Манчестера» . Новости Би-би-си . 2 февраля 2010 г. Архивировано из оригинала 17 декабря 2021 г. Проверено 2 февраля 2010 г.
  30. ^ Нахорни, Бен; Парк, Джон (13 марта 2009 г.), «Распространение посредством автозапуска» (PDF) , The Downadup Codex , Symantec , стр. 2, заархивировано (PDF) из оригинала 24 сентября 2015 г. , получено 1 апреля 2009 г.
  31. ^ Jump up to: а б Маркофф, Джон (19 марта 2009 г.), «Компьютерные эксперты объединяются, чтобы охотиться на червя» , The New York Times , заархивировано из оригинала 4 декабря 2016 г. , получено 29 марта 2009 г.
  32. ^ Jump up to: а б с д и ж г час я Филипп Поррас ; Хассен Саиди; Винод Йегнесваран (19 марта 2009 г.), An Analysis of Conficker , SRI International, заархивировано из оригинала 14 февраля 2009 г. , получено 29 марта 2009 г.
  33. ^ Jump up to: а б Тиу, Винсент (27 марта 2009 г.), Центр защиты от вредоносных программ Microsoft: Информация о Worm:Win32/Conficker.D , Microsoft , заархивировано из оригинала 31 марта 2009 г. , получено 30 марта 2009 г.
  34. ^ Макалинталь, Иван; Чепе, Джозеф; Фергюсон, Пол (7 апреля 2009 г.), DOWNAD/Conficker Watch: Новый вариант в миксе? , Trend Micro , заархивировано из оригинала 31 января 2010 г. , получено 7 апреля 2009 г.
  35. ^ Jump up to: а б с д Парк, Джон (27 марта 2009 г.), W32.Downadup.C Генерация псевдослучайных доменных имен , Symantec , заархивировано из оригинала 16 марта 2018 г. , получено 1 апреля 2009 г.
  36. ^ Jump up to: а б с д Нахорни, Бен (21 апреля 2009 г.). «Соединяя точки: варианты Downadup/Conficker» . Симантек . Архивировано из оригинала 14 декабря 2009 года . Проверено 25 апреля 2009 г.
  37. ^ Jump up to: а б Чиен, Эрик (18 февраля 2009 г.), Downadup: Locking Itself Out , Symantec , заархивировано из оригинала 17 декабря 2012 г. , получено 3 апреля 2009 г.
  38. ^ Jump up to: а б с Чиен, Эрик (19 января 2009 г.), Downadup: Peer-to-Peer Payload Distribution , Symantec , заархивировано из оригинала 17 декабря 2012 г. , получено 1 апреля 2009 г.
  39. ^ Jump up to: а б с д и Ледер, Феликс; Вернер, Тиллманн (7 апреля 2009 г.), Know Your Enemy: Containing Conficker (PDF) , HoneyNet Project, заархивировано из оригинала (PDF) 12 июня 2010 г. , получено 13 апреля 2009 г.
  40. ^ Jump up to: а б с W32.Downadup.C Bolsters P2P , Symantec , 20 марта 2009 г., заархивировано из оригинала 17 декабря 2012 г. , получено 1 апреля 2009 г.
  41. ^ Jump up to: а б с Люнг, Ка Чун; Кирнан, Шон (6 апреля 2009 г.), W32.Downadup.C Технические подробности , заархивировано из оригинала 2 апреля 2009 г. , получено 10 апреля 2009 г.
  42. ^ Jump up to: а б с д и ж Поррас, Филипп; Саиди, Хассен; Йегнесваран, Винод (19 марта 2009 г.), Анализ Conficker C (проект) , SRI International, заархивировано из оригинала 14 февраля 2009 г. , получено 29 марта 2009 г.
  43. ^ Jump up to: а б Фицджеральд, Патрик (9 апреля 2009 г.), W32.Downadup.E — Back to Basics , Symantec , заархивировано из оригинала 17 декабря 2012 г. , получено 10 апреля 2009 г.
  44. ^ Патнэм, Аарон, Вирусная энциклопедия: Worm:Win32/Conficker.E , Microsoft , заархивировано из оригинала 18 ноября 2016 г. , получено 15 февраля 2015 г.
  45. ^ Нахорни, Бен; Парк, Джон (21 апреля 2009 г.), «Соединяя точки: варианты Downadup/Conficker» (PDF) , The Downadup Codex (изд. 2.0), Symantec , стр. 47, заархивировано (PDF) из оригинала 12 марта 2014 г. , получено 19 июня 2009 г.
  46. ^ Jump up to: а б Кейзер, Грегг (9 апреля 2009 г.), Conficker зарабатывает, устанавливает спам-боты и программы-пугающие , Computerworld , заархивировано из оригинала 17 апреля 2009 г. , получено 10 апреля 2009 г.
  47. ^ Люнг, Качун; Лю, Яна; Кирнан, Шон (10 апреля 2009 г.), W32.Downadup.E Технические подробности , Symantec , заархивировано из оригинала 16 апреля 2009 г. , получено 10 апреля 2009 г.
  48. ^ Cve-2008-4250 , Общие уязвимости и уязвимости , Министерство внутренней безопасности , 4 июня 2008 г., заархивировано из оригинала 13 января 2013 г. , получено 29 марта 2009 г.
  49. ^ «Пароли, используемые червем Conficker» . Софос. Архивировано из оригинала 21 января 2009 года . Проверено 16 января 2009 г.
  50. ^ Робертсон, Эндрю (12 февраля 2009 г.), Microsoft сотрудничает с промышленностью, чтобы разрушить червь Conficker , ICANN , заархивировано из оригинала 19 марта 2009 г. , получено 1 апреля 2009 г.
  51. ^ Ледер, Феликс; Вернер, Тиллманн (2 апреля 2009 г.), Containing Conficker , Институт компьютерных наук Боннского университета , заархивировано из оригинала 3 апреля 2009 г. , получено 3 апреля 2009 г.
  52. ^ Win32/Conficker.C , Калифорния , 11 марта 2009 г., заархивировано из оригинала 29 марта 2009 г. , получено 29 марта 2009 г.
  53. ^ Центр защиты от вредоносных программ — запись: Worm:Win32/Conficker.D , Microsoft, заархивировано из оригинала 2 июня 2009 г. , получено 30 марта 2009 г.
  54. ^ Jump up to: а б Кребс, Брайан (10 апреля 2009 г.), «Conficker Worm Awakens, Downloads Rogue Antivirus Software» , The Washington Post , заархивировано из оригинала 15 мая 2011 г. , получено 25 апреля 2009 г.
  55. ^ О'Мурчу, Лиам (23 декабря 2008 г.), W32.Waledac Технические подробности , Symantec , заархивировано из оригинала 22 апреля 2009 г. , получено 10 апреля 2009 г.
  56. ^ Хиггинс, Келли Джексон (14 января 2009 г.), Storm Botnet Makes A Comeback , DarkReading, заархивировано из оригинала 4 февраля 2009 г. , получено 11 апреля 2009 г.
  57. ^ Куган, Питер (23 января 2009 г.), Валедак. Угадайте, какой из них вам подходит? , Symantec , заархивировано из оригинала 17 декабря 2012 г. , получено 11 апреля 2009 г.
  58. ^ Гостев, Алекс (9 апреля 2009 г.), Бесконечная история , Лаборатория Касперского , заархивировано из оригинала 5 февраля 2010 г. , получено 13 апреля 2009 г.
  59. ^ «Вирусное предупреждение о черве Win32/Conficker.B» . Майкрософт. 15 января 2009 года. Архивировано из оригинала 22 января 2009 года . Проверено 22 января 2009 г.
  60. ^ «Вирусная энциклопедия: Червь:Win32/Conficker.B» . Майкрософт . Архивировано из оригинала 18 мая 2017 года . Проверено 3 августа 2009 г.
  61. ^ О'Доннелл, Адам (12 февраля 2009 г.), Microsoft объявляет об отраслевом альянсе и награде в размере 250 тысяч долларов за борьбу с Conficker , ZDNet, заархивировано из оригинала 19 марта 2009 г. , получено 1 апреля 2009 г.
  62. ^ Microsoft сотрудничает с промышленностью, чтобы разрушить червь Conficker (Microsoft предлагает вознаграждение в размере 250 000 долларов США за арест и осуждение Conficker). , Microsoft , 12 февраля 2009 г., заархивировано из оригинала 15 февраля 2009 г. , получено 22 сентября 2009 г.
  63. ^ NIC Чили участвует в глобальных усилиях по борьбе с червем Conficker (на испанском языке), NIC Чили, 31 марта 2009 г., архивировано из оригинала 8 апреля 2009 г. , получено 31 марта 2009 г.
  64. ^ CIRA работает с международными партнерами над противодействием Conficker C , CIRA , 24 марта 2009 г., заархивировано из оригинала 29 апреля 2009 г. , получено 31 марта 2009 г.
  65. ^ NIC-Panama участвует в глобальных усилиях по борьбе с червем Conficker. (на испанском языке), NIC-Panama, 27 марта 2009 г., заархивировано из оригинала 27 июля 2011 г. , получено 27 марта 2009 г.
  66. ^ Д'Алессандро, Марко (30 марта 2009 г.), SWITCH принимает меры по защите от компьютерного червя Conficker , SWITCH , заархивировано из оригинала 2 апреля 2009 г. , получено 1 апреля 2009 г.
  67. ^ Бартосевич, Анджей (31 марта 2009 г.), Как работает Conficker? (на польском языке), Webhosting.pl, заархивировано из оригинала 25 июля 2011 г. , получено 31 марта 2009 г.
  68. ^ Манискальчи, Джаго (7 июня 2009 г.), Conficker.A DNS Rendezvous Analysis , Digital Threat, заархивировано из оригинала 16 августа 2009 г. , получено 26 июня 2009 г.
  69. ^ Грин, Тим (31 июля 2009 г.), разговор Conficker очищен в Black Hat для защиты расследования , Network World , заархивировано из оригинала 27 января 2010 г. , получено 28 декабря 2009 г.
  70. ^ Средство удаления вредоносных программ , Microsoft , 11 января 2005 г., заархивировано из оригинала 7 ноября 2012 г. , получено 29 марта 2009 г.
  71. ^ Защитите себя от компьютерного червя Conficker , Microsoft , 27 марта 2009 г., заархивировано из оригинала 3 апреля 2009 г. , получено 30 марта 2009 г.
  72. ^ Боуз, Рон (21 апреля 2009 г.), Сканирование одноранговой сети Conficker , SkullSecurity, заархивировано из оригинала 24 апреля 2009 г. , получено 25 апреля 2009 г.
  73. ^ W32.Downadup P2P Scanner Script для Nmap , Symantec , 22 апреля 2009 г., заархивировано из оригинала 17 декабря 2012 г. , получено 25 апреля 2009 г.
  74. ^ Боуз, Рональд (30 марта 2009 г.), Сканирование Conficker с помощью Nmap , SkullSecurity, заархивировано из оригинала 2 апреля 2009 г. , получено 31 марта 2009 г.
  75. ^ Асадурян, Пол (1 апреля 2009 г.), выпущен обновленный плагин обнаружения Conficker , Tenable Security, заархивировано из оригинала 26 сентября 2010 г. , получено 2 апреля 2009 г.
  76. ^ «Как отключить функцию автозапуска в Windows» . Майкрософт . 27 марта 2009 г. Архивировано из оригинала 3 марта 2015 г. Проверено 15 апреля 2009 г.
  77. ^ Предупреждение о технической кибербезопасности TA09-020A: Microsoft Windows не отключает автозапуск должным образом , US-CERT , 29 января 2009 г., заархивировано из оригинала 24 февраля 2009 г. , получено 16 февраля 2009 г.
  78. ^ DHS выпускает средство обнаружения компьютерных червей Conficker/Downadup , Министерство внутренней безопасности , 30 марта 2009 г., архивировано из оригинала 5 августа 2012 г. , получено 1 апреля 2009 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Conficker&oldid=1232783474"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: fd3146ced98bd925bbc6c9d6844eab4f__1720183260
URL1:https://arc.ask3.ru/arc/aa/fd/4f/fd3146ced98bd925bbc6c9d6844eab4f.html
Заголовок, (Title) документа по адресу, URL1:
Conficker - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)