Проанализировав код, эксперты пришли к выводу, что в ближайшую среду начнет действовать очередной компьютерный червь, пишет Алессио Бальби в газете La Repubblica. Эксперты по безопасности и пользователи интернета встревожены: в среду могут неожиданно начать действовать компьютеры, зараженные компьютерным червем Conficker. Речь идет о 9-15 млн ПК. Зараженные компьютеры не проявляют явных признаков инфекции, но становятся оружием в руках агрессоров, которые могут использовать их для незаконной деятельности. "Не думаю, что авторы Conficker хотят создать какие-то серьезные коммуникационные проблемы в интернете, это было бы абсурдом с экономической точки зрения", - говорит Ричард Ванг из фирмы по обеспечению компьютерной безопасности Sophos. Такого же мнения придерживаются большинство экспертов.
Если раньше хакеры осуществляли громкие акции, то теперь хакерство превратилось в миллионный бизнес, и сами хакеры предпочитают оставаться в тени. Создатели Conficker получат возможность распространять спам, осуществлять кибератаки, красть данные. "После 1 апреля, - полагает эксперт Symantec Антонио Форциери, - инфицированные компьютеры не смогут скачивать обновления систем защиты, и в руках у создателей червя окажется еще более мощное оружие". Иными словами, если Интернет и продолжит функционировать, что в его чреве будет содержаться все более страшная угроза.
По словам Антонио Форциери, чтобы защититься от этих угроз, следует скачать на cвой компьютер последние обновления программ безопасности.
http://inopressa.ru/article/30Mar2009/r ... ca/pc.htmlВопросы и ответы: Conficker и 1 апреля
Сейчас в интернете бродит много слухов про то, что якобы первого апреля случится что-то страшное. Conficker (Downadup, Kido) начнет использовать новый алгоритм определения доменов для рассылки обновлений, поэтому многие придумывают всякие небылицы, вплоть до “конца интернета”. Некоторые товарищи даже советую не выходить в интернет 1-ого апреля.
Вчера наши парни опубликовали FAQ про это в блоге F-Secure, а я тут привожу его перевод. Прочитайте, чтобы не поддаваться панике и знать, что именно произойдет 1-ого апреля.Q: Я слышал, что что-то очень-очень плохое случится с интернетом 1 апреля. Так это?A: Нет, не совсем.
Q: Серьезно, червь Conficker начнет делать что-то плохое 1-ого апреля, так?A: Conficker aka Downadup немного изменит свой алгоритм работы, но это врядли приведет к каким-то видимым изменениям 1-ого апреля.
Q: Так что случится-то 1-ого апреля?A: Сейчас Conficker генерирует 250 разных доменных имен каждый день и пытается скачать с них программу апдейта и запустить ее. 1 апреля новейшая версия Conficker-а начнет выбирать уже 500 из 50,000 доменов каждый день для той же цели - скачивания и запуска файлов.
Q: Последняя версия? Есть несколько разных версий чтоли?A: Да, и последняя версия сейчас не самая распространенная. Большинство зараженных компьютеров сейчас заражены вариантом B, который начал распространяться в Январе. И в поведении этого варианта B ничего не изменится.
Q: Я только что проверил, что моя Windows машина не заражена. Что-нибудь случится с моим компьютером 1-ого апреля?A: Нет!
Q: У меня Mac, что-нибудь случится с моим компьютером?A: Нет!
Q: Итак, это значит, что хакеры смогут использовать этот новый канал для скачивания и запуска любой программы на всех машинах?A: Да, на всех машинах, которые инфицированы последней версией червя.
Q: Но что такое эта peer-to-peer функциональность для скачивания, про которую я слышал?A: Червяк имеет peer-to-peer функциональность, что значит, что инфицированные компьютеры могут общаться друг с другом без надобности в сервере. Это позволяет червю апдейтить самого себя даже без регистрации одного из 250 или 50,000 доменов.
Q: Но не значит ли это, что если бы “плохие парни” хотели запустить что-то на зараженных машинах, им не надо было бы ждать до 1-ого апреля?A: Да! И это еще одна причина, почему маловероятно, что что-то плохое случится именно 1-ого апреля.
Q: Будет ли поднят серьезный хайп в СМИ?A: О, да! Как всегда, когда у какого-то широко распространенного червя есть тригерная дата. Вспомните случаи с Michelangelo (1992), CIH (1999), Sobig (2003), Mydoom (2004) и Blackworm (2006).
Q: Но ведь в тех случаях ничего особого и не случилось, несмотря на то, что все ожидали, что что-то случится!A: Именно!
Q: Итак, должен ли я отключить и не включать мой компьютер 1 апреля?A: Нет. Но вы должны провериться и быть уверенным, что ваш компьютер не заражен.
Q: Могу ли я просто сменить дату на своем компьютере и тем самым защитить себя?A: Нет, конечно. Червь использует локальное время для нескольких своих функций, но он не полагается ТОЛЬКО на время на вашем компьютере.
Q: Я смущен. Как вы можете быть уверены заранее, что 1-ого апреля не будет глобальной вирусной атаки? Должно быть вы что-то скрываете!A: Да, вы смущены. Не будет никакой “глобальной вирусной атаки”. Машины, что УЖЕ инфицированы, могут начать делать что-то новое 1 апреля. Мы знаем это, потому что мы изучили код червя и можем видеть, что это именно то, на что он запрограммирован.
Q: Будет ли скаченная червем программа запущена с администраторскими привилегиями?A: Да, с правами локального администратора. Что очень плохо!
Q: И этот червь может скачать апдейт не только 1-ого апреля, но и в любой день после этого?A: Точно. Так что нет никакой причины, почему они не смогут это сделать, скажем, 5 апреля, а не 1-ого.
Q: ОК, они могут запустить программу на зараженном компьютере. Но зачем? Что будет делать эта программа?A: Мы не знаем что они планируют делать, если вообще что-то планируют. Конечно, они могут украсть ваши данные, посылать с вашего компьютера спам, делать DDOS атаки на другие компьютеры и сервера и так далее. Но мы не знаем что именно они собираются делать дальше.
Q: Они? Кто они? Кто сделал этого червя?A: И этого мы тоже не знаем. Но они выглядят очень профессионально судя по тому, что они делают.
Q: Профессионально? Это правда, что Conficker использует MD6 hash algorithm?A: Да. Это, вероятно, первая программа, которая использует этот новый алгоритм!
Q: Почему вы сами не можете заразить свой компьютер, установить часы на 1-ое апреля и проверить, что случится?A: Потому что оно так не сработает. Червь коннектится на некоторые вебсайты, чтобы узнать сегодняшнее число и время.
Q: Правда? Тогда выключите эти сайты и проблема исчезнет!A: Не можем. Это сайты типа google.com, yahoo.com и facebook.com.
Q: Нет, серьезно, вы же можете поднять у себя в лаборатории свой google.com, установить на нем 1 апреля и проверить всё!A: Можем. Но
сайты, с которых червь попытается что-то скачать 1-ого апреля не имеют ничего сейчас! Они могут иметь что-то 1-ого апреля. А могут и не иметь.Q: Теперь я взволнован. Как я узнаю, что я заражен?A: Попробуйте зайти на
http://www.f-secure.com. Если вы не можете зайти на наш сайт, то вы вероятно заражены, т.к. Downadup/Conficker блокирует доступ к сайтам антивирусных компаний. Никому не говорите, но те, кто не могут зайти на f-secure.com из-за вируса, могут зайти на спец. зеркало
http://www.fsecure.com.
Q: Откуда пришло название “Conficker”?A: Conficker - это своего рода анаграмма из слова trafficconverter – сайта, на который коннектился первый вариант червя.
Q: Почему у червя несколько имен – Downadup, Conficker, Kido?A: Вирус был найдет примерно в одно и то же время несколькими антивирусными компаниями и в каждой из них его назвали своим именем. Сейчас большинство компаний используют имя Conficker. Но и сейчас продолжается неразбериха с названием новых модификаций между компаниями.Мы все сожалеем об этом.
Q: Как много компьютеров сейчас инфицировано червем Downadup/Conficker?
A: Около 1-2 миллионов. Сколько из них заражено последней версией? Мы не знаем точной цифры.
Q: Как антивирусная индустрия реагирует на все это?A: Мы отреагировали, создав Conficker Working Group. Группа включает в себя представителей компаний-производителей антивирусов (включая нас), регистраторов, исследователей и т.д.
Q: Я хочу знать больше технических деталей про червя.A: Конечно. Здесь наше описание (англ), и здесь есть отличное описание (eng). А тут есть моё описание на русском.
Q: Когда был обнаружен первый вариант Downadup/Conficker?A: Он был найден 20 ноября 2008.
Q: Больше, чем 4 месяца назад? Я хочу увидеть таймлайн того, что произошло за эти 4 месяца.A: Byron Acohido написал об этом.
Q: Антивирус от F-Secure может обнаружить и вылечить от этого червя?A: Конечно.
Q: Есть ли у вас специальная программа для лечения червя??A: Да и она бесплатная. Скачайте её отсюда .
Q: Вы собираетесь продолжать следить за этим дальше?A: Да. Оставайтесь с нами и ждите новой информации.
http://bishop-it.ru/?p=390Логично было бы, если б 01.04 Conficker самоликвидировался. Победителям надо красиво уходить.... http://bishop3000.livejournal.com/12509 ... ad=2778277
