Conficker znany także jako Downup, Downadup lub Kido – jeden z groźniejszych ze znanych dotychczas robaków komputerowych. Pojawił się w sieci w październiku 2008 roku. Atakuje systemy operacyjne z rodziny Microsoft Windows. Robak wykorzystuje znane luki w zabezpieczeniach platformy systemowej Windows Server oraz różne usługi składowe wykorzystywane przez systemy Windows 2000, Windows XP, Windows Vista, Windows Server 2003 i Windows Server 2008. Systemy Linux i Macintosh są całkowicie odporne. Do lutego 2009 r. stwierdzono infekcje tylko w produktach firmy Microsoft.
W lutym 2009 r. firma Arbor Networks zajmująca się monitoringiem aktywności wirusów w sieci ujawniła, że wirus Conficker mógł dotychczas zaatakować ok. 12 milionów komputerów na całym świecie.
Dnia 13 lutego 2009 roku firma Microsoft wyznaczyła po 250 tys. dolarów nagrody dla każdego, kto jest w stanie udzielić informacji mogących pomóc w ujęciu twórcy wirusa
Nazwa wirusa "Conficker" to gra słów, która w tłumaczeniu oznacza, że "program manipuluje konfiguracją komputera".
Robak Conficker rozprzestrzenia się głównie poprzez lukę w Windows Server Service (MS08-067), błąd programistyczny tzw. przepełnienie bufora. Robak wykorzystuje specjalnie spreparowane żądania RPC wykonania kodu na komputerze docelowym.
Po zainfekowaniu komputera Conficker wyłącza szereg usług systemowych, takich jak:
* aktualizacje automatyczne Windows
* centrum zabezpieczeń systemu Windows
* Windows Defender – ochrona przed spyware
* usługa raportowania błędów Windows
Następnie łączy się z serwerem, gdzie otrzymuje kolejne rozkazy i wytyczne np.: aby gromadzić dane osobowe, oraz pobierać i instalować dodatkowe złośliwe oprogramowanie na komputerze ofiary. Robak "podczepia się" również pod niektóre procesy systemowe, takie jak: svchost.exe, explorer.exe i services.exe.
Jedna z modyfikacji robaka Conficker stworzy serwer HTTP i otwiera losowy port z zakresu 1024-10000. Jeżeli zarażony komputer wykonuje polecenia wirusa, następuje nawiązanie połączenia zwrotnego z serwerem HTTP oraz pobranie aktualnej (nowej, zmodyfikowanej) kopii robaka. Dodatkowym działaniem wirusa jest kasowanie punktów przywracania systemu i wysłanie zebranych informacji do komputera docelowego (atakującego). Wirus korzysta z różnych adresów IP co uniemożliwia jego zablokowanie.
Nie możesz pisać nowych tematów Nie możesz odpowiadać w tematach Nie możesz zmieniać swoich postów Nie możesz usuwać swoich postów Nie możesz głosować w ankietach Nie możesz załączać plików na tym forum Nie możesz ściągać załączników na tym forum
