![[hide]](javascript:icntoggle('mod-mnu_application_menu','mo.png');)
Virus Conflicker, poznat još i kao Downadup i Kido, pojavio se u oktobru 2008, a već je zarazio preko devet miliona računara brzinom koja do sada nije zabeležena – u poslednja četiri dana zarazio je preko šest miliona računara. Stručnjaci upozoravaju da hakeri tek treba da aktiviraju tovar koji je doneo sa sobom.
Virus se širi kroz slabo obezbeđene kompanijske mreže, personalne računare na kojima nije instalirana najnovija antivirusna zakrpa i USB memorije. Za to koristi slabost Windows Server Servicea i nekoliko mehanizama napada i samozaštite među kojima su pogađanje mrežnih lozinki i skrivanje u šumi nasumično generisanih imena datoteka i veb lokacija.
Zaraženi računar skenira mrežu u potrazi za drugim računarima i pokušava da im pristupi služeći se propustom u sistemu bezbednosti Windowsa. Ako mu za to zatreba lozinka, u slučaju da je kratka otkriće je metodom sirove sile – čistim pogađanjem, a tamo gde ne uspe aktiviraće automatsko zaključavanje koje služi kao zaštita u slučajevima kad korisnik previše puta unese pogrešnu lozinku. Zbog toga je jedan od problema koje prouzrokuje mrežnim korisnicima taj što im zaključava nalog za pristup.
Kad ovaj zlonamerni softver uđe u mrežu veoma ga je teško ukloniti, jer se veoma agresivno štiti tako što se restartuje u ranoj fazi podizanja sistema i menja prava pristupa datotekama i ključevima pod kojima je zaveden u registru, pa ih korisnici ne mogu ni ukloniti, ni promeniti. Pored toga onemogućava i restauriranje sistema u stanje pre infekcije.
Kad uđe u sistem virus brzo evoluira, jer preuzima modifikovane verzije samog sebe sa veb lokacije skrivene u dugom spisku lokacija čija imena generiše poseban algoritam služeći se uz to i podacima o datumu i vremenu. Pošto se na ovaj način pravi na stotine različitih imena domena, kompanijama specijalizovanim za bezbednost je izuzetno teško da lociraju onaj pravi i ugase ga na vreme.
Mada se čini kao da je njegovo širenje dostiglo plafon, postoje strahovi da bi neko lako mogao da preuzme kontrolu nad nekim, ili čak svim zaraženim računarima kojih trenutno ima preko devet miliona.
Glavni istraživač kompanije F-Secure, Miko Hiponen, smatra da su korisnici još uvek izloženi velikom riziku. „Ukupan broj zaraženih računara izgleda da je dostigao vrh. Teško je reći koliko je to računara, jer se ne zna koliko mašina je u međuvremenu očišćeno, ali procenjujemo da ih je sigurno više od devet miliona širom sveta. Zastrašujuća je i sama pomisao koliku kontrolu bi hakeri mogli da imaju nad svim tim računarima, jer bi imali pristup s punim administratorskim pravima. To se još nije desilo jer se možda plaše, i to je dobra vest, ali postoji i scenario po kome bi neko drugi mogao da sazna kako da aktivira virus. To je već zabrinjavajuća mogućnost.“
Stručnjaci kažu da korisnici treba da ažuriraju svoj antivirusni softver i instaliraju Microsoftovu zakrpu MS08-067 poznatu i kao KB958644.
Grejam Kluli, viši konsultant u antivirusnoj kompaniji Sophos, rekao je da epidemija takvih razmera nije viđena već neko vreme. „Microsoft je uradio dobar posao time što je ažurirao softver korisnika kućnih računara, ali virus nastavlja da inficira poslovne računare u kompanijama koje su ignorisale savet da ažuriraju svoj softver. Tome je verovatno doprineo manjak IT stručnjaka zbog prethodnih praznika, a i činjenica da instaliranje zakrpe na velikom broju računara nije baš lako. S druge strane, ukoliko korisnici upotrebljavaju slabe lozinke – 12345, QWERTY i sl. – virus ih brzo provali.“
Prema Microsoftu, virus radi tako što u Windowsu traži izvršnu datoteku „services.exe“ i kad je nađe ubaci se u nju i postane deo njenog koda.
Potom se prekopira u sistemski direktorijum Windowsa kao datoteka s nasumično izabranim imenom od pet do osam znakova i s nastavkom „dll“, na primer piftoc.dll, a zatim promeni bazu Registry, u kojoj su spiskovi ključnih parametara Windowsa, da bi, kad se računar restartuje, izvršavao zaraženu dll datoteku kao da je standardni servis.
Virus potom pravi HTTP server i resetuje tačku za restauraciju sistema (čime dodatno otežava oporavljanje sistema), a zatim skida datoteke sa hakerove veb lokacije. Većina zlonamernog softvera koristi manji broj lokacija sa kojih preuzima datoteke, tako da se one lako mogu naći i ugasiti. Međutim, Conficker to radi drugačije.
Antivirusna kompanija F-Secure kaže da virus koristi složen algoritam da generiše na stotine različitih imena domena svakog dana, kao recimo mphtfrxs.net, imctaef.cc i hcweu.org. Samo jedan od njih će zapravo biti onaj sa koga uzima hakerske datoteke. Imajući to u vidu nalaženje tog domena je gotovo nemoguće.
Specijalista iz Kaspersky Labsa, Edi Vilems, rekao je da novi soj ovog virusa dosta zakomplikovao stvari.
„Većinu problema pravi nova varijanta koja se pojavila pre dve nedelje“, rekao je on. „Metodi razmnožavanja su joj veoma dobri. Koristi nekoliko različitih mehanizama, uključujući USB memorije, tako da ako se neko zarazi u jednoj kompaniji, a potom sa svojom USB memorijom ode u drugu, zaraziće i njenu mrežu. Pored toga, virus prevlači s interneta mnogo sadržaja i pomoću tog mehanizma stvara nove varijante. Naravno, pravi problem je to što ljudi nisu zakrpili svoj softver.“
Antivirusne kompanije upozoravaju rukovodioce mreža da provere jesu li instalirali najnovije Microsoftove zakrpe i da li im je antivirusni softver ažuran, da isključe Autorun i Autoplay za USB memorije, da utvrde jesu li lozinke korisnika jake i da posebno povedu računa o lozinkama administratora domena.
Dezinfekcija virusa je veoma složena i zahteva isključivanje delova mreže. Zato kompanije koje su se našle na udaru ovog virusa treba da ograniče korišćenje USB memorija i blokiraju nepotreban saobraćaj na mrežnom zaštitnom zidu.
Microsoft je objavio da je virus inficirao računare u raznim delovima sveta, a najviše u Kini, Brazilu, Rusiji i Indiji.
Izvor
