Usu艅 Confickera ze swojego domowego komputera

Piotr Kupczyk
Dyrektor dzia艂u prasowego, Kaspersky Lab Polska

Na pocz膮tku kwietnia ca艂y 艣wiat komputerowy wstrzyma艂 oddech. Nowy robak o nazwie Conficker (znany tak偶e jako Kido) szykowa艂 si臋 do ataku na ogromn膮 skal臋. Ostatecznie, nic takiego nie mia艂o miejsca. Jednak robak czai si臋 na milionach komputer贸w, czekaj膮c, a偶 otrzyma komend臋 wykonania si臋.

Conficker? O co to ca艂e zamieszanie? Je偶eli masz wra偶enie, 偶e ostatnio bardzo cz臋sto s艂ysza艂e艣 t臋 nazw臋, masz racj臋. Od marca do kwietnia doniesienia o niebezpiecznym nowym robaku komputerowym zdominowa艂y magazyny bran偶owe, gazety, a nawet programy telewizyjne. Conficker zainfekowa艂 wcze艣niej miliony komputer贸w PC i mia艂 si臋 uaktywni膰 jednocze艣nie na wszystkich zara偶onych maszynach. Co dok艂adnie mia艂o si臋 wydarzy膰, nie wiedzieli nawet eksperci. Ostatecznie nie wydarzy艂o si臋 nic, chocia偶 - co mog艂o by膰 powodem wstrzymania masowej aktywacji - aktywno艣膰 tego szkodnika i jego tw贸rc贸w znajdowa艂a si臋 pod 艣cis艂膮 obserwacj膮.

艢wiat komputerowy wr贸ci艂 na zwyk艂e tory, a Conficker znikn膮艂 z medi贸w, a tym samym ze 艣wiadomo艣ci u偶ytkownik贸w. Myl膮 si臋 jednak ci, kt贸rzy uwa偶aj膮, 偶e crimeware to tylko wielki szum medialny. Analitycy zagro偶e艅 z Conficker Working Group nadal odnotowuj膮 ogromn膮 odwiedzalno艣膰 podejrzanych domen (http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionTracking), kt贸re mog膮 by膰 wykorzystywane przez robaka w celu 艂adowania destrukcyjnych program贸w. Trudno oszacowa膰 dok艂adn膮 liczb臋 komputer贸w PC, kt贸re nadal s膮 zainfekowane tym szkodnikiem. Na ca艂ym 艣wiecie najprawdopodobniej s膮 ich miliony. Miliony system贸w, kt贸re mog膮 za艂adowa膰 i uruchomi膰 dowolnego szkodnika z Internetu, nie wzbudzaj膮c naszych podejrze艅.

Poznaj swojego wroga

Sam Conficker charakteryzuje si臋 stosunkowo nieszkodliwym dzia艂aniem. Jego celem jest w g艂贸wnej mierze przygotowanie gruntu pod dalsze ataki szkodliwego oprogramowania. To w艂a艣nie one stanowi膮 rzeczywisty problem: gdy komputer PC zostanie zainfekowany, robak (przynajmniej w swoich nowszych wersjach) uniemo偶liwi dost臋p do ponad 100 portali bezpiecze艅stwa i antywirusowych, jak r贸wnie偶 do witryny Microsoft.com. Zablokowane zostan膮 r贸wnie偶 takie us艂ugi systemu Windows jak aktualizacja, Centrum Zabezpiecze艅 czy Windows Defender. Jednak ta niezbyt przyjemna cenzura daje Ci mo偶liwo艣膰 szybkiego ustalenia, czy Tw贸j komputer nale偶y do ogromnej rzeszy zainfekowanych.

W celu szybkiego sprawdzenia, czy pad艂e艣 ofiar膮 Confickera mo偶esz tak偶e odwiedzi膰 stron臋 http://www.confickerworkinggroup.org/wiki/pmwiki.php/Main/HomePage. Je偶eli przegl膮darka nie wy艣wietli wszystkich logotyp贸w dostawc贸w rozwi膮za艅 bezpiecze艅stwa, oznacza to, 偶e Tw贸j komputer zosta艂 zainfekowany.

Kolejny test pozwalaj膮cy jednoznacznie stwierdzi膰, czy komputer zosta艂 zainfekowany, znajduje si臋 na stronie http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/.

Tym, co stanowi rzeczywiste niebezpiecze艅stwo, jest potencja艂 Confickera. Robak ten pr贸buje 艂adowa膰 kolejne szkodniki. Ich rodzaj zale偶y od tw贸rc贸w tego robaka. W mi臋dzyczasie u偶ytkownicy mogli pobra膰 lub kupi膰 crimeware pod postaci膮 skaner贸w wirus贸w lub narz臋dzi do usuwania robak贸w.

Cyberprzest臋pcy mog膮 wykorzystywa膰 zainfekowane maszyny do r贸偶nych cel贸w: zbudowa膰 z nich ogromn膮, zdalnie kontrolowan膮 sie膰 zombie s艂u偶膮c膮 do przeprowadzania atak贸w na strony internetowe, wysy艂a膰 miliardy wiadomo艣ci spamowych lub zebra膰 miliony hase艂 i danych dotycz膮cych kont - mo偶liwo艣ci wydaj膮 si臋 niewyczerpane.

Odrobaczanie systemu Windows

Conficker, znany r贸wnie偶 jako Downup, Downandup oraz Kido, po raz pierwszy pojawi艂 si臋 pod koniec listopada 2008 roku. Jego dzia艂anie - podobnie jak wielu innych robak贸w - opiera艂o si臋 na wykorzystaniu luki w zabezpieczeniach systemu Microsoft Windows, kt贸ra dotyczy艂a prawie wszystkich wersji tego systemu operacyjnego: Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008 a nawet Windows 7 Beta. Jednak w tym przypadku Microsoft nie ponosi ca艂ej winy: w momencie pojawienia si臋 Confickera 艂ata na wykorzystywan膮 przez szkodnika luk臋 by艂a ju偶 dost臋pna. Pojawienie si臋 tego robaka ze zrozumia艂ych przyczyn by艂o nie w smak firmie Microsoft, kt贸ra zaoferowa艂a 250 000 dolar贸w nagrody za informacj臋 mog膮ce pom贸c w aresztowaniu winnego. Jak dot膮d, nikt nie odebra艂 nagrody.

Od momentu pojawienia si臋, 21 listopada 2008 roku, robak ten jest nieustannie rozwijany. Obecnie zidentyfikowali艣my i skategoryzowali艣my pi臋膰 g艂贸wnych wariant贸w Confickera. Zosta艂y oznaczone literami od A do E. Najnowsza wersja zosta艂a zidentyfikowana 8 kwietnia. Poza tym istniej膮 setki modyfikacji.

Ka偶dy wariant wykorzystuje do rozprzestrzeniania si臋 t臋 sam膮 luk臋. Niekt贸re posuwaj膮 si臋 jednak dalej. Na przyk艂ad dwa pierwsze warianty, A i B, instaluj膮 na komputerze ofiary niewielki serwer sieciowy. Conficker.B potrafi r贸wnie偶 rozprzestrzenia膰 si臋 poprzez wsp贸艂dzielenie plik贸w oraz no艣niki wymienne, takie jak pami臋膰 USB. Robak kopiuje si臋 na no艣nik wymienny lub inne przeno艣ne urz膮dzenia do przechowywania danych i aktywuje si臋 za pomoc膮 funkcji AutoRun/AutoPlay, kt贸ra w wi臋kszo艣ci system贸w Windows jest domy艣lnie w艂膮czona.

Nie ma zatem nic dziwnego w tym, 偶e wkr贸tce po pojawieniu si臋 tego szkodnika w do艣膰 kr贸tkim czasie zainfekowana zosta艂a spora liczba system贸w. Nawet Brytyjskie Ministerstwo Obrony musia艂o przyzna膰, 偶e Conficker zaatakowa艂 okr臋ty wojenne, podwodne oraz samo ministerstwo. W Sheffield zainfekowanych zosta艂o 800 komputer贸w PC w wielu szpitalach. Szkodnik nie oszcz臋dzi艂 ani Niemieckiej Armii, ani Brytyjskiej Izby Gmin.

Czas dzia艂a膰

Pomimo tego, co zosta艂o napisane, nie nale偶y si臋 martwi膰, poniewa偶 "odrobaczenie" komputera nie jest wcale takie trudne.

  • Po pierwsze, za艂ataj we wszystkich komputerach z systemem Windows wykorzystywan膮 przez szkodnika luk臋. 艁atka dost臋pna jest na poni偶szej stronie: http://www.microsoft.com/poland/technet/security/bulletin/MS08-067.mspx.
  • Upewnij si臋, 偶e wszystkie komputery posiadaj膮 w艂膮czone i aktualne rozwi膮zanie antywirusowe.
  • Rozs膮dnym 艣rodkiem zapobiegawczym jest r贸wnie偶 wy艂膮czenie funkcji AutoRun/AutoPlay, szczeg贸lnie gdy nie potrzebujesz jej w swojej codziennej pracy.

Przydatne wskaz贸wki oferuje r贸wnie偶 Microsoft na stronie http://support.microsoft.com/kb/953252 oraz http://support.microsoft.com/kb/967715.

Na razie jest dobrze. Jednak jak zdoby膰 pewno艣膰, 偶e w Twojej sieci nie ma komputer贸w zainfekowanych Confickerem? Odpowied藕 jest prosta: skorzystaj z wyspecjalizowanych narz臋dzi od dostawc贸w rozwi膮za艅 bezpiecze艅stwa. S膮 one darmowe, a ich uzyskanie nie wymaga zakupu oprogramowania od takiego dostawcy. Narz臋dzie firmy Kaspersky Lab mo偶na znale藕膰 na nast臋puj膮cej stronie: http://data2.kaspersky.com:8080/special/KK_v3.4.6.zip. R贸wnie偶 Microsoft oferuje takie narz臋dzia: "Malicious Software Removal Tool" (MSRT) mo偶na pobra膰 na stronie http://www.microsoft.com/downloads/details.aspx?familyid=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=pl.

Na koniec kilka porad, w jaki spos贸b mo偶na przechytrzy膰 wirusa, aby nie dosta艂 si臋 do naszego systemu. Niewielki program mo偶e przygotowa膰 komputer w taki spos贸b, aby "prawdziwy" wirus s膮dzi艂, 偶e system zosta艂 ju偶 zainfekowany, i omija艂 go. Program nosi nazw臋 "Nonficker" i jest dost臋pny na stronie http://iv.cs.uni-bonn.de/uploads/media/nonficker_01.zip.

Je偶eli zainfekowany system blokuje dost臋p do wa偶nej strony, takiej jak www.kaspersky.pl, pomocne b臋dzie pewne proste polecenie. Otw贸rz wiersz polece艅 MS-DOS (Start -> Uruchom...) i wpisz nast臋puj膮ce polecenie: NET STOP DNSCACHE. Dost臋p do zablokowanych stron internetowych zostanie przywr贸cony i b臋dzie mo偶na pobra膰 narz臋dzia potrzebne do elektronicznego "odrobaczania".

殴r贸d艂o:
Kaspersky Lab