شرح کلی
نوع: کرم (worm)
اسامی بدافزار:
NetWorm.Win32.Conficker
NetWorm.Win32.Kido
Net-Worm.Conficker
درجه تخریب: زیاد
میزان شیوع: زیاد
آسیبپذیری مورد استفاده: MS08-067
کرم (worm) چیست؟
کرمهای کامپیوتری همچون Conficker نوعی از بدافزار محسوب میشوند که توان تکثیر کردن خود را بهصورت خودکار دارند. کرمها برای بقا، روشهایی را تنظیم میکنند تا در هر بار راهاندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرمها در نحوه انتشار آنهاست که عموماً از طریق درایوهای قابلحمل و دایرکتوریهای share شده در شبکه هست.
بدافزار Conficker چیست؟
این کرم توانایی غیر فعال کردن تعدادی از سرویسهای مهم ویندوز را دارد و از طریق شبکه با استفاده از آسیبپذیری MS08-067 انتشار پیدا میکند. این آسیبپذیری امکان اجرای کد مخرب از راه دور را برای هکر میسر میسازد. این کرم همچنین خودش را در دایرکتوریهای Share قرار میدهد تا بهتمامی سیستمهای موجود در شبکه منتقل شود.
توضیحات فنی
علائم آلودگی به بدافزار Conficker:
conficker عموماً یک فایل با نام تصادفی و پسوند dll در یکی از مسیرهای زیر ایجاد میکند و خودش را بر روی آن کپی میکند.
• [SystemRoot]:\windows\system32
• [SystemRoot]:\ProgramFiles\internet explorer
• [SystemRoot]:\ProgramFiles\movie maker
• [SystemRoot]:\Documents and Settings\[User]\Application data
• [SystemRoot]:\Documents and Settings\LocalService\Local Settings\Temp
در مسیر رجیستری زیر قرار میگیرد:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
تاریخ ایجاد، آخرین دسترسی و آخرین تغییرات فایل ایجادشده را به تاریخ kernel32.dll تغییر میدهد تا نتوان آن را از روی تاریخ و زمان خودش پیدا کرد و تصور شود مانند یک dll سیستمی است. همچنین خود را در درایوهای قابلحمل کپی میکند.
روش مقابله و پاکسازی سیستم
پادویش با دارا بودن قابلیت UMPکه جزء محافظت رفتاری آن است جلوی آلوده شدن سیستم از طریق درایو قابلحمل را میگیرد. همچنین دیوار آتش آنتیویروس پادویش از وقوع حملات شبکهای توسط این بدافزار جلوگیری میکند. ازاینرو جهت پیشگیری از آلودگی به انواع بدافزارهایی که از طریق درایو قابلحمل انتقال میابند ازجمله بدافزار Conficker پیشنهاد میشود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
چنانچه سیستم شما توسط بدافزار Conficker آلوده شده است مراحل زیر را دنبال کنید:
- پادویش را بر رو سیستم خود نصب کنید.
- سیستم خود را پویش کامل نمایید.
- درایوهای قابلحمل آلوده را به سیستم وصل کنید.
- با استفاده از پادویش درایو قابلحمل خود را اسکن کنید تا درایو قابلحمل و سیستم آلوده شما پاکسازی شود.
- وصله امنیتی مایکروسافت MS08-067 را نصب نمایید.
همچنین میتوانید بهعنوان راهحل موقت از سایت پادویش پاکساز Conficker را دانلود کرده و سیستم خود را پاکسازی نمایید.