NetWorm.Win32.Conficker

شرح کلی

نوع: کرم (worm)
اسامی بدافزار:
NetWorm.Win32.Conficker
NetWorm.Win32.Kido
Net-Worm.Conficker
Trojan.Win32.Conficker
درجه تخریب: زیاد
میزان شیوع: زیاد
آسیب‌پذیری مورد استفاده: MS08-067

کرم (worm) چیست؟

کرم‌های کامپیوتری همچون Conficker نوعی از بدافزار محسوب می‌شوند که توان تکثیر کردن خود را به‌صورت خودکار دارند. کرم‌‌ها برای بقا، روش‌هایی را تنظیم می‌کنند تا در هر بار راه‌اندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرم‌ها در نحوه انتشار آن‌هاست که عموماً از طریق درایوهای قابل‌حمل و دایرکتوری‌های share شده در شبکه هست.

بدافزار Conficker چیست؟

این کرم توانایی غیر فعال کردن تعدادی از سرویس‌های مهم ویندوز را دارد و از طریق شبکه با استفاده از آسیب‌پذیری MS08-067 انتشار پیدا می‌کند. این آسیب‌پذیری امکان اجرای کد مخرب از راه دور را برای هکر میسر می‌سازد. این کرم همچنین خودش را در دایرکتوری‌های Share قرار می‌دهد تا به‌تمامی سیستم‌های موجود در شبکه منتقل شود.

توضیحات فنی

علائم آلودگی به بدافزار Conficker:

conficker عموماً یک فایل با نام تصادفی و پسوند dll در یکی از مسیرهای زیر ایجاد می‌کند و خودش را بر روی آن کپی می‌کند.

•    [SystemRoot]:\windows\system32
•    [SystemRoot]:\ProgramFiles\internet explorer
•    [SystemRoot]:\ProgramFiles\movie maker
•    [SystemRoot]:\Documents and Settings\[User]\Application data
•    [SystemRoot]:\Documents and Settings\LocalService\Local Settings\Temp

در مسیر رجیستری زیر قرار می‌گیرد:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

تاریخ ایجاد، آخرین دسترسی و آخرین تغییرات فایل ایجادشده را به تاریخ kernel32.dll تغییر می‌دهد تا نتوان آن را از روی تاریخ و زمان خودش پیدا کرد و تصور شود مانند یک dll سیستمی است. همچنین خود را در درایوهای قابل‌حمل کپی می‌کند.

روش مقابله و پاک‌سازی سیستم

پادویش با دارا بودن قابلیت  UMPکه جزء محافظت رفتاری آن است جلوی آلوده شدن سیستم از طریق درایو قابل‌حمل را می‌گیرد. همچنین دیوار آتش آنتی‌ویروس پادویش از وقوع حملات شبکه‌ای توسط این بدافزار جلوگیری می‌کند. ازاین‌رو جهت پیشگیری از آلودگی به انواع بدافزارهایی که از طریق درایو قابل‌حمل انتقال میابند ازجمله بدافزار Conficker پیشنهاد می‌شود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
چنانچه سیستم شما توسط بدافزار Conficker آلوده شده است مراحل زیر را دنبال کنید:

  1. پادویش را بر رو سیستم خود نصب کنید.
  2. سیستم خود را پویش کامل نمایید.
  3. درایوهای قابل‌حمل آلوده را به سیستم وصل کنید.
  4. با استفاده از پادویش درایو قابل‌حمل خود را اسکن کنید تا درایو قابل‌حمل و سیستم آلوده شما پاکسازی شود.
  5. وصله امنیتی مایکروسافت MS08-067 را نصب نمایید.

همچنین می‌توانید به‌عنوان راه‌حل موقت از سایت پادویش پاکساز Conficker را دانلود کرده و سیستم خود را پاک‌سازی نمایید.