Новый 2009 год сразу “порадовал” достаточно серьёзной вирусной эпидемией.

1 января Microsoft Malware Protection Center (MMPС) опубликовал информацию о сетевом черве Win32.Conficker.B (MMPС), также известном как Net-Worm.Win32.Kido.dv (Лаборатория Касперского), W32/Downadup.B (Symantec), W32/Downadup.AL (F-Secure), Win32/Conficker.B (Computer Associates), W32/Confick-D (Sophos), WORM_DOWNAD.AD (Trend Micro).

Скачать заплатку для winXPrus(KB958644)

Скачать заплатку для winXPeng(KB958644)

                                                                                                                 Полная версия

На данный момент в сети Интернет появилась информация о множественных заражениях компьютерных систем несколькими версиями этого сетевого червя (описание более старшей модификации можно прочитать в вирусной энциклопедии Лаборатории Касперского).

Win32.Conficker.B использует критическую уязвимость в службе “Сервер (Server)”, подробно описанную в Бюллетене по безопасности компании Microsoft MS08-067, для распространения через локальные сети и съёмные устройства хранения информации. Помимо этого червь отключает функцию Восстановление системы (System Restore), блокирует доступ к сайтам, посвящённым информационной безопасности, скачивает на заражённые компьютеры дополнительные вредоносные программы и отключает некоторые системные службы, в частности службу обновления Windows (Windows Automatic Update Service).

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры. После заражения червь Win32.Conficker.B получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера в сервисе «Сервер» Vulnerability in Server Service Could Allow Remote Code Execution (958644). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Для того, чтобы воспользоваться вышеуказанной уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора (и другими учетными записями найденными в C:\Documents and Settings и C:\Users), последовательно перебирая пароли из собственного словаря.

А в журналах системы (System Logs) появляются множественные вхождения событий:

Для предотвращения повторного заражения и дальнейшего распространения вируса необходимо установить в систему обновление, описанное в статье базы знаний Уязвимость службы сервера делает возможным удаленное выполнение кода (KB958644). Еще раз обращаю Ваше внимание на то, что Win32.Conficker.B блокирует работу служб Automatic Updates, Background Intelligent Transfer Service (BITS). Поэтому распространение обновления с помощью WSUS или службы Microsoft Update может быть невозможным.

На данный момент сигнатура Win32.Conficker.B была добавлена в обновления антивирусных баз продуктов компаний Microsoft (Windows Defender и Malicious Software Removal tool, MSRT), Symantec, BitDefender, Trend Micro. Так что в первую очередь поищите обновление антивирусных баз на сайте производителя Вашего антивирусного продукта. Помимо этого можно удалить червя Win32.Conficker.B вручную или же воспользоваться бесплатно распространяемыми специализированными утилитами для обнаружения и удаления Win32.Conficker.B:

Необходимо отметить, что сетевой червь Win32.Conficker.B для распространения помимо сетевых файловых ресурсов использует также съёмные устройства хранения данных (читай флэшки). Поэтому рекомендуется в срочном порядке отключить автоматический запуск программ на всех потенциально уязвимых системах. Отключить автоматический запуск в ОС Windows можно централизованно с помощью объектов групповой политики (Group Policy) или же внесением изменений в реестр.

Подводя итоги, хочу отметить, что критическая уязвимость службы ОС Windows, используемая для распространения червя, была обнаружена давно. Причем информация об этой уязвимости была выпущена в виде срочного бюллетеня по безопасности вместе с набором обновлений для устранения данной уязвимости ещё в октябре 2008 года! Если бы на системы были установлены последние обновления безопасности, вряд ли бы этому червю удалось придать своему распространению характер эпидемии.

Так что следует отнестись к обновлению систем и поддержанию их в актуальном состоянии как к критичной и первостепенной задаче. Держите руку на пульсе =)

P.S. Отдельная благодарность за помощь в исследовании и разрешении инцидента с вирусной эпидемией Олегу Крылову и Максиму Ефремову.

1) Данный вирус запускается оригинальным SVCHOST.EXE с параметром заражённой библиотеки (random_name).dll (размер зависит от штамма), лежащей в SYSTEM32 (атрибут библиотеки установлен в “скрытый” или “системный”). Необходимо проверить права доступа для этой библиотеки. Как правило, кроме системы, никому доступ не разрешён. После переустановки прав (напр., Администраторы=полный доступ), можно убить его UNLOCKERом (http://ccollomb.free.fr/unlocker/).
2) В реестре найти запись о запускаемом вирусном сервисе. Необходимо искать абсолютно пустой (без параметров и подключей) ключ в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services (например HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dpiixcu), и также переустановить права доступа для ветки. Тогда (после обновления содержимого по F5) появится вся инфа, в т.ч. в подветке PARAMETERS ключ ServiceDll с именем и путём к вирусной библиотеке.
3) В файловом менеджере (не ПРОВОДНИК !!!) необходимо также проверить подпапки в “Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5″, где вирус под видом кешированных фалов прячет свои копии.