Pull to refresh

Вопросы и ответы: Conficker и 1 апреля

Reading time4 min
Views1.3K
Original author: Mikko
Conficker and DownadupСейчас в интернете бродит много слухов про то, что якобы первого апреля случится что-то страшное. Conficker (Downadup, Kido) начнет использовать новый алгоритм определения доменов для рассылки обновлений, поэтому многие придумывают всякие небылицы, вплоть до «конца интернета». Некоторые товарищи даже советую не выходить в интернет 1-ого апреля.
Вчера наши парни опубликовали FAQ про это в блоге F-Secure, а я тут привожу его перевод. Прочитайте, чтобы не поддаваться панике и знать, что именно произойдет 1-ого апреля.

Q: Я слышал, что что-то очень-очень плохое случится с интернетом 1 апреля. Так это?
A: Нет, не совсем.

Q: Серьезно, червь Conficker начнет делать что-то плохое 1-ого апреля, так?
A: Conficker aka Downadup немного изменит свой алгоритм работы, но это врядли приведет к каким-то видимым изменениям 1-ого апреля.

Q: Так что случится-то 1-ого апреля?
A: Сейчас Conficker генерирует 250 разных доменных имен каждый день и пытается скачать с них программу апдейта и запустить ее. 1 апреля новейшая версия Conficker-а начнет выбирать уже 500 из 50,000 доменов каждый день для той же цели — скачивания и запуска файлов.

Q: Последняя версия? Есть несколько разных версий чтоли?
A: Да, и последняя версия сейчас не самая распространенная. Большинство зараженных компьютеров сейчас заражены вариантом B, который начал распространяться в Январе. И в поведении этого варианта B ничего не изменится.

Q: Я только что проверил, что моя Windows машина не заражена. Что-нибудь случится с моим компьютером 1-ого апреля?
A: Нет!

Q: У меня Mac, что-нибудь случится с моим компьютером?
A: Нет!

Q: Итак, это значит, что хакеры смогут использовать этот новый канал для скачивания и запуска любой программы на всех машинах?
A: Да, на всех машинах, которые инфицированы последней версией червя.


Q: Но что такое эта peer-to-peer функциональность для скачивания, про которую я слышал?
A: Червяк имеет peer-to-peer функциональность, что значит, что инфицированные компьютеры могут общаться друг с другом без надобности в сервере. Это позволяет червю апдейтить самого себя даже без регистрации одного из 250 или 50,000 доменов.

Q: Но не значит ли это, что если бы «плохие парни» хотели запустить что-то на зараженных машинах, им не надо было бы ждать до 1-ого апреля?
A: Да! И это еще одна причина, почему маловероятно, что что-то плохое случится именно 1-ого апреля.

Q: Будет ли поднят серьезный хайп в СМИ?
A: О, да! Как всегда, когда у какого-то широко распространенного червя есть тригерная дата. Вспомните случаи с Michelangelo (1992), CIH (1999), Sobig (2003), Mydoom (2004) и Blackworm (2006).

Q: Но ведь в тех случаях ничего особого и не случилось, несмотря на то, что все ожидали, что что-то случится!
A: Именно!

Q: Итак, должен ли я отключить и не включать мой компьютер 1 апреля?
A: Нет. Но вы должны провериться и быть уверенным, что ваш компьютер не заражен.

Q: Могу ли я просто сменить дату на своем компьютере и тем самым защитить себя?
A: Нет, конечно. Червь использует локальное время для нескольких своих функций, но он не полагается ТОЛЬКО на время на вашем компьютере.

Q: Я смущен. Как вы можете быть уверены заранее, что 1-ого апреля не будет глобальной вирусной атаки? Должно быть вы что-то скрываете!
A: Да, вы смущены. Не будет никакой «глобальной вирусной атаки». Машины, что УЖЕ инфицированы, могут начать делать что-то новое 1 апреля. Мы знаем это, потому что мы изучили код червя и можем видеть, что это именно то, на что он запрограммирован.

Q: Будет ли скаченная червем программа запущена с администраторскими привилегиями?
A: Да, с правами локального администратора. Что очень плохо!

Q: И этот червь может скачать апдейт не только 1-ого апреля, но и в любой день после этого?
A: Точно. Так что нет никакой причины, почему они не смогут это сделать, скажем, 5 апреля, а не 1-ого.

Q: ОК, они могут запустить программу на зараженном компьютере. Но зачем? Что будет делать эта программа?
A: Мы не знаем что они планируют делать, если вообще что-то планируют. Конечно, они могут украсть ваши данные, посылать с вашего компьютера спам, делать DDOS атаки на другие компьютеры и сервера и так далее. Но мы не знаем что именно они собираются делать дальше.

Q: Они? Кто они? Кто сделал этого червя?
A: И этого мы тоже не знаем. Но они выглядят очень профессионально судя по тому, что они делают.

Q: Профессионально? Это правда, что Conficker использует MD6 hash algorithm?
A: Да. Это, вероятно, первая программа, которая использует этот новый алгоритм!

Q: Почему вы сами не можете заразить свой компьютер, установить часы на 1-ое апреля и проверить, что случится?
A: Потому что оно так не сработает. Червь коннектится на некоторые вебсайты, чтобы узнать сегодняшнее число и время.

Q: Правда? Тогда выключите эти сайты и проблема исчезнет!
A: Не можем. Это сайты типа google.com, yahoo.com и facebook.com.

Q: Нет, серьезно, вы же можете поднять у себя в лаборатории свой google.com, установить на нем 1 апреля и проверить всё!
A: Можем. Но сайты, с которых червь попытается что-то скачать 1-ого апреля не имеют ничего сейчас! Они могут иметь что-то 1-ого апреля. А могут и не иметь.

Q: Теперь я взволнован. Как я узнаю, что я заражен?
A: Попробуйте зайти на www.f-secure.com. Если вы не можете зайти на наш сайт, то вы вероятно заражены, т.к. Downadup/Conficker блокирует доступ к сайтам антивирусных компаний. Никому не говорите, но те, кто не могут зайти на f-secure.com из-за вируса, могут зайти на спец. зеркало www.fsecure.com.

Q: Откуда пришло название «Conficker»?
A: Conficker — это своего рода анаграмма из слова trafficconverter – сайта, на который коннектился первый вариант червя.

Q: Почему у червя несколько имен – Downadup, Conficker, Kido?
A: Вирус был найдет примерно в одно и то же время несколькими антивирусными компаниями и в каждой из них его назвали своим именем. Сейчас большинство компаний используют имя Conficker. Но и сейчас продолжается неразбериха с названием новых модификаций между компаниями.Мы все сожалеем об этом.

Q: Как много компьютеров сейчас инфицировано червем Downadup/Conficker?
A: Около 1-2 миллионов. Сколько из них заражено последней версией? Мы не знаем точной цифры.

Q: Как антивирусная индустрия реагирует на все это?
A: Мы отреагировали, создав Conficker Working Group. Группа включает в себя представителей компаний-производителей антивирусов (включая нас), регистраторов, исследователей и т.д.

Q: Я хочу знать больше технических деталей про червя.
A: Конечно. Здесь наше описание (англ), и здесь есть отличное описание (eng). А тут есть моё описание на русском.

Q: Когда был обнаружен первый вариант Downadup/Conficker?
A: Он был найден 20 ноября 2008.

Q: Больше, чем 4 месяца назад? Я хочу увидеть таймлайн того, что произошло за эти 4 месяца.
A: Byron Acohido написал об этом.

Q: Антивирус от F-Secure может обнаружить и вылечить от этого червя?
A: Конечно.

Q: Есть ли у вас специальная программа для лечения червя??
A: Да и она бесплатная. Скачайте её отсюда.

Q: Вы собираетесь продолжать следить за этим дальше?
A: Да. Оставайтесь с нами и ждите новой информации.



Tags:
Hubs:
Total votes 43: ↑30 and ↓13+17
Comments40

Articles