E kártevő a következő megnevezések szerint ismert: W32/Confick-A, W32/Confick-B, W32/Confick-C, Mal/Conficker-A, 32/CONFICK-E, 32/CONFICK-D, WORM_DOWNAD.AD, W32/Conficker.worm, Worm:Win32/Conficker.gen!A, Worm:W32/Downadup, Net-Worm.Win32.Kido
Ez a leírás bemutatja a Confick családba tartozó vírusok működését a számítógépén és elmagyarázza, hogyan lehet eltávolítani őket.
Látogassa meg a Sophos Biztonsági weboldalait további információkért erről a víruscsaládról.
A Confick vírusok az MS08-067 sérülékenységen keresztül terjednek.
A Microsoft 2008. októberében kiadott egy kritikus biztonsági javítást: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Erről további információkat ennek a leírásnak a végén találhat.
A vírusról
A Conficker három fő fertőzési módszert használhat:
1. Az MS08-067 sérülékenységen keresztül terjed
A legtöbb esetben elsődlegesen így jut be a vírus a hálózatba. A vírus kihasználja a Microsoft sérülékenységet:
- A féreg egy másolata egy JPG vagy PNG kiterjesztéssel jön létre az Ideiglenes Internetes Állományok mappájában (fertőzéskor ezek a legelőször megjelenő állományok a rendszerben).
- Egy dll kiterjesztésű állomány jön létre a System32 mappában, pl.:
- C:\Windows\System32\amcophji.dll
- A dll állomány futtatásához létrejön egy szolgáltatás.
- Az svchost.exe folyamat albejegyzéseként fut le - általában ugyanazon, amelyik a Netsvcs-t is futtatja.
Ezt a fertőzési módot megállíthatja, amennyiben telepíti a javítást és megszabadítja a számítógépet a rosszindulatú kódtól a Sophos vagy más antivírus termék segítségével.
2. A Windows file-megosztásán keresztül terjed
Miután bekerült a hálózatba, a vírus a fentebb említett Microsoft sérülékenységet kihasználva terjedhet vagy pedig a hálózaton levő admin- és állomány-megosztásokon keresztül is.
Amikor megfertőz egy számítógépet, létrehoz egy véletlenszerű nevű és kiterjesztésű állományt a System32 mappán belül. Egy időzített feladat (SYSTEM-ként futva) fogja lefuttatni ezt az állományt, a rundll32.exe használatával.
- Egy dll állomány jön létre véletlenszerű névvel és kiterjesztéssel a System32 mappán belül - pl.: C:\Windows\System32\zdtnx.g
- Egy (vagy több) időzített feladat jön létre a fentebb említett véletlenszerűen elnevezett állomány futtatására a rundll32.exe használatával.
- A feladat AT*.job nevet kap, ahol a * egy egymást követő szám
- Egy rundll32.exe folyamaton belül fog lefutni
- Minden egyes létrehozott időzített feladathoz egy-egy rundll32.exe folyamat fog létrejönni.
Ahhoz, hogy ezt a terjedési módot megállítsa, le kell tiltania a file és nyomtató megosztást mindaddig, amíg az összes számítógépet nem tisztítja meg.
A Sophos on-access (hozzáférési) ellenőrzése megakadályozza az újrafertőzést, valamint ezeknek az időzített feladatoknak a futását is. A féreg DLL állomány ott lehet még a lemezen, de egészen addig nem lesz képes lefutni, amíg a hozzáférési ellenőrzés engedélyezett.
3. Cserélhető médiákon keresztüli terjedés (mint pl. USB meghajtók, pen drive-ok)
Amikor egy cserélhető meghajtót csatlakoztatnak egy megfertőzött számítógéphez, a Conficker féreg
létrehozza önmaga másolatát a RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxx-xxxx mappában (ahol az x véletlenszerű számokat jelent) az adott meghajtón, valamint autorun.inf állományt helyez el az adott meghajtó gyökérkönyvtárában
Ezek az állományok és könyvtárak rejtettek.
Az autorun.inf lefuttatja a férget, amikor a meghajtó egy automatikus lejátszással rendelkező Windows rendszerű számítógéphez csatlakozik, vagy amikor a meghajtót megnyitják a Windows Intézőben.
Amikor a féreg egy cserélhető meghajtóról fut, bemásolja magát a Windows\system32 mappába egy .dll kiterjesztéssel és az előző fertőzési vektorokban használt módon beállít szolgáltatás regisztrációs kulcsokat.
Mit kell tenni?
Az eltávolítás és a rosszindulatú kódtól való megszabadulás egy 4-lépéses folyamat, és Önnek az összes lépést végre kell hajtania.
1. Ellenőrzési előkészületek
2. A hálózat karanténozása a további fertőzés megelőzése céljából
3. A szolgáltatások leállítása a terjedés/fertőzés megelőzése miatt - a Windows Csoportos Házirend használatával
4. A fertőzés megszűntetése
Győződjön meg arról, hogy a következőkben részletezett eljárásban leírt beállításokat az összes számítógépére beállítja. Ezzel a Sophos hozzáférési ellenőrzése megakadályozza a vírus betöltődését és annak terjedését, legyen az akár szolgáltatás vagy egy feladat.
1. Ellenőrzési előkészületek
1. Telepítse az ÖSSZES számítógépre (fertőzött vagy nem fertőzött) az MS08-067 (KB958644) javítást.
2. Állítsa be az Enterprise Console-ban az On-access ellenőrzési szabályzatot a következőképpen:
- On-Read
- On-Write
- Szedje ki a pipát az „Automatically Cleanup" opció elöl
- Válassza a „Do Nothing" opciót az „Actions" alatt
3. A HIPS opciókat a következőképpen állítsa be:
Detect Suspicious Behaviour = pipálja be
Detect Buffer Overflow = pipálja be
Alert Only = távolítsa el a pipát
4. Engedélyezze az összes állomány ellenőrzését az on-demand (igény szerinti) ellenőrzéseknél:
Nyissa meg az Enterprise Console-ban az Anti-Virus szabály(oka)t
Kattintson az „Extensions and Exclusions" opcióra
Pipálja be „Scan all files" opciót
Nyomja meg az Ok-t
5. Győződjön meg arról, hogy az Anti-Virus szabályzat az ÖSSZES számítógépre érvényes legyen
6. Néhány esetben újra kell indítania a számítógépet (lásd alább a 4b. lépést).
2. A hálózat karanténba tétele a fertőzés terjedésének megakadályozására
Tegye meg a következők közül valamelyiket:
távolítsa el az összes fertőzött számítógépet a hálózatról a hálózati kábel kihúzásával, vagy
használja a kliens-oldali tűzfalat a hálózati hozzáférés megakadályozásához:
amennyiben Sophos Tűzfalat használ nyissa meg az Enterprise Console-t és szerkessze a Firewall (Tűzfal) szabályzatot:
válassza ki a LAN fület és szedje ki a NETBIOS opciókat az összes hálózati csatlakozásra vonatkozóan
amennyiben Csoportos Házirenden keresztül Windows Tűzfalat használ:
- szerkessze az ÖSSZES számítógépre vonatkozó Csoportos Házirendet
- A beállítások helye: Computer Configuration - Administrative Templates - Network - Network Connections Windows Firewall - Domain Profile - Windows Firewall: Allow file and printer sharing exception
- kattintson duplán és válassza a „Disable" lehetőséget
3. Szolgáltatások lezárása a terjedés/fertőzés megakadályozására - Windows Csoportos Házirend alkalmazásával
1. a Tiltsa le a Server Service-t
- Computer Configuration - Windows Settings - Security Settings - System Services
- Keresse meg a „Server" Service-t
- Határozza meg a szabályzatot
- Állítsa „Disabled" módba
2. Tiltsa le a Task Scheduler Service-t (megjegyzés: az időzített keresések ezután már nem fognak működni, de továbbra is használhatja a jobb-klikk „Full System Scan" lehetőséget az Enterprise Console-ból.)
- Computer Configuration - Windows Settings - Security Settings - System Services
- Keresse meg a „Task Scheduler" Service-t
- Határozza meg a szabályzatot
- Állítsa „Disabled" módba
3. Tiltsa le az USB Autoplay lehetőséget. Ezt pontosan úgy kell végrehajtani, ahogy az a http://support.microsoft.com/kb/953252 Microsoft tudásbázis bejegyzésben szerepel. Ha ezt nem pontosan így csinálják, akkor a féreg képes lesz lefutni, ha az Intézőben megnyitják vagy a Sajátgépben duplán kattintanak az USB meghajtóra.
A fentiekben leírtakat ismét engedélyezni lehet, amikor Ön biztos abban, hogy az egész rendszere tiszta és az összes gépre rákerült az MS08-067-es javítás.
4. A fertőzés megszűntetése
Attól függően, hogy melyik lépéseket hajtotta végre a fenti 2-ből, tegye a következők közül valamelyiket:
Számítógépek lecsatlakoztatása
1. Jelentkezzen be helyi rendszergazdai fiókkal. Ne lépjen be tartományi rendszergazdaként.
2. Nyissa meg a Quarantine Manager-t, válassza ki az összes bejegyzést és kattintson a „Clear from List" opcióra.
3. Futtasson egy teljes rendszerellenőrzést. Az egyik fog történni:
3a. a Ha a teljes ellenőrzés a W32/Confick-E jelenlétét mutatja, takarítsa ki ezt az elemet a QM-ből és utána azonnal futtasson le még egy teljes ellenőrzést és távolítsa el ismét.
A W32/Confick-E azt jelzi, hogy egy aktív Conficker fertőzés található ezen a számítógépen, ezért azonnal el kell távolítani az egyéb Conficker észlelések előtt. Ez az eltávolítás kiírtja a férget a memóriából és engedélyezi a második teljes ellenőrzést a lemezen található féreg állományok észleléséhez.
3b. Ha a teljes ellenőrzés jelenti, hogy egy vagy több állományt a Windows\System32 mappában nem lehet ellenőrizni (Hibaüzenet: '<filenév> returned SAV interface error 0xa0040210: The file could not be accessed') és nem volt W32/Confick-E jelenlét az ellenőrzés szerint, győződjön meg arról, hogy a hozzáférési ellenőrzés a fentiek szerint engedélyezve van, majd indítsa újra a számítógépet és futtasson le még egy teljes ellenőrzést-keresést.
Ezen a számítógépen elképzelhető, hogy aktív Conficker fertőzés van, amely megakadályozza a lemezen levő állományok ellenőrzését. Az újraindítással a hozzáférési ellenőrzés meg tudja állítani a féreg betöltődését és lehetővé teszi az állomány ellenőrzését.
4. Futtassa az eltávolítást a QM-ből, miután az ellenőrzés befejeződött.
5. Az eltávolítás kérhet újraindítást, hogy eltávolíthassa az összes komponenst.
6. Ellenőrizze le újra a számítógépet, hogy biztosan tiszta legyen.
Kliens-oldali tűzfalakat használtak a file-megosztás megelőzésére:
Az Enterprise Console-ban:
1. Tisztítsa ki az összes riasztást az Enterprise Console-ban
2. Ellenőrizze egyidőben az összes számítógépet úgy, hogy jobb-klikkel rajtuk a konzolban és kiválasztja a „Full System Scan" opciót.
3. Futtassa a le az eltávolítást az összes számítógépen úgy, hogy jobb-klikkel rajtuk és kiválasztja a „Cleanup threats" opciót.
4. Az eltávolítás újraindítást kérhet azért, hogy az összes komponenst eltávolítsa.
5. Ellenőrizze újból a számítógépeket.
6. Tisztítsa meg őket újra, amennyiben szükséges.
Újrafertőzés
Amennyiben a Windows file-megosztást nem lehet letiltani, vagy ha egy fertőzőtt számítógép vagy USB kulcs kerül be a hálózatba, a megtisztított számítógépek újrafertőződése történhet meg. Ezekben az esetekben a Sophos hozzáférési ellenőrzésével rendelkező számítógépek védettek lesznek az újrafertőződéssel szemben, de továbbra is meg fogják kapni a féreg DLL-eket a fertőzött számítógépről file-megosztáson keresztül.
Ezek az események jelentésre kerülnek az QM-ben, mint hozzáférési észlelések és másodlagos problémaként kell kezelni ezeket; a prioritást az aktív Confickert tartalmazó számítógépek megtisztításának kell adni, a fentiekben leírtak szerint.
Miután az összes aktív Conficker fertőzéssel rendelkező számítógépet megtisztítottuk (pl.: W32/Confick-E, amint azt a 4-es bekezdés 3.1-es lépésében leírtuk), a nem-fertőzött számítógépeken levő féreg DLL-eket el lehet távolítani egy teljes ellenőrzéssel és tisztítással, és ezek már nem fognak visszatérni.
További háttérinformációk
Tekintse meg a Sophos Biztonsági weboldalait további információkért erről a víruscsaládról.
Confick vírusok terjednek az MS08-067 sérülékenység kihasználásával.
A Microsoft egy kritikus biztonsági javítást adott ki 2008. októberében: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
- A javítás telepítésének ellenőrzéséhez menjen a Programok telepítése/Eltávolításába és keresse a KB958644 bejegyzést (a Show Updates jelölőnégyzet ehhez legyen bepipálva)
- Engedélyezze a HIPS és BOPS modulokat és győződjön meg arról, hogy az „Alert only" opció ki lett kapcsolva. Ez megelőzi az újrafertőződést, habár a HIPS nem blokkolja a vírus futását.
- Ez a fertőzés hálózati megosztásokon keresztül is terjed. Megpróbálja a felhasználói fiókok jelszavát feltörni, méghozzá nyers szótárazó módszerrel. Ha egy azonosítót/fiókot nem tud feltörni, a fiók zárolt lehet a sok érvénytelen jelszópróbálkozás miatt (attól függően, hogyan lett beállítva az Active Directory).
- Úgy tűnik, a vírus egy véletlenszerű nevű és kiterjesztésű állományt másol be a c:\windows\system32 mappába. Továbbá létrehoz egy ATx.job nevű időzített feladatot - ahol az x egy szám. Az időzített feladat látszólag lefuttat egy állományt a system32 mappában.
- A vírus megpróbálhat csatlakozni számos weboldalhoz, amelyek közül néhány legitim is.
- Megpróbál magához frissítéseket szerezni különböző tartományokból. Kliens tűzfalak használatával nagyban lehet csökkenteni a vírus terjedését.
- A vírus terjed USB meghajtókon és más cserélhető eszközökön keresztül is, győződjön meg arról, hogy ezeket leellenőrzik és megtisztítják használatuk előtt.
- Megelőzheti új időzített feladatok létrehozását csoportos házirend használatával, a következő leírás szerint: http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/92819.mspx?mfr=true
- A fentiekben leírt tűzfal módok használata megakadályozza a Sophos frissülését. Ezt kétféleképpen lehet orvosolni:
- Állítsa be a másodlagos szerver részleteit az Enterprise Console frissítési szabályzatán belül, hogy a számítógépek tudjanak frissülni a Sophos-tól: erről leírás: http://www.sophos.com/support/knowledgebase/article/12345.html
- Adjon kivételt a tűzfal szabályzatban ahhoz, hogy engedélyezze a File és Nyomtató megosztási kapcsolatokat az EM Console/EM Library szerver(ek)hez. Ez okozhatja azt, hogy a szerver(ek) megfertőződhetnek, amint a kliens számítógépek képesek hozzájuk férni.
A számítógépekre került állományok a számítógép nevére utalnak. Ez azt jelenti, hogy a Conficker egy adott változatánál egy adott számítógépen az odakerült DLL file neve mindig ugyanazt a véletlenszerű nevet fogja kapni.