27 ноября, 2008

Сетевой червь, эксплуатирующий уязвимость, описанную в бюллетене MS08-067. Червь может также загружать и выполнять произвольные файлы.

Другие названия:
Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)

При запуске, червь Win32/Conficker.A создает копию в директории %System% с произвольным именем. Win32/Conficker.A c проверяет использует ли зараженная машина Windows 2000. Если да, то червь внедряет свой код в процесс services.exe.

Если операционная система отлична от Windows 2000, червь создает службу со следующими характеристиками:

Имя службы: netsvcs
Путь к файлу: %System%\svchost.exe -k netsvcs

Также создает следующий ключ реестра:

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\<worm executable filename>.dll"

Win32/Conficker.A подключается к домену trafficconverter.biz и пытается загрузить и выполнить файл

Интернет-червь заразил свыше 10 млн компьютеров по всему миру и заставил говорить о себе международных экспертов по компьютерной безопасности, а многих пользователей – задуматься о том, насколько хорошо защищены их компьютеры.

Компьютерный червь Downadup (другое его название – Conficker) уже заразил 10 млн компьютеров по всему миру, сообщило популярное IT-издание The Register. Подсчетами занимались специалисты по компьютерной безопасности из компании F-Secure.

Эксперты также сообщают, что 41% зараженных компьютеров находится в России, Бразилии и Китае.

Что касается США, то в этой стране лишь 1% от общего числа зараженных компьютеров.

Темпы распространения червя заставили специалистов бить тревогу: за одни сутки, с 13 по 14 января, Downadup заразил 1 млн компьютеров – всего на тот момент им было заражено 3,5 млн систем. Еще через сутки, 16 января, число зараженных компьютеров достигло 8,9 млн. Сегодня жертв нового вируса больше 10 млн.

Эксперты F-Secure утверждают, что обезвредить вирус достаточно сложно:

обычно любой червь расположен на определенном сайте, который вскоре находится и обезвреживается специалистами. Downadup же ежедневно создает тысячи таких сайтов. Червь, используя уязвимость MS08-067 в Windows, заражает компьютер и позволяет злоумышленнику загружать в него различное вредоносное ПО.

Автор Downadup пока неизвестен, однако специалисты SecureWorks почти уверены, что эпидемия пришла из Украины.

Проверить, «поселился» ли червь на вашем компьютере, довольно просто: достаточно зайти на сайт производителя любого из популярных антивирусов. Если вредоносная программа уже проникла в компьютер, то эти сайты просто не откроются.
Почитайте материал полностью вот здесь:http://pchelpforum.ru/go.php?url=http://www.gazeta.ru/techzone/2009/01/28_a_2931968.shtml
А справиться с этой заразой возможно с помощью утилиты от КАВ Лаб KidoKiller.exe v3.1.Все способы прибить червя
здесь:http://support.kaspersky.ru/faq/?qid=208636215