Zadnja sprememba: 1.4.2009
Opis
Število računalnikov, okuženih s črvom Conficker še vedno narašča. Črv izkorišča več različnih načinov za širjenje, zato ga je še posebej težko odstraniti iz lokalnih omrežij organizacij. Uporablja ranljivost MS08-067, po okužbi pa se poskuša širiti na bližnje sisteme tudi s poskušanjem gesel in kopijami na mapah v skupni rabi. Črv poskusi kontaktirati predefinirane domene in prenesti dodatno zlonamerno kodo. Te domene so izračunane glede na datum.
Različica Conficker C, ki se bo aktivirala 1. aprila 2009 vsebuje napredne načine za prikrivanje delovanja in onemogočanje varnostnih mehanizmov operacijskega sistema. Nadgradnje lahko prejme iz ene od 50.000 domen (prej le 250). Prav ta različica je bila deležna večje medijske pozornosti, a na dan aktivacije ni povzročila vidnih posledic.
Ranljive verzije:
- Windows XP,
- Windows Server 2003,
- Windows Server 2008,
- Windows Vista.
Preverjanje okužbe
Conficker črv preprečuje dostop do nekaterih spletnih mest, ki dajejo na voljo orodja za njegovo odstranitev. Če z računalnika ne morete dostopati do naslednjih spletnih mest (povzeto po obvestilu US-CERT):
- http://www.symantec.com/norton/theme.jsp?themeid=conficker_worm&inid=us_ghp_link_conficker_worm
- http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx
- http://www.mcafee.com
Rešitev
Črva lahko odstranite s posebnim programom, ki ga je dal na voljo protivirusni proizvajalec F-Secure, ali z Microsoftovim orodjem za odstranjevanje zlonamerne kode.
Ponudnikom svetujemo, da prenesejo seznam domen, ki jih črv uporablja med 17.1. in 31.1.2009, ter preverijo promet do ustreznih spletnih mest, kamor se črv javlja. Stranke naj obvestijo o možnosti okužbe in možnih rešitvah problema. Za seznam IP naslovov, dodatne informacije ali pomoč, se lahko ponudniki obrnejo na elektronski naslov si-cert@arnes.si.
Seznam domen: