Hoe werkt de Conficker-worm op je computer?

Hoe werkt de Conficker-worm op je computer?


De Conficker-worm werd voor het eerst gezien in november 2008, en geïnfecteerde computers met Microsoft Windows-besturingssysteem door gebruik te maken ongepatchte kwetsbaarheden. Geïnfecteerde machines toegetreden tot miljoenen anderen om een ​​deel van een bot-net te worden, onder het commando en de controle van een centraal programma. Miljoenen dollars aan schade en storingen werden veroorzaakt door Conficker, welke machines die behoren tot het leger, de politie en andere openbare diensten over de hele wereld, evenals miljoenen thuiscomputers besmet.

Werkwijzen voor infectie

Conficker's primaire infectie methode was een kwetsbaarheid in de Windows Server-service, die een speciaal vervaardigde RPC-oproep om code uit te voeren buiten het normale bereik van de privileges van de gebruiker toegestaan. Deze kwetsbaarheid werd behandeld in Microsoft Security Bulletin MS08-067. Elke internet aangesloten computer kan worden gericht op de worm sonderen om te zien of het is kwetsbaar. Eenmaal besmet, de worm probeert andere kwetsbare machines te infecteren op het lokale netwerk, en ook downloads lijsten van gebruikersaccounts en probeert de wachtwoorden te breken voor netwerk-aandelen en dergelijke. Verwijderbare media komt tevens met de worm zichzelf kopieert de media en het toevoegen van een INF bestand te trachten de worm automatisch worden uitgevoerd wanneer het materiaal wordt gebruikt. Deze meervoudige infectie methoden ertoe bijgedragen dat de massale verspreiding van de Conficker, toe te voegen aan de centrale bot-net.

Bijwerkingen

Conficker uitgeschakeld meerdere Windows services, teneinde de detectie te verhinderen en te voorkomen dat het uit de computer verwijderd. Automatische updates, Windows Defender en Windows Error Reporting werden alle diensten die inactief, het stoppen van de machine wordt bijgewerkt en het verlaten van het te openen om extra kwetsbaarheden. Netwerken ervaren congestie van het extra verkeer en scans gegenereerd door de worm, domain controllers vertraagd en gebruikers kunnen zichzelf buitengesloten van hun rekeningen. Sommige anti-virus software is inactief gemaakt en gebruikers werd gestopt met de toegang verkopers websites. Conficker kan zelf ook op elk gewenst moment, wat betekent dat kwaadaardige software kan worden gedownload en geïnstalleerd op elk punt, terwijl de computer is geïnfecteerd.

het voorkomen

Het houden van computers bijgewerkt met de nieuwste security patches en updates via de Windows Update-service is de belangrijkste stap om infectie te voorkomen door Conficker, of andere kwaadaardige software. Hoewel pleisters werden vrijgegeven dat Windows-systemen beschermd tegen Conficker werden veel computers ongepatchte verliet het verlaten van de worm vrij om grote aantallen machines te infecteren. Het installeren van een gerenommeerde anti-virus pakket dient ook als een sterke bescherming tegen Conficker en andere wormen, maar moet ook worden bijgehouden om effectief te zijn. Sterk netwerk wachtwoorden kunnen helpen om de verspreiding van Conficker te stoppen via een geïnfecteerde netwerk, door het stoppen van de worm zich verspreidt naar netwerkshares. Automatisch afspelen kan worden uitgeschakeld voor verwijderbare media, zoals USB flash drives, om programma's automatisch worden uitgevoerd wanneer de media wordt geplaatst stoppen.

Verwijdering

Download de "Microsoft Windows Malicious Software Removal Tool (KB890830)" om te helpen met het verwijderen van de Conficker worm, en een aantal andere kwaadaardige programma's. Eenmaal geïnstalleerd, zal het hulpprogramma uw computer te scannen om te zien welke bestanden besmet zijn, en zal dan proberen om de worm te verwijderen en desinfecteer de computer. Als het hulpprogramma niet in slaagt om de worm met succes te verwijderen, uitgebreide handleiding instructies zijn beschikbaar in de Microsoft Knowledgebase artikel "Virus Alert over de Win32 / Conficker-worm (KB962007)." Geïnfecteerde netwerken moet offline worden terwijl ze schoongemaakt en mag niet worden aangesloten voordat alle machines zijn ontsmet en preventieve maatregelen ter voorkoming herinfectie.