Jak wykryć i usunąć robaka Conficker?

Przeczytaj także: Robak internetowy Kido na oku Kaspersky Lab

Od momentu pojawienia się, 21 listopada 2008 roku, robak ten jest nieustannie rozwijany. Obecnie Kaspersky Lab zidentyfikował i skategoryzował pięć głównych wariantów Confickera. Zostały oznaczone literami od A do E. Najnowsza wersja została zidentyfikowana 8 kwietnia. Poza tym istnieją setki modyfikacji.

Eksperci zauważają, że każdy wariant wykorzystuje do rozprzestrzeniania się tę samą lukę. Niektóre posuwają się jednak dalej. Na przykład dwa pierwsze warianty, A i B, instalują na komputerze ofiary niewielki serwer sieciowy. Conficker.B potrafi również rozprzestrzeniać się poprzez współdzielenie plików oraz nośniki wymienne, takie jak pamięć USB. Robak kopiuje się na nośnik wymienny lub inne przenośne urządzenia do przechowywania danych i aktywuje się za pomocą funkcji AutoRun/AutoPlay, która w większości systemów Windows jest domyślnie włączona.

Zdaniem Piotra Kupczyka nie ma zatem nic dziwnego w tym, że wkrótce po pojawieniu się tego szkodnika w dość krótkim czasie zainfekowana została spora liczba systemów. Nawet Brytyjskie Ministerstwo Obrony musiało przyznać, że Conficker zaatakował okręty wojenne, podwodne oraz samo ministerstwo. W Sheffield zainfekowanych zostało 800 komputerów PC w wielu szpitalach. Szkodnik nie oszczędził ani Niemieckiej Armii, ani Brytyjskiej Izby Gmin.

Czas działać

Kaspersky Lab uspokaja, iż pomimo tego, co zostało napisane, nie należy się martwić, ponieważ „odrobaczenie” komputera nie jest wcale takie trudne. Eksperci radzą:

• Po pierwsze, załataj we wszystkich komputerach z systemem Windows wykorzystywaną przez szkodnika lukę. Łatka dostępna jest na poniższej stronie: http://www.microsoft.com/poland/technet/security/bulletin/MS08-067.mspx.
• Upewnij się, że wszystkie komputery posiadają włączone i aktualne rozwiązanie antywirusowe.
• Rozsądnym środkiem zapobiegawczym jest również wyłączenie funkcji AutoRun/AutoPlay, szczególnie gdy nie potrzebujesz jej w swojej codziennej pracy.

Przydatne wskazówki oferuje również Microsoft na stronie http://support.microsoft.com/kb/953252 oraz http://support.microsoft.com/kb/967715.

Na razie jest dobrze. Jednak jak zdobyć pewność, że w Twojej sieci nie ma komputerów zainfekowanych Confickerem? Jak czytamy w artykule odpowiedź jest prosta: skorzystaj z wyspecjalizowanych narzędzi od dostawców rozwiązań bezpieczeństwa. Są one darmowe, a ich uzyskanie nie wymaga zakupu oprogramowania od takiego dostawcy.

Na koniec autor artykułu przedstawia kilka porad, w jaki sposób można przechytrzyć wirusa, aby nie dostał się do naszego systemu. Niewielki program może przygotować komputer w taki sposób, aby „prawdziwy” wirus sądził, że system został już zainfekowany, i omijał go. Program nosi nazwę „Nonficker" i jest dostępny na stronie http://iv.cs.uni-bonn.de/uploads/media/nonficker_01.zip.

Jeżeli zainfekowany system blokuje dostęp do ważnej strony, Kaspersky Lab podaje, iż pomocne będzie pewne proste polecenie: otwórz wiersz poleceń MS-DOS (Start -> Uruchom...) i wpisz następujące polecenie: NET STOP DNSCACHE. Dostęp do zablokowanych stron internetowych zostanie przywrócony i będzie można pobrać narzędzia potrzebne do elektronicznego „odrobaczania”.