Конфикер - Conficker

Конфикер
Conficker.svg
Псевдонимы
КлассификацияНеизвестный
ТипКомпьютерный вирус
ПодтипКомпьютерный червь

Конфикер, также известный как Вниз до, Downadup и Кидо, это компьютерный червь нацеленный на Майкрософт Виндоус Операционная система это было впервые обнаружено в ноябре 2008 года.[1] Он использует недостатки программного обеспечения ОС Windows и словарные атаки на пароли администратора для распространения при формировании ботнет, и противостоять ему было необычно сложно из-за совместного использования множества передовых методов вредоносного ПО.[2][3] Червь Conficker заразил миллионы компьютеров, включая правительственные, корпоративные и домашние, в более чем 190 странах, что сделало его крупнейшим известным заражением компьютерным червем с 2003 года. Велчия.[4]

Несмотря на широкое распространение, червь не причинил большого вреда, возможно потому, что его авторы - предположительно были украинскими преступниками - не решились использовать его из-за того внимания, которое он привлек. Четверо мужчин были арестованы, один признал себя виновным и был приговорен к 48 месяцам лишения свободы.

Распространенность

Оценить количество зараженных компьютеров было сложно, потому что вирус менял свою стратегию распространения и обновления от версии к версии.[5] В январе 2009 года оценочное количество зараженных компьютеров составляло почти 9 миллионов.[6][7][8] до 15 миллионов.[9] Microsoft сообщила, что с середины 2010 до середины 2011 года общее количество зараженных компьютеров, обнаруженных ее продуктами для защиты от вредоносных программ, оставалось на уровне 1,7 миллиона.[10][11] К середине 2015 года общее количество заражений упало примерно до 400 000,[12] и, по оценкам, в 2019 году она составила 500000 человек.[13]

История

Имя

Предполагается, что происхождение названия Conficker является комбинацией английский термин "настроить" и Немецкий уничижительный термин Фикер (англ. Подонок).[14] Аналитик Microsoft Джошуа Филлипс дает альтернативную интерпретацию имени, описывая его как перестановку частей доменного имени trafficconverter.biz[15] (с буквой k, отсутствующей в имени домена, добавленной как «трафик-менеджер», чтобы избежать «мягкого» звука c), который использовался ранними версиями Conficker для загрузки обновлений.

Открытие

Первый вариант Conficker, обнаруженный в начале ноября 2008 года, распространился через Интернет с помощью уязвимость в сетевая служба (MS08-067) на Windows 2000, Windows XP, Виндоус виста, Windows Server 2003, Windows Server 2008, и Windows Server 2008 R2 Бета.[16] Хотя Windows 7 могла быть подвержена этой уязвимости, бета-версия Windows 7 не была общедоступной до января 2009 года. Хотя Microsoft выпустила чрезвычайную из группы пластырь 23 октября 2008 г., чтобы закрыть уязвимость,[17] большое количество компьютеров с Windows (по оценкам, 30%) не обновлялось вплоть до января 2009 года.[18] Второй вариант вируса, обнаруженный в декабре 2008 г., добавил возможность распространяться по локальным сетям через съемные медиа и сетевые ресурсы.[19] Исследователи полагают, что это были решающие факторы, позволившие вирусу быстро распространяться.

Воздействие в Европе

Intramar, Французский флот компьютерная сеть была заражена Conficker 15 января 2009 года. Впоследствии сеть была помещена в карантин, в результате чего самолеты на нескольких авиабазах были остановлены из-за невозможности загрузки их планов полета.[20]

В Министерство обороны Соединенного Королевства сообщил, что заражены некоторые из его основных систем и настольных компьютеров. Вирус распространился по административным офисам, NavyStar / N * настольные компьютеры на борту различных военных кораблей Королевского флота и подводных лодок Королевского флота, а также больниц по всему городу Шеффилд сообщил о заражении более 800 компьютеров.[21][22]

2 февраля 2009 г. Бундесвер Объединенные вооруженные силы Германии сообщили, что заражено около сотни компьютеров.[23]

Инфекция Манчестер В феврале 2009 года ИТ-система городского совета вызвала сбои на сумму около 1,5 млн фунтов стерлингов. Использование USB-накопителей было запрещено, поскольку считалось, что они являются вектором первоначального заражения.[24]

В служебной записке директора Службы парламентских ИКТ Великобритании пользователи палата общин 24 марта 2009 г. он был заражен вирусом. В меморандуме, который впоследствии просочился, пользователям предлагалось избегать подключения к сети неавторизованного оборудования.[25]

В январе 2010 г. Полиция Большого Манчестера компьютерная сеть была заражена, что привело к ее отключению на три дня от Национальный компьютер полиции в качестве меры предосторожности; в это время офицеры были вынуждены просить другие силы провести плановые проверки транспортных средств и людей.[26]

Операция

Хотя почти все продвинутые вредоносное ПО методы, используемые Conficker, уже применялись в прошлом или хорошо известны исследователям, комбинированное использование этого множества вирусов чрезвычайно затруднило его искоренение.[27] Предполагается, что неизвестные авторы вируса также отслеживают усилия операторов сетей и правоохранительных органов по борьбе с вредоносным ПО и регулярно выпускают новые варианты, чтобы закрыть собственные уязвимости вируса.[28][29]

Известно пять вариантов вируса Conficker, получивших название Conficker A, B, C, D и E. Они были обнаружены 21 ноября 2008 г., 29 декабря 2008 г., 20 февраля 2009 г., 4 марта 2009 г. и 7 апреля 2009 г. соответственно.[30][31] Рабочая группа Conficker использует наименования A, B, B ++, C и E для одних и тех же вариантов соответственно. Это означает, что (CWG) B ++ эквивалентно (MSFT) C, а (CWG) C эквивалентно (MSFT) D.

ВариантДата обнаруженияПереносчики инфекцииОбновление распространенияСамозащитаКонец действия
Conficker A2008-11-21
  • NetBIOS
    • Использует уязвимость MS08-067 в службе сервера[29]
  • HTTP pull
    • Загрузки из trafficconverter.biz
    • Ежедневно загружается с любого из 250 псевдослучайных доменов более 5 TLD[32]

Никто

  • Обновляет себя до Conficker B, C или D[33]
Конфикер Б2008-12-29
  • NetBIOS
    • Использует уязвимость MS08-067 в службе сервера[29]
    • Атака по словарю на ADMIN $ акции[34]
  • Съемные медиа
    • Создает троян AutoRun на основе DLL на подключенных съемных дисках[19]
  • HTTP pull
    • Ежедневно загружается с любого из 250 псевдослучайных доменов более 8 TLD[32]
  • NetBIOS push
    • Исправляет MS08-067, чтобы открыть бэкдор повторного заражения в службе сервера[35][36]
  • Блокирует определенные запросы DNS
  • Отключает автообновление
  • Обновляет себя до Conficker C или D[33]
Конфикер С2009-02-20
  • NetBIOS
    • Использует уязвимость MS08-067 в службе сервера[29]
    • Атака по словарю на ADMIN $ акции[34]
  • Съемные медиа
    • Создает троян AutoRun на основе DLL на подключенных съемных дисках[19]
  • HTTP pull
    • Ежедневно загружается с 500 из 50 000 псевдослучайных доменов более 8 TLD в день[29]
  • NetBIOS push
    • Исправляет MS08-067, чтобы открыть бэкдор повторного заражения в службе сервера[35][36]
    • Создает именованный канал для получения URL-адреса с удаленного хоста, а затем загружает с URL-адреса
  • Блокирует определенные запросы DNS
  • Отключает автообновление
  • Обновляет себя до Conficker D[33]
Conficker D2009-03-04Никто
  • HTTP pull
    • Загружается ежедневно с любых 500 из 50000 псевдослучайных доменов более 110 TLD[32]
  • P2P push / pull
    • Использует настраиваемый протокол для сканирования зараженных узлов через UDP, а затем передает через TCP[37]
  • Блокирует определенные запросы DNS[38]
    • Делает патч в памяти DNSAPI.DLL блокировать поиск веб-сайтов, связанных с вредоносным ПО[38]
  • Отключает Безопасный режим[38]
  • Отключает автообновление
  • Убивает антивирус
    • Сканирует и завершает процессы с именами антивирусных программ, исправлений или диагностических утилит с интервалом в одну секунду[39]
  • Скачивает и устанавливает Conficker E[33]
Conficker E2009-04-07
  • NetBIOS
    • Использует уязвимость MS08-067 в службе сервера[40]
  • NetBIOS push
    • Исправляет MS08-067, чтобы открыть бэкдор повторного заражения в службе сервера
  • P2P push / pull
    • Использует настраиваемый протокол для сканирования зараженных узлов через UDP, а затем передает через TCP[37]
  • Блокирует определенные запросы DNS
  • Отключает автообновление
  • Убивает антивирус
    • Сканирует и завершает процессы с именами антивирусных программ, исправлений или диагностических утилит с интервалом в одну секунду[41]
  • Обновляет локальную копию Conficker C до Conficker D[42]
  • Скачивает и устанавливает вредоносное ПО:
  • Удаляет себя 3 мая 2009 г. (но оставляет оставшуюся копию Conficker D)[44]

Начальная инфекция

  • Варианты A, B, C и E используют уязвимость в серверной службе на компьютерах Windows, в которой уже зараженный исходный компьютер использует специально созданный RPC просьба заставить переполнение буфера и выполнить шеллкод на целевом компьютере.[45] На исходном компьютере вирус запускает HTTP сервер на порт от 1024 до 10000; целевой шелл-код снова подключается к этому HTTP-серверу для загрузки копии вируса в DLL форма, которую затем прикрепляет к svchost.exe.[36] Варианты B и более поздние могут подключаться к работающему services.exe или проводник Виндоус процесс.[29] Присоединение к этим процессам может быть обнаружено функцией доверия приложений установленного брандмауэра.
  • Варианты B и C могут удаленно выполнять свои копии через ADMIN $ доля на компьютерах видны поверх NetBIOS. Если общий ресурс защищен паролем, словарная атака предпринимается попытка, потенциально генерирующая большие объемы сетевого трафика и срабатывающая политики блокировки учетных записей пользователей.[46]
  • Варианты B и C помещают копию своей формы DLL в корзина любых прикрепленных съемные медиа (например, USB-накопители), с которых они могут затем заразить новые хосты через Windows Автозапуск механизм[19] используя манипулируемый autorun.inf.

Чтобы запустить себя при загрузке системы, вирус сохраняет копию своей DLL-формы под произвольное имя файла в системе Windows или папке system32, а затем добавляет ключи реестра, чтобы svchost.exe вызвать эту DLL как невидимую сетевую службу.[29]

Распространение полезной нагрузки

У вируса есть несколько механизмов для выталкивания или тянущий исполняемый файл полезные нагрузки по сети. Эти полезные данные используются вирусом для обновления себя до новых вариантов и для установки дополнительных вредоносных программ.

  • Вариант A создает список из 250 доменные имена каждый день через пять TLD. Доменные имена генерируются из генератор псевдослучайных чисел (PRNG) с текущей датой, чтобы гарантировать, что каждая копия вируса генерирует одни и те же имена каждый день. Затем вирус пытается установить HTTP-соединение с каждым доменным именем по очереди, ожидая от любого из них подписанной полезной нагрузки.[29]
  • Вариант B увеличивает количество TLD до восьми и имеет настроенный генератор для создания доменных имен. непересекающийся из таковых А.[29]
    • Чтобы противостоять использованию вирусом псевдослучайных доменных имен, Интернет-корпорация по присвоению имен и номеров (ICANN) и несколько TLD реестры начал в феврале 2009 г. скоординированный запрет переводы и регистрации для этих доменов.[47] Вариант D противостоит этому, ежедневно генерируя пул из 50 000 доменов в 110 TLD, из которых он случайным образом выбирает 500 для попытки в этот день. Сгенерированные доменные имена также были сокращены с 8–11 до 4–9 символов, чтобы их было труднее обнаружить с помощью эвристика. Этот новый механизм вытягивания (который был отключен до 1 апреля 2009 г.)[30][39] вряд ли будет распространять полезные данные на более чем 1% зараженных хостов в день, но ожидается, что он будет работать как механизм посева для одноранговой сети вируса.[32] Однако ожидается, что более короткие сгенерированные имена будут сталкиваться со 150–200 существующими доменами в день, что может вызвать распределенная атака отказа в обслуживании (DDoS) на сайтах, обслуживающих эти домены. Однако большое количество сгенерированных доменов и тот факт, что не с каждым доменом будет связываться в течение определенного дня, вероятно, предотвратят DDoS-ситуации.[48]
  • Вариант C создает именованный канал, на которую он может давить URL для загрузки полезных данных на другие зараженные хосты на локальная сеть.[39]
  • Варианты B, C и E работают в памяти патчи в библиотеки DLL, связанные с NetBIOS, чтобы закрыть MS08-067 и проследить за попытками повторного заражения через ту же уязвимость. Повторное заражение из более поздних версий Conficker разрешено, что эффективно превращает уязвимость в распространение задняя дверь.[35]
  • Варианты D и E создают специальную одноранговая сеть для отправки и получения полезных данных через более широкий Интернет. Этот аспект вируса сильно запутанный в коде и не полностью изучены, но было замечено использование крупномасштабных UDP сканирование для создания однорангового списка зараженных хостов и TCP для последующих передач подписанных полезных нагрузок. Чтобы усложнить анализ, номера портов для подключений хешированный от айпи адрес каждого сверстника.[37][39]

Бронирование

Чтобы предотвратить захват полезной нагрузки, сначала используются полезные нагрузки варианта А. SHA-1 -хешированный и RC4 -зашифрованный с 512-битным хешем как ключ. Тогда хеш ЮАР -подписано 1024-битным закрытым ключом.[36] Полезная нагрузка распаковывается и выполняется только в том случае, если ее подпись подтверждается открытый ключ встроен в вирус. Варианты B и более поздние используют MD6 в качестве их хэш-функции и увеличьте размер ключа RSA до 4096 бит.[39] Conficker B принял MD6 всего через несколько месяцев после его первой публикации; Через шесть недель после того, как в ранней версии алгоритма была обнаружена слабость и была опубликована новая версия, Conficker перешел на новый MD6.[3]

Самозащита

DLL-форма вируса защищена от удаления путем установки ее владельца на "СИСТЕМА", что блокирует его удаление, даже если пользователю предоставлены права администратора. Вирус хранит резервную копию этой библиотеки DLL, замаскированной под изображение .jpg, в кэше Internet Explorer пользователя. сетевые услуги.

Вариант C сброса вируса Восстановление системы указывает и отключает ряд системных служб, таких как Автоматическое обновление Windows, Центр безопасности Windows, Защитник Windows и Отчеты об ошибках Windows.[49] Процессы, соответствующие предопределенному списку антивирусных, диагностических или системных средств исправления, отслеживаются и завершаются.[50] К системе также применяется патч в памяти. решатель DLL, чтобы заблокировать поиск имен хостов, связанных с поставщиками антивирусного программного обеспечения и службой Центра обновления Windows.[39]

Конец действия

Вариант E вируса был первым, кто использовал свою базу зараженных компьютеров для скрытых целей.[43] Он загружает и устанавливает с веб-сервера, размещенного в Украине, две дополнительные полезные нагрузки:[51]

Симптомы

Симптомы инфекции Conficker включают:

Ответ

12 февраля 2009 года Microsoft объявила о создании отраслевой группы для совместной борьбы с Conficker. В состав группы, которую с тех пор неофициально окрестили Conficker Cabal, входят Microsoft, Афилиас, ICANN, Neustar, Verisign, Информационный центр Китайской сети Интернет, Публичный интернет-реестр, Global Domains International, M1D Global, Америка Онлайн, Symantec, F-Secure, ISC, исследователи из Технологический институт Джорджии, The Shadowserver Foundation, Arbor Networks и Support Intelligence.[3][28][58]

От Microsoft

13 февраля 2009 г. Microsoft предложила Долл. США Награда в размере 250 000 за информацию, которая привела к аресту и осуждению лиц, стоящих за созданием и / или распространением Conficker.[59]

Из реестров

ICANN добивалась упреждающего запрета на передачу доменов и регистрацию всех TLD реестры, затронутые генератором доменов вируса. Те, которые приняли меры, включают:

  • 13 марта 2009 г. NIC Чили, .cl Реестр ccTLD, заблокировал все доменные имена, проинформированные Рабочей группой Conficker, и проверил сотню уже зарегистрированных из списка червей.[60]
  • 24 марта 2009 г. CIRA Канадское управление регистрации в Интернете заблокировало все ранее незарегистрированные .ca доменные имена, которые, как ожидается, будут генерироваться вирусом в течение следующих 12 месяцев.[61]
  • 27 марта 2009 г. NIC-Panama, .pa Реестр ccTLD, заблокировал все доменные имена, проинформированные Рабочей группой Conficker.[62]
  • 30 марта 2009 г. ВЫКЛЮЧАТЕЛЬ, то Швейцарский ccTLD реестр объявил, что «принимает меры для защиты интернет-адресов с окончанием .ch и .li от компьютерного червя Conficker ".[63]
  • 31 марта 2009 г. НАСК, то Польский реестр ccTLD, заблокировано более 7000 .pl домены, которые, как ожидается, будут созданы вирусом в течение следующих пяти недель. NASK также предупредил, что трафик-червь может непреднамеренно вызвать DDoS атака на легитимные домены, попавшие в сгенерированный набор.[64]
  • 2 апреля 2009 г. Island Networks, реестр ccTLD для Гернси и Джерси, подтверждено после расследований и связи с IANA это не .gg или же .je имена входили в набор имен, созданных вирусом.

К середине апреля 2009 года все доменные имена, генерируемые Conficker A, были успешно заблокированы или зарегистрированы с упреждением, что сделало его механизм обновления неэффективным.[65]

Источник

Члены рабочей группы заявили на конференции 2009 г. Брифинги Black Hat который Украина является вероятным происхождением вируса, но отказался раскрыть дальнейшие технические открытия о внутреннем устройстве вируса, чтобы не утаить его авторов.[66] Первоначальный вариант Conficker не заражал системы с украинскими IP-адресами или украинскими раскладками клавиатуры.[3] Полезная нагрузка Conficker.E была загружена с сервера в Украине.[51]

В 2015 году Фил Поррас, Винод Егнесваран и Хасан Саиди, которые первыми обнаружили и реконструировали Conficker, написали в Журнал чувствительных кибер-исследований и инженерии, засекреченное, рецензируемое издание правительства США по кибербезопасности, согласно которому они отслеживали вредоносное ПО до группы украинских киберпреступников. Поррас и другие. считали, что преступники покинули Conficker после того, как он распространился гораздо шире, чем они предполагали, полагая, что любая попытка его использования привлечет слишком много внимания со стороны правоохранительных органов во всем мире. Это объяснение широко применяется в области кибербезопасности.[13]

В 2011 году, сотрудничая с ФБР, украинская полиция арестовала трех украинцев, связанных с Conficker, но нет никаких записей о том, что они были привлечены к ответственности или осуждены. Швед Микаэль Саллнерт был приговорен к 48 месяцам тюремного заключения в США после признания себя виновным.[13]

Удаление и обнаружение

Из-за того, что вирусные файлы заблокированы от удаления, пока система работает, само удаление вручную или автоматически должно выполняться в процессе загрузки или при установленной внешней системе. Удаление любой существующей резервной копии - важный шаг.

Microsoft выпустила руководство по удалению вируса и рекомендовала использовать текущую версию его Средство удаления вредоносных программ для Windows[67] чтобы удалить вирус, затем примените патч, чтобы предотвратить повторное заражение.[68] Новые версии Windows невосприимчивы к Conficker.[13]

Стороннее ПО

Многие сторонние поставщики антивирусного программного обеспечения выпустили обновления для обнаружения своих продуктов и заявляют, что могут удалить червя. Развитие вредоносного ПО показывает некоторую адаптацию к общему программному обеспечению для удаления, поэтому вполне вероятно, что некоторые из них могут удалить или, по крайней мере, отключить некоторые варианты, в то время как другие останутся активными или, что еще хуже, дадут ложное срабатывание программному обеспечению для удаления и станут активными при следующей перезагрузке.

Автоматическое удаленное обнаружение

27 марта 2009 г. Феликс Ледер и Тилльманн Вернер из Honeynet Project обнаружил, что зараженные Conficker узлы имеют обнаруживаемую сигнатуру при удаленном сканировании.[36] В пиринговый командный протокол, используемый вариантами D и E вируса, с тех пор частично реконструированный, что позволяет исследователям имитировать командные пакеты вирусной сети и массово идентифицировать зараженные компьютеры.[69][70]

Обновления подписи для ряда приложения для сканирования сети теперь доступны.[71][72]

Его также можно обнаружить в пассивном режиме с помощью нюхать широковещательные домены для повторения ARP Запросы.

США CERT

В Группа готовности к компьютерным чрезвычайным ситуациям США (US-CERT) рекомендует отключить Автозапуск для предотвращения распространения варианта B вируса через съемные носители. До выпуска статьи KB967715 базы знаний Майкрософт,[73] US-CERT охарактеризовал рекомендации Microsoft по отключению автозапуска как «не полностью эффективные» и предоставил обходной путь для более эффективного отключения.[74] US-CERT также предоставил федеральным агентствам и агентствам штата сетевой инструмент для обнаружения хостов, зараженных Conficker.[75]

Смотрите также

Рекомендации

  1. ^ Защитите себя от компьютерного червя Conficker, Microsoft, 9 апреля 2009 г., получено 28 апреля 2009
  2. ^ Марков, Джон (26 августа 2009 г.). «Не обращая внимания на экспертов, мошеннический компьютерный код все еще скрывается». Нью-Йорк Таймс. Получено 27 августа 2009.
  3. ^ а б c d Боуден, Марк (Июнь 2010 г.), Враг внутри, Атлантический океан, получено 15 мая 2010
  4. ^ Марков, Джон (22 января 2009 г.). «Червь заражает миллионы компьютеров по всему миру». Нью-Йорк Таймс. Получено 23 апреля 2009.
  5. ^ Макмиллан, Роберт (15 апреля 2009 г.), «Эксперты спорят о цифрах Conficker», Techworld, IDG, получено 23 апреля 2009
  6. ^ "Часы тикают код атаки червя". BBC News Online. BBC. 20 января 2009 г.. Получено 16 января 2009.
  7. ^ Салливан, Шон (16 января 2009 г.). «Превентивный черный список и другие номера для Downadup». F-Secure. Получено 16 января 2009.
  8. ^ Нилд, Барри (16 января 2009 г.), Downadup Worm делает возможным захват миллионов компьютеров, CNN, получено 18 января 2009
  9. ^ Вирус поражает 15 миллионов компьютеров, UPI, 26 января 2009 г., получено 25 марта 2009
  10. ^ Отчет Microsoft Security Intelligence: том 11 (PDF), Microsoft, 2011 г., получено 1 ноября 2011
  11. ^ Отчет Microsoft Security Intelligence: том 10 (PDF), Microsoft, 2010 г., получено 1 ноября 2011
  12. ^ Открытие банки с червями: почему Конфикер просто не умрет, не умрет, не умрет?, ZDNet, 10 июня 2015, получено 17 января 2017
  13. ^ а б c d Боуден, Марк (29 июня 2019 г.). «Червь, чуть не съевший Интернет». Нью-Йорк Таймс. Получено 30 июн 2019.
  14. ^ Григонис, Ричард (13 февраля 2009 г.), Вознаграждение Microsoft за создание червей Conficker в размере 5 миллионов долларов США, IP-коммуникации, получено 1 апреля 2009
  15. ^ Филлипс, Джошуа, Центр защиты от вредоносных программ - Запись: Червь: Win32 / Conficker.A, Microsoft, получено 1 апреля 2009
  16. ^ Леффолл, Джабулани (15 января 2009 г.). "Червь Conficker все еще наносит ущерб системам Windows". Государственные компьютерные новости. Получено 29 марта 2009.
  17. ^ Бюллетень по безопасности Microsoft MS08-067 - критический; Уязвимость в серверной службе делает возможным удаленное выполнение кода (958644), Корпорация Майкрософт, получено 15 апреля 2009
  18. ^ Лейден, Джон (19 января 2009 г.), Три из 10 компьютеров с Windows по-прежнему уязвимы для эксплойта Conficker, Регистр, получено 20 января 2009
  19. ^ а б c d Нахорни, Бен; Парк, Джон (13 марта 2009 г.), "Распространение с помощью автозапуска" (PDF), Кодекс Даунадупа, Symantec, п. 32, получено 1 апреля 2009
  20. ^ Уилшер, Ким (7 февраля 2009 г.), Французские истребители приземлились из-за компьютерного червя, Лондон: The Daily Telegraph., получено 1 апреля 2009
  21. ^ Уильямс, Крис (20 января 2009 г.), Через две недели сети Минобороны по-прежнему заражены вредоносным ПО, Регистр, получено 20 января 2009
  22. ^ Уильямс, Крис (20 января 2009 г.), Conficker захватывает сеть городских больниц, Регистр, получено 20 января 2009
  23. ^ Conficker-Wurm infiziert hunderte Bundeswehr-Rechner (на немецком языке), PC Professionell, 16 февраля 2009 г., архивировано с оригинал 21 марта 2009 г., получено 1 апреля 2009
  24. ^ Лейден, Джон (1 июля 2009 г.). «Conficker покинул Манчестер, не имея возможности выписывать штрафы». Реестр.
  25. ^ Лейден, Джон (27 марта 2009 г.), В просочившейся записке говорится, что Conficker захватывает парламент, Регистр, получено 29 марта 2009
  26. ^ «Вирус Conficker поражает компьютеры полиции Манчестера». Новости BBC. 2 февраля 2010 г.. Получено 2 февраля 2010.
  27. ^ Нахорни, Бен; Парк, Джон (13 марта 2009 г.), "Распространение с помощью автозапуска" (PDF), Кодекс Даунадупа, Symantec, п. 2, получено 1 апреля 2009
  28. ^ а б Марков, Джон (19 марта 2009 г.), «Компьютерные эксперты объединяются для охоты на червя», Нью-Йорк Таймс, получено 29 марта 2009
  29. ^ а б c d е ж грамм час я Филипп Поррас, Хассен Саиди, Винод Егнесваран (19 марта 2009 г.), Анализ Conficker, SRI International, архив из оригинал 14 февраля 2009 г., получено 29 марта 2009CS1 maint: использует параметр авторов (связь)
  30. ^ а б Тиу, Винсент (27 марта 2009 г.), Центр защиты от вредоносных программ Microsoft: информация о черве: Win32 / Conficker.D, Microsoft, заархивировано из оригинал 31 марта 2009 г., получено 30 марта 2009
  31. ^ Макалинталь, Иван; Сепе, Джозеф; Фергюсон, Пол (7 апреля 2009 г.), СКАЧАТЬ / Часы Conficker: новый вариант в миксе?, Trend Micro, заархивировано из оригинал 31 января 2010 г., получено 7 апреля 2009
  32. ^ а б c d Парк, Джон (27 марта 2009 г.), W32.Downadup.C Генерация псевдослучайного доменного имени, Symantec, получено 1 апреля 2009
  33. ^ а б c d Нахорни, Бен (21 апреля 2009 г.). «Соединяя точки: варианты Downadup / Conficker». Symantec. Получено 25 апреля 2009.
  34. ^ а б Чиен, Эрик (18 февраля 2009 г.), Downadup: самоограничение, Symantec, заархивировано из оригинал 17 декабря 2012 г., получено 3 апреля 2009
  35. ^ а б c Чиен, Эрик (19 января 2009 г.), Downadup: одноранговое распределение полезной нагрузки, Symantec, заархивировано из оригинал 17 декабря 2012 г., получено 1 апреля 2009
  36. ^ а б c d е Ледер, Феликс; Вернер, Тилльманн (7 апреля 2009 г.), Знай своего врага: сдерживая конфикер (PDF), Проект HoneyNet, заархивировано из оригинал (PDF) 12 июня 2010 г., получено 13 апреля 2009
  37. ^ а б c W32.Downadup.C поддерживает P2P, Symantec, 20 марта 2009 г., архивировано из оригинал 17 декабря 2012 г., получено 1 апреля 2009
  38. ^ а б c Леунг, Ка Чун; Кирнан, Шон (6 апреля 2009 г.), W32.Downadup.C Технические детали, получено 10 апреля 2009
  39. ^ а б c d е ж Поррас, Филипп; Саиди, Хассен; Егнесваран, Винод (19 марта 2009 г.), Анализ Conficker C (черновик), SRI International, архив из оригинал 14 февраля 2009 г., получено 29 марта 2009
  40. ^ а б Фитцджеральд, Патрик (9 апреля 2009 г.), W32.Downadup.E - Назад к основам, Symantec, заархивировано из оригинал 17 декабря 2012 г., получено 10 апреля 2009
  41. ^ Патнэм, Аарон, Вирусная энциклопедия: Червь: Win32 / Conficker.E, Microsoft, получено 15 февраля 2015
  42. ^ Нахорни, Бен; Парк, Джон (21 апреля 2009 г.), «Соединяя точки: варианты Downadup / Conficker» (PDF), Кодекс Даунадупа (2.0 изд.), Symantec, п. 47, получено 19 июн 2009
  43. ^ а б Кейзер, Грегг (9 апреля 2009 г.), Conficker обналичивает, устанавливает спам-ботов и пугающее ПО, Computerworld, заархивировано из оригинал 17 апреля 2009 г., получено 10 апреля 2009
  44. ^ Люнг, Качун; Лю, Яна; Кирнан, Шон (10 апреля 2009 г.), W32.Downadup.E Технические подробности, Symantec, получено 10 апреля 2009
  45. ^ Cve-2008-4250, Распространенные уязвимости и подверженности, Департамент внутренней безопасности, 4 июня 2008 г., архивировано из оригинал 13 января 2013 г., получено 29 марта 2009
  46. ^ "Пароли, используемые червем Conficker". Sophos. Архивировано из оригинал 21 января 2009 г.. Получено 16 января 2009.
  47. ^ Робертсон, Эндрю (12 февраля 2009 г.), Microsoft сотрудничает с промышленностью, чтобы избавиться от червя Conficker, ICANN, получено 1 апреля 2009
  48. ^ Ледер, Феликс; Вернер, Тилльманн (2 апреля 2009 г.), Содержит Conficker, Институт компьютерных наук, Боннский университет, получено 3 апреля 2009
  49. ^ Win32 / Conficker.C, CA, 11 марта 2009 г., получено 29 марта 2009
  50. ^ Центр защиты от вредоносных программ - Запись: Червь: Win32 / Conficker.D, Microsoft, получено 30 марта 2009
  51. ^ а б Кребс, Брайан (10 апреля 2009 г.), "Conficker Worm пробуждается, загружает незаконное антивирусное программное обеспечение", Вашингтон Пост, получено 25 апреля 2009
  52. ^ О'Мурчу, Лиам (23 декабря 2008 г.), W32.Waledac Технические детали, Symantec, получено 10 апреля 2009
  53. ^ Хиггинс, Келли Джексон (14 января 2009 г.), Ботнет Storm возвращается, DarkReading, получено 11 апреля 2009
  54. ^ Куган, Питер (23 января 2009 г.), Валедак - Угадай, какой из них тебе?, Symantec, заархивировано из оригинал 17 декабря 2012 г., получено 11 апреля 2009
  55. ^ Гостев, Алекс (9 апреля 2009 г.), Бесконечная история, Лаборатория Касперского, получено 13 апреля 2009
  56. ^ "Оповещение о вирусе червя Win32 / Conficker.B". Microsoft. 15 января 2009 г.. Получено 22 января 2009.
  57. ^ "Virusencyclopedie: Worm: Win32 / Conficker.B". Microsoft. Получено 3 августа 2009.
  58. ^ О'Доннелл, Адам (12 февраля 2009 г.), Microsoft объявляет об отраслевом альянсе и получает 250 тысяч долларов за борьбу с Conficker, ZDNet, получено 1 апреля 2009
  59. ^ Microsoft сотрудничает с промышленностью, чтобы уничтожить червь Conficker (Microsoft предлагает вознаграждение в размере 250 000 долларов за арест и осуждение Conficker)., Microsoft, 12 февраля 2009 г., архивировано из оригинал 15 февраля 2009 г., получено 22 сентября 2009
  60. ^ NIC Chile Participa en esfuerzo mundial en contra del gusano Conficker (на испанском языке), NIC Chile, 31 марта 2009 г., архивировано с оригинал 8 апреля 2009 г., получено 31 марта 2009
  61. ^ CIRA работает с международными партнерами над противодействием Conficker C, CIRA, 24 марта 2009 г., архивировано из оригинал 29 апреля 2009 г., получено 31 марта 2009
  62. ^ NIC-Panama colabora en esfuerzo mundial en contra del Gusano Conficker. (на испанском языке), NIC-Panama, 27 марта 2009 г., архивировано с оригинал 27 июля 2011 г., получено 27 марта 2009
  63. ^ Д'Алессандро, Марко (30 марта 2009 г.), SWITCH принимает меры для защиты от компьютерного червя Conficker, ВЫКЛЮЧАТЕЛЬ, получено 1 апреля 2009
  64. ^ Бартосевич, Анджей (31 марта 2009 г.), Jak działa Conficker? (на польском языке), Webhosting.pl, заархивировано с оригинал 25 июля 2011 г., получено 31 марта 2009
  65. ^ Манискальчи, Джаго (7 июня 2009 г.), Conficker.A DNS Rendezvous Анализ, Цифровая угроза, получено 26 июн 2009
  66. ^ Грин, Тим (31 июля 2009 г.), Обсуждение Conficker продезинфицировано в Black Hat для защиты расследования, Сетевой мир, заархивировано из оригинал 27 января 2010 г., получено 28 декабря 2009
  67. ^ Средство удаления вредоносных программ, Microsoft, 11 января 2005 г., получено 29 марта 2009
  68. ^ Защитите себя от компьютерного червя Conficker, Microsoft, 27 марта 2009 г., архивировано из оригинал 3 апреля 2009 г., получено 30 марта 2009
  69. ^ Боуз, Рон (21 апреля 2009 г.), Сканирование одноранговых узлов Conficker, ЧерепБезопасность, получено 25 апреля 2009
  70. ^ W32.Downadup Скрипт сканера P2P для Nmap, Symantec, 22 апреля 2009 г., архивировано из оригинал 17 декабря 2012 г., получено 25 апреля 2009
  71. ^ Боуз, Рональд (30 марта 2009 г.), Сканирование на наличие Conficker с помощью Nmap, ЧерепБезопасность, получено 31 марта 2009
  72. ^ Асадурян, Пол (1 апреля 2009 г.), Выпущен обновленный плагин обнаружения Conficker, Tenable Security, заархивировано из оригинал 26 сентября 2010 г., получено 2 апреля 2009
  73. ^ «Как отключить функцию автозапуска в Windows». Microsoft. 27 марта 2009 г.. Получено 15 апреля 2009.
  74. ^ Техническое предупреждение кибербезопасности TA09-020A: Microsoft Windows не отключает автозапуск должным образом, US-CERT, 29 января 2009 г., получено 16 февраля 2009
  75. ^ DHS выпускает инструмент обнаружения компьютерных червей Conficker / Downadup, Департамент внутренней безопасности, 30 марта 2009 г., получено 1 апреля 2009

внешняя ссылка