По мнению экспертов, именно 1 апреля должен сработать триггер интернет-червя Conficker. Специалисты лаборатории eWEEK Labs оценивают потенциал угрозы этого вируса, а также объясняют, почему уязвимости, которые использует Conficker, должны заставить ИT-менеджеров дважды подумать об апгрейде Windows, либо поразмыслить об ее альтернативе.

Conficker — это вредононосное ПО, которое (уже свыше 4 месяцев) использует различные уязвимости для проникновения на «незаплатанные» настольные  и серверные системы Windows. В последнее время вирус привлек всеобщее внимание в связи с триггером, которые должен сработать 1 апреля. Именно такая дата была обнаружена в самой последней версии червя. Как предполагают эксперты, в этот день инфицированные Conficker’ом машины будут отправлять данные в Сеть на указанный создателями вируса узел.

По-видимому, цель разработчиков Conficker заключается в создании bot-сети, которая будет выполнять различные противоправные действия посредством прокси-сервера. Но вряд ли кто-нибудь точно знает, какими идеями руководствовались создатели червя.

В октябре 2008 Microsoft выпустила исправление для уязвимости, которую использовал Conficker. Впрочем, на сегодняшний день миллионы компьютеров все еще работают без этой заплаты.

Для предотвращения атаки Conficker’a рекомендуется немедленно установить в системе все выпущенные Microsoft заплаты, а также активировать файрвол и антивирусное ПО для блокирования деятельности червя и его детектирования с последующим удалением.

Как Conficker заражает систему?

Для своего распространения Conficker использует уязвимости переполнения буфера в службе Windows Server, которая, среди прочего, отвечает за возможность совместного использования локальных ресурсов, таких как жесткие диски и принтеры, для других машин в сети. Conficker использует эту уязвимость для выполнения кода в ОС Windows, при этом не требуя от пользователя системы открытия какого-либо файла или посещения определенного веб-сайта. При этом код выполняется независимо от того, под какими правами работает пользователь ПК — администраторскими или ограниченными.

Windows 2000, XP и Server 2003 особенно уязвимы для Conficker, поскольку атакуемая служба сервера в этих системах сконфигурирована так, что разрешает допуск анонимных пользователей. В октябре 2008 Microsoft представила информацию по удалению компонента ACL (Access Control List, список контроля доступа), который разрешает этот анонимный доступ. Но поскольку ACL жестко зашита в Windows DLL, эта модификация доступа должна выполняться после каждой перезагрузки системы.

В ОС Windows Vista, Windows Server 2008 и грядущей Windows 7 доступ к уязвимому сервису для аутентифицированного пользователя ограничивается по умолчанию, однако активация беспарольной опции по совместному использованию файлов восстанавливает анонимный доступ, а вместе с ним — открывает и уязвимость для инфицирования посредством Conficker.

Способы борьбы

Новые машины с Windows XP SP2, Vista и Server 2008 без установленных заплат с включенным Windows-файрволом способны блокировать уязвимый RPC-интерфейс (Remote Procedure Call, удаленный вызов процедуры), однако общее исключение, которое позволяет совместное использование файлов и принтеров, открывает двери для Conficker. Но даже при отключенном файрволе доступ к уязвимым сервисам в машинах с ОС Vista и Server 2008 разрешается только с других компьютеров в этой же сетевой зоне. Например, разделение ресурсов в  ведомственных сетях не разрешает доступ к инфицированным Conficker узлам.

Файрвол и требования службы аутентификации с одной стороны, Windows Vista и Server 2008 с другой, способны уменьшить риск заражения Conficker’ом благодаря технологии Address Space Layout Randomization, которая в совокупности с функцией Data Execution Protection, представленной в XP SP2, значительно затрудняет использование уязвимости переполнения буфера, на которую ориентируется Conficker.