קונפיקר

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש
התולעת נשלחת מהמחשב של יוצריה אל שרת מרוחק, ומשם מתפשטת למחשבים ברחבי העולם

קונפיקר (נקרא גם קונפיקר C או קונפיקרסי, באנגלית: Conficker, נודע גם בשמות רבים נוספים בהם: Downup ,Downandup ו-Kido) הוא וירוס מחשב מסוג תולעת שתקף באוקטובר 2008 מספר רב של מחשבים בעולם. התולעת תוקפת את מערכת ההפעלה חלונות[1]. היא מנצלת פרצת אבטחה הקיימת בגרסאות: Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, ובגרסת הבטא של Windows 7.

התולעת תוקפת בעיקר מחשבים עם סיסמאות רשת חלשות, פרצות אבטחה של מיקרוסופט ומחשבים בעלי תוכנות אנטי-וירוס לא מעודכנות.

הווירוס פועל על תקן "פצצת זמן", כלומר שהוא תוכנן לקבל הוראה של הורדה של נתונים מהמחשב האישי הנגוע בתאריך מסוים. התולעת כוונה ל-1 באפריל 2009. תאריך זה גרם לתהיות רבות באשר ליוצריו. יש שחשבו שמדובר במתיחה אחת גדולה לרגל התאריך. למרות זאת, בניגוד לציפיות, התולעת לא עשתה דבר ב-1 באפריל, אך היא עדיין עלולה "להתעורר" בהמשך ולקבל הוראות מיוצריה.‏[2]

פעילות[עריכת קוד מקור | עריכה]

התולעת גורמת נזק באמצעות גלישת חוצץ (buffer overflow), תקלת תכנות הגורמת לכך שתוכנית מחשב כותבת לאזור בזיכרון המחשב (החוצץ) יותר מידע מאשר אותו אזור מסוגל להכיל. כתוצאה מכך "גולש" חלק מהמידע אל מחוץ לגבולות החוצץ, ומשנה נתונים שלא היו אמורים להשתנות. התולעת משתמשת בבקשת RPC ייחודית כדי להפעיל את קוד התוכנה שלה על מחשב המטרה.

התולעת מבטלת שירותים חיוניים של מערכת ההפעלה חלונות כגון: Windows Automatic Update, Windows Security Center, Windows Defender ואף Windows Error Reporting. ביטול שירותים אלה לבדו לא גורם נזק מיידי למחשב אך הופך את המחשב לפגיע יותר וחושף אותו למתקפות שונות שאת חלקן היא עצמה עשויה ליזום בשלב השני של פעילותה.

התולעת פותחת דלת אחורית לקבלת הוראות נוספות משרת מרוחק. היא עשויה לקבל מהשרת אחת או יותר מההוראות הבאות: הוראה להתרבות ולהפיץ את עצמה, הוראה לאסוף מידע אישי על המחשב ועל המשתמש, הוראה להוריד מהשרת או ממקור אחר תוכנות זדוניות נוספות למחשב בו הופעלה‏[3]. כמו כן התולעת מתחברת לתהליכים‏[4] הבאים של מערכת ההפעלה: svchost.exe, explorer.exe וגם services.exe.

גרסאות[עריכת קוד מקור | עריכה]

גרסה A[עריכת קוד מקור | עריכה]

ידוע על לפחות גרסה נוספת אחת של התולעת. גרסה זו תיצור שרת HTTP חדש ותפתח פורט מקרי בין 1024 ל-10000. לאחר מכן היא תגרום למחשב להתחבר לשרת מרוחק על מנת להוריד עותק נוסף של התולעת. כמו כן היא תמחק את כל נקודות השחזור של מערכת ההפעלה‏‏‏[5], צעד נוסף שמטרתו להקשות על הטיפול בתולעת.

גרסאות B[עריכת קוד מקור | עריכה]

ישנן שתי גרסאות B. הראשונה נקראת בפשטות B, ואילו הגרסה המתקדמת זכתה לשם ++B. הגרסה המתקדמת משתמשת בטכניקות חדשות להורדת תוכנה משרתים מרוחקים. אפשרות זו מעניקה ליוצרי התולעת גמישות רחבה יותר בהפעלתה.

גרסה C[עריכת קוד מקור | עריכה]

הגרסה החדשה נוצרה לאחר הקמתה של קבוצת אבטחה שכינתה עצמה "קונפיקר קאבאל". הקבוצה פיצחה את האלגוריתם של הווירוס, ועלתה על "נקודות המפגש" של התולעת ברשת והשתלטה עליהן, ובכך חסמה את המשך ההפצה. הגרסה החדשה, כאמור, עוקפת התנגדות הזו. גרסה זו מונעת גישה לאתרים הקשורים לסוג כזה או אחר של אבטחה, וחוסמת את שירותי אבטחת המחשב.

סימפטומים[עריכת קוד מקור | עריכה]

  • טעויות במדיניות נעילת החשבון.‏[6]
  • שירותים שונים של מערכת ההפעלה, כגון Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender ו-Error Reporting Services לא יפעלו‏[6].‏
  • שרתי דומיין יגיבו באיטיות לבקשות המחשב‏[6].
  • עומס על הרשת‏‏‏‏‏[6].
  • בגישה לאתרים המקושרים לתוכנות אנטי-וירוס שונות אפשרות לעדכון מערכת ההפעלה תהיה חסומה‏[6].
  • התולעת מאפשרת ליוצריה לנצל מחשבים נגועים, על ידי שליטה מרחוק (מצב המכונה "מחשב זומבי"), לשורה של שימושים זדוניים: התקפות מניעת שירות (Dos), רישום הקשות מקשים, שליחת דואר זבל ("ספאם") ועוד.

הדבקה ונזקים[עריכת קוד מקור | עריכה]

התולעת מפיצה עצמה בעיקר דרך אתרים לא מהימנים ("זדוניים"), אך גם דרך התקנים חיצוניים, כדוגמת זיכרונות נשלפים כמו דיסק און-קי.

ב-16 בינואר 2009 דיווחה ספקית האנטי-וירוס F-Secure על 9 מיליון הדבקות בקירוב. ב-22 בינואר דיווח גם הניו יורק טיימס ש-9 מיליון מחשבים נדבקו בוירוס. הגארדיאן לעומת זאת דיווח על 3.5 מיליון מחשבים נגועים בלבד. על פי האתר upi.com עד ל-26 בינואר 15 מיליון מחשבים נדבקו.

הצלחתו של הוירוס בהדבקת מחשבים רבים הייתה גדולה בגלל שמשתמשי חלונות רבים לא הורידו את עדכון התוכנה הנדרש להגנה מפני הווירוס, גם חודשים רבים לאחר שיצא לרשת באוקטובר 2008.

משרד ההגנה של בריטניה דיווח שמערכות ומחשבים רבים בשימוש המשרד נדבקו. משרדים אדמיניסטרטיביים, הצי המלכותי וצוללות מלכותיות דיווחו על כך שנדבקו מהוירוס. בתי חולים בעיר שפילד דיווחו על 800 מחשבים שנדבקו.

ב-6 בפברואר מערכות ממוחשבות בשירות מערכת המשפט העירונית ביוסטון, טקסס, ארצות הברית נדבקו גם הן בוירוס. עד היום לא ידוע איך נכנס הוירוס למערכות אלה.

ב-13 בפברואר צבא גרמניה, הבונדסוור, דיווח שכמה מאות מהמחשבים בשימושו נפגעו.

באותו יום הודיעה מיקרוסופט שהיא מציעה פרס של 250,000 דולר למי שיספק מידע שיוביל למעצר והרשעת האנשים העומדים מאחורי יצירת התולעת והפצתה.

וירוס זה היה בין הוירוסים המזיקים בתולדות המחשוב האישי. משווים את נזקיו לאלו של התולעת SQL Slammer משנת 2003, וגם כן התולעת MyDoom (המוכר גם כ-Novag) משנת 2004, ומעריכים כי קונפיקר גרם נזקים גבוהים מאשר גרמו Sobig ,Klez ו-Ms-Blaster.‏‏‏[7]

טיפול והסרה[עריכת קוד מקור | עריכה]

עדכון תוכנה הקרוי MS08-067 המתקן את פרצת האבטחה שוחרר על ידי מיקרוסופט כבר ב-15 באוקטובר 2008, הרבה לפני שמישהו ניחש את ממדי הנזק שתגרום התולעת. עדכון התוכנה עובד רק בגרסאות הבאות: Windows XP בו מותקנת חבילת השירות השנייה או השלישית, Windows 2000 בו מותקנת חבילת השירות הרביעית, ו-Windows Vista. עדכון תוכנה עבור גרסאות מוקדמות יותר של Windows XP ו-Windows 2000 לא הופץ מכיוון שתקופת האחריות לתמיכה במוצרים אלה פגה.

כלים להסרת התולעת קיימים אצל ספקי התוכנה Microsoft, BitDefender, ESET, Symantec, Sophos, ו-.Kaspersky Lab. בתוכנת McAfee אפשר להסיר את התולעת בסריקה לפי בקשה. מכיוון שאחד האמצעים שדרכו עוברת התולעת הוא כונני USB, כדאי לבטל את אפשרות ה-AutoRun למדיה חיצונית בעזרת ה-Registry של חלונות.

קישורים חיצוניים[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ Three million hit by Windows worm. BBC News Online. BBC (2009-01-16). אוחזר ב־2009-01-16.
  2. ^ ‏‏‏קונפיקר לא תקפה ב-1 באפריל מתוך אתר נענע 10‏
  3. ^ Conficker Worm Attack Getting Worse: Here's How to Protect Yourself. PC World (2009-01-17). אוחזר ב־2009-01-18.
  4. ^ F-Secure Malware Information Pages. F-secure. אוחזר ב־2009-01-18.
  5. ^ Worm:Win32/Conficker.A‏, אתר מיקרוסופט (באנגלית)
  6. ^ 6.0 6.1 6.2 6.3 6.4 התראת וירוסים על התולעת Win32/Conficker.B, אתר מיקרוסופט (בעברית)
  7. ^ Worm Infects Millions of Computers Worldwide, הניו יורק טיימס‏, 22 בינואר 2009 (באנגלית)