Eset Conficker Remover Utility 6 февраля ESET выпустила утилиту для удаления червя Conficker, также известного, как Downadup или Kido. Eset Conficker Remover Utility способна удалять червя с уже зараженного компьютера. Вредоносная программа уже заразила более 10 миллионов компьютеров по всему миру. Win32/Conficker.A – червь, который распространяется, эксплуатируя уязвимость в операционной системе Windows. Первыми симптомами заражения являются прекращение обновления антивируса и невозможность попасть на сайты разработчиков антивирусных продуктов.



Win32/Conficker.A – червь, который распространяется, эксплуатируя уязвимость в операционной системе Windows. Первыми симптомами заражения являются прекращение обновления антивируса и невозможность попасть на сайты разработчиков антивирусных продуктов. Кроме того, помимо наличия собственной вредоносной функции, Conficker может стать промежуточным звеном для последующей атаки вирусов. Проникнув в компьютер, Conficker пытается дополнительно скачать вредоносные программы или рекламное ПО, обычно это варианты FakeAlert, Wigon.

Win32Conficker.A - другие названия:Net-Worm.Win32.Kido.t(Kaspersky); W32.Downadup (Symantec); W32/Conficker.worm (McAfee)
Тип проникновения -червь (Worm); Размер файла 62976 байт. Подверженные заражению платформы - Microsoft Windows.
Антивирусы Eset определяют Conficker с 01-12-2008, соответствующая версия базы вирусных сигнатур Eset: 3654 (20081201)
Win32/Conficker.A – это червь, который распространяется, эксплуатируя уязвимость в Server Service. Запускающий файл вируса упакован при помощи архива UPX.
Инсталляция.
Во время исполнения вирус копирует себя в директорию %system%, используя следующее имя: %variable%.dll , Где %variable% произвольные символы.
Библиотека %variable%.dll загружается и внедряется в следующий процесс: services.exe
Вирус регистрирует себя в системе, используя следующее имя файла: netsvcs.
Чтобы загружаться при каждом запуске системы, вирус устанавливает следующие ключи реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%\Parameters]
"ServiceDll" = "%system%\%variable%.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%]
"Image Path" = "%System Root%\system32\svchost.exe -k netsvcs"
Где %random service name% произвольные символы.

Распространение
Вирус запускает HTTP сервер на случайном порту. Сервер соединяется с удаленными машинами через порт TCP 445 и пытается проникнуть в систему, используя уязвимость в Server Service. Если проникновение проходит успешно удаленный компьютер подключается к зараженному компьютеру и скачивает копию вируса.
Другая информация
Если системная дата будет соответствовать определенному условию, то вирус попробует скачать несколько файлов из интернета. Эти файлы будут запущены. Вирус содержит адреса URL для скачивания файлов.

Список сервисов, которые отключаются при активации вируса: Windows Firewall

Чтобы избежать заражения, необходимо, во-первых, использовать постоянно обновляемое лицензионное антивирусное ПО, а во-вторых, установить обновление операционной системы Windows, доступное с октября 2008. Подробную информацию об уязвимости можно найти на сайте Microsoft.