Conficker, Downadup, Kido

Acesta este viermele care a reusit sa infesteze 9 milioane de PC-uri in doua saptamani.
Denumirea oficiala este Win32/Conficker, insa firmele producatoare de antivirus l-au denumit diferit (Downadup, Kido ...) si exista deja mai multe variante. Este un virus periculos care infecteaza sistemele exploatand o vulnerabilitate a serviciului Windows Server (svchost.exe).

Mod de actionare
Deschide un port aleatoriu si actioneaza ca un server web descarcand noi fisiere periculoase (malware). Raspandeste spam, poate gazdui diverse site-uri si poate afisa false mesaje de alarma prin care utilizatorul este sfatuit sa cumpere diverse false softuri de securitate, cum ar fi AntivirusXP2009 si VirusRemover2009.

Dezactiveaza anumite servicii (Windows Update Service, Background Intelligent Transfer Service, Windows Defender, Windows Error Reporting Services) si nu permite rularea softurilor de securitate sau descarcarea fisierelor pentru protectie de pe anumite site-uri.

Penetreaza retelele care au parole slabe, se propaga prin intermediul stick-urilor USB si a functiei Autoplay.
Microsoft a creat in octombrie un patch (petic/pachet de securitate) pentru aceasta vulnerabilitate.

Detalii virus
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml#details
http://onecare.live.com/site/en-us/virusenc/VirusEncInfo.htm?VirusName=Worm:Win32/Conficker.B
http://support.microsoft.com/kb/962007

Dezinfectare
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml
http://www.trendmicro.com/vinfo/secadvisories/default6.asp?VNAME=How+To+Use+SysClean+Package&Page=
http://onecare.live.com/site/en-us/default.htm
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-123015-3826-99&tabid=3

Dezactivarea functiei Autoplay
Deschideti My Computer si click dreapta pe icon-ul corespunzator CD/DVD player-ului. Selectati tab-ul Auto Play si efectuati configurarile din figura dupa care apasati buoanele Apply si Ok.

Functia Autoplay mai poate fi dezactivata si prin intermediul Group Policy.