По сведениям F-Secure, еще 13 января насчитывалось всего 2,4 млн зараженных ПК, через день их было уже 3,5 млн, а по данным на 16 января вирус заразил почти 9 млн систем. CNews 12:38
Новый интернет-червь Downadup, известный также как Conficker, передал под контроль неизвестных хакеров 3,5 млн. зараженных компьютеров, предупреждают специалисты компании F-Secure, занимающейся IT-безопасностью и разработкой антивирусов.
"В настоящий момент мы видим, что зарегистрированные нами вирусные домены "сидят" в программах сотен тысяч компьютеров, - говорит эксперт из F-Secure Тони Ковунен .- Мы их видим, но удалить не можем".
Сетевой червь, эксплуатирующий уязвимость, описанную в бюллетене MS08-067. Червь может также загружать и выполнять произвольные файлы.
Другие названия:
Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)
При запуске, червь Win32/Conficker.A создает копию в директории %System% с произвольным именем. Win32/Conficker.A c проверяет использует ли зараженная машина Windows 2000. Если да, то червь внедряет свой код в процесс services.exe.
Если операционная система отлична от Windows 2000, червь создает службу со следующими характеристиками:
Имя службы: netsvcs
Путь к файлу: %System%\svchost.exe -k netsvcs
Также создает следующий ключ реестра:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\.dll" Win32/Conficker.A подключается к домену trafficconverter.biz и пытается загрузить и выполнить следующие файлы:
http://trafficconverter.biz//loadadv.exe