LogIN [Off] [#] (10.04.2009 / 23:16)

В пики атак, наша сеть из тысячи с лишним машин ложится намертво.
Conficker.X. работает так: блокирует пользователей домена, блокирует сайты Microsoft, AVP, NOD, рубится по 445 порту, подбирает парль к IRC, загружет свою часть на атакуемую машину, потом подгружет надостающие части. Во временных файлах он создёт свои кусочки в формате jpg, bmp и прочее, это если мы его случайно удалим то его тело заново соберёться из этих кусочков!а потом собирает свой скрипт файлик с расширением ws размером 157 к.
Старый вирус Conficker.A.
прятался в регестре
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\<worm executable filename>.dll"
но эта гадасть создёт имя в регестре рандомом!!
Григорий Васильев, технический директор ESET:
"Данный червь использует критическую уязвимость MS08-67 операционных систем Windows, подсистемы удаленного вызова процедур Remote Call Procedure (RPC), предоставляющую злоумышленнику возможность атаковать удаленные компьютеры без подтверждения прав доступа к системе. Conficker пытается скачать дополнительно рекламное ПО или вредоносные программы, обычно это варианты FakeAlert, Wigon.