Исследователи из подразделения IBM X-Force создали специальный алгоритм для продукта IBM Proventia Intrusion Prevention System, с помощью которого можно выявить агентов червя Conficker.C и блокировать их соединения. Алгоритм дополняет уже имеющуюся в продукте защиту от разновидностей червя Conficker.A и Conficker.B. Защитный алгоритм блокирует распространение вредоносной программы, когда она пытается эксплуатировать уязвимость в службе сервера Windows (MS08-067), и обнаруживает ее в случае попытки раскрытия паролей методом перебора.

Conficker – сетевой червь, нацеленный на рабочие станции. Он создает инфраструктуру бот-сетей, которую злоумышленники затем используют для распространения спама или для кражи конфиденциальной информации с рабочих станций. Червь распространяется посредством одного или нескольких следующих механизмов:

  • эксплуатация уязвимости в одной из служб Windows (MS08-067);
  • загрузка своей копии в сеть и на съемные накопители;
  • загрузка своей копии в сетевые ресурсы общего пользования со слабыми паролями.

Новейший вариант этого вредоносного ПО использует соединения с шифрованием. Специалисты X-Force раскрыли и взломали его алгоритм шифрования, что обеспечило обнаружение червя. Разработанный защитный механизм выявляет текущие варианты червя Conficker, которые используют описанный выше канал для связи. Соответствующие сигнатуры выглядят следующим образом: Conficker_P2P_Detected (для обнаружения бота Conficker.C) и Conficker_P2P_Protection (для блокировки специфического трафика peer-to-peer). Продукты IBM Proventia IPS способны закрыть уязвимость в службе Windows, которую эксплуатирует данный червь. Предупреждение содержит информацию о нужной сигнатуре, необходимой для выявления описываемой уязвимости.