Conficker

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa
Conficker
Conficker pt.PNG
Pseudônimos
Família Worm
Classificação Desconhecido
Tipo Vírus de computador
Portal Tecnologias da informação

O Conficker, também conhecido como Downup, Downadup e Kido, é um vírus de computador que tem como objetivo afetar computadores dotados do sistema operacional Microsoft Windows, e que foi primeiramente detectado em outubro de 2008.[1] Uma versão anterior do vírus propagou-se pela internet através de uma vulnerabilidade de um sistema de rede do Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7 Beta e do Windows Server 2008 R2 Beta, que tinha sido lançado anteriormente naquele mês.[2] Não é fácil combater o vírus através de operadores de rede e da atuação de meios legais devido ao seu uso combinado de técnicas malware.[3] [4]

Embora a origem do nome "conficker" não seja conhecida com certeza, especialistas de internet e outros especulam que seu nome seja um portmanteau alemão, fundindo o termo "configurar" com "ficken", uma palavra de baixo calão em alemão.[5] O analista da Microsoft, Joshua Phillips, descreve o vírus como uma reorganização de partes do nome do domínio "traficconverter.biz".[6]

O vírus bloqueia o acesso a websites destinados à venda, protegidos com sistemas de segurança[7] e, portanto, é possível a qualquer usuário de internet verificar se um computador está infectado ou não, simplesmente por meio do acesso a websites destinados a venda de produtos dotados de sistemas de segurança.[8]

Impactos[editar | editar código-fonte]

Acredita-se que o Conficker seja o vírus de computador que mais se espalhou pela internet desde o SQL Slammer, em 2003.[9] A rápida disseminação inicial do vírus tem sido atribuído ao grande número de computadores que utilizam o sistema operacional Microsoft Windows (estimado em 92,12% em todo o mundo - fonte: http://marketshare.hitslink.com/operating-system-market-share.aspx?qprid=8), que ainda necessitam aplicar as atualizações da Microsoft (patches) para a vulnerabilidade MS08-067.[10]

Em janeiro de 2009, o número estimado de computadores infectados variou entre 9[11] [12] e 15 milhões.[13] O fornecedor de softwares antivírus, a Panda Security, disse que dos 2 milhões de computadores analisados pela ferramenta ActiveScan, apenas 115.000 (6%) estavam infectados pelo Conficker.[14]

A Intramar, a rede de computadores da Marinha da França, foi infectada pelo Conficker em 15 de janeiro de 2009. A rede entrou em quarentena subsequentemente, forçando a permanência de aeronaves em várias bases aéreas militares, já que seus planos de voo não puderam ser carregados.[15]

O Ministério da Defesa do Reino Unido disse que alguns de seus maiores sistemas e computadores foram infectados pelo vírus, além de computadores NavyStar/N* em vários navios de guerra e submarinos da Marinha Real. Além disso, mais de 800 computadores dos hospitais da cidade de Sheffield, Inglaterra, foram infectados.[16] [17]

Em 2 de fevereiro de 2009, a Bundeswehr relatou que cerca de 100 de seus computadores também tinham sido infectados.[18] Um memorando do diretor britânico do ICT parlamentar informou aos usuários da Câmara dos Comuns do Reino Unido, em 24 de março de 2009, que o ICT tinha sido infectado pelo vírus. O memorando, que foi aberto ao público subsequentemente, pedia aos usuários para que evitassem conectar equipamentos desautorizados à rede.[19]

Funcionamento do vírus[editar | editar código-fonte]

Quatro variantes do Conficker são conhecidas, e que foram designadas como Conficker "A", "B", "C" e "D". As variantes foram descobertas em 21 de novembro de 2008, 29 de dezembro de 2008, 20 de fevereiro de 2009 e 4 de março de 2009, respectivamente.[20] No entanto, há mais de 300 minivariantes, presumivelmente feitos por crackers entre o público em geral e que foram infectados pelo vírus original.[21]

Nome da variante Data da detecção Vetores de infecção Propagação da atualização Técnicas de autodefesa
Conficker "A" 21 de novembro de 2008
  • NetBIOS
    • Prevalece-se sobre a vulnerabilidade MS08-067 em servidores.[22]
  • HTTP
    • Downloads de trafficconverter.biz
    • Downloads diários de qualquer um dos 250 domínios pseudo-aleatórios em 5 TLDs.[23]

Nenhum

Conficker B 29 de dezembro de 2008
  • NetBIOS
    • Prevalece-se sobre a vulnerabilidade MS08-067 em servidores.[22]
    • Ataques dicionáricos em faixas ADMIN$.
  • Mídias removíveis
    • Cria trojans de execução automática em formato DLL em drives removíveis.[24]
  • HTTP
    • Downloads diários de qualquer um dos 250 domínios pseudo-aleatórios em 8 TLDs.[23]
  • NetBIOS
    • Retira o patch MS08-067 para abrir um backdoor para reinfecções em servidores.[25]
  • Bloqueia monitorações DNS
  • Desabilita autoatualizações
Conficker C 20 de fevereiro de 2009
  • NetBIOS
    • Prevalece-se sobre a vulnerabilidade MS08-067 em servidores.[22]
    • Ataques dicionáricos em faixas ADMIN$
  • Mídia removível
    • Cria trojans de execução automática baseados em DLL em drives removíveis infectados.[24]
  • HTTP
    • Download diário de qualquer um dos 250 domínios pseudo-aleatórios em 8 TLDs.[23]
  • NetBIOS
    • Remove o patch MS08-067 para abrir um backdoor para novas infecções em servidores.[25]
    • Cria pipes nomeados para receber o URL de um hospedeiro remoto, e então faz downloads destes URLs.
  • Bloqueia monitorações DNS
  • Desabilita autoatualizações
Conficker D 4 de março de 2009 Nenhum
  • HTTP
    • Downloads diários de qualquer um dos 500 dentre 50.000 domínios pseudo-aleatórios em 110 TLDs.[23]
  • Download/upload P2P
    • Usa protocolos padrões para escanear computadores conectados em P2P via UDP, e então transfere via TCP.[26]
  • Bloqueia monitorações DNS
    • Faz que uma parte do arquivo DNSAPI.DLL bloqueie a monitoração de websites relacionados com ferramentas antimalware.
  • Desabilita autoatualizações
  • Deleta ferramentas antimalware
    • Escaneia e termina processos com nomes de ferramentas, patchs ou utilidades antimalware num intervalo de um segundo.

Infecção inicial[editar | editar código-fonte]

As variantes A e B prevalecem-se sobre uma vulnerabilidade em servidores de computadores com o sistema operacional Windows, no qual um computador-fonte infectado realiza um pedido de chamada de procedimento remoto especialmente habilidoso para forçar um buffer overflow, e então executar um shellcode no computador-alvo.[27] No computador-fonte, o vírus executa um servidor HTTP numa porta TCP e UDP entre 1024 e 10000; o shellcode alvo conecta-se novamente com este servidor de HTTP para carregar uma cópia do vírus em formato DLL, que é executado como um programa via svchost.exe.[4]

A variante B pode executar remotamente copias de si mesmo através da faixa ADMIN$ em computadores visíveis no NetBIOS. Se a faixa é protegida por senha, o vírus tentará um ataque dicionárico, gerando potencialmente uma grande quantidade de tráfego de rede e assim driblar as restrições da conta do usuário.[28]

A variante B põe uma cópia de si mesmo em qualquer mídia removível (como pen-drives), do qual o vírus pode contaminar novos computadores através do mecanismo de execução automática do Windows.[24]

Após a infecção, o vírus salva uma cópia de sua forma DLL num nome de arquivo aleatório no sistema de pastas do Windows, e então consegue instalar a si mesmo no momento da inicialização do computador com um nome também aleatório.[4]

Propagação por payloads[editar | editar código-fonte]

O vírus tem vários mecanismos de enviar ou carregar payloads executáveis na rede. Estes payloads têm, de longe, sido usados pelas variantes A, B e C para substituírem a si próprios pela variante D, que não infecta novos computadores através da NetBIOS ou de mídias removíveis.

A variante A gera uma lista de 250 domínios a cada dia por meio de cinco domínios de topo. Os nomes de domínio são gerados de um gerador de números pseudo-aleatórios, juntamente com a data atual para garantir que cada cópia do vírus gere os mesmos nomes a cada dia. O vírus tenta então uma conexão HTTP para cada nome de domínio, e espera que qualquer um desses domínios forneça um payload assinalado.[4]

A variante B aumenta o número de TLDs para oito, e tem um gerador habilidoso para produzir domínios disjuntos daqueles da variante A.[4]

Para conter a utilização dos nomes de domínio pseudo-aleatórios do vírus, o ICANN e vários registros TLD começaram em fevereiro de 2009 uma barreira coordenada de transferências e de registros desses domínios.[29] No entanto, a variante D contorna estas tentativas de barreiras, produzindo 50.000 domínios em 110 TLDs, dos quais o vírus escolhe aleatoriamente 500 para realizar suas tentativas de obter um payload assinalado. Os nomes de domínio gerados também foram encurtados, de 8-11 para 4-9 caracteres, o que dificulta a detecção desses nomes de domínios através da heurística. Este novo método de transmissão (que ficou desativado até 1 de abril)[20] [30] provavelmente não irá propagar payloads para mais do que 1% dos computadores infectados por dia, mas se espera que isto possa funcionar como um mecanismo de alimentação para a rede P2P do vírus.[23] No entanto, espera-se que os nomes mais curtos gerados colidam com 150 a 200 domínios já existentes por dia, causando potencialmente um DDoS em websites que servem estes domínios.[31]

A variante C cria um pipe nomeado, através do qual o vírus pode transmitir URLs para payloads disponíveis para download para outros computadores numa rede local.[30]

As variantes B e C desempenham patches de memória nos DLLs relacionados com o NetBIOS para fechar o MS08-067 e auxiliar as tentativas de reinfecção através da mesma vulnerabilidade. A reinfecção por meio das versões mais recentes do Conficker são permitidas por meio da utilização eficaz da vulnerabilidade como um backdoor de propagação.[25]

A variante D cria uma rede P2P ad-hoc para transmitir e receber payloads de toda internet. Este aspecto do vírus é grandemente ofuscado em código e ainda não bem entendido, mas tem-se observado o uso de escaneamentos UDP de grande escala para construir uma lista computadores conectados em p2P, e de TCPs infectados para as transferências subsequentes de payloads. Para dificultar as análises, os números de entrada de conexões são fragmentados do endereço IP de cada computador.[30] [26]

Proteção do vírus contra sistemas de segurança[editar | editar código-fonte]

Para prevenir os payloads de serem carregados, os payloads da variante A são dotados de Hash SHA1, e da criptografia de chave pública RC4, com um patch de 512 bits usado como uma chave, e então com o patch sendo assinalado como uma chave RSA de 1024 bits. O payload não está compactado e é executado somente se o próprio payload coincidir com uma chave pública contida dentro do vírus. As variantes B e C aumentam mais tarde o tamanho do RSA para 4096 bits.[30]

Antissegurança[editar | editar código-fonte]

A variante C do vírus reinicia os pontos de restauração do sistema do Windows e desabilita vários serviços desse sistema operacional, tais como a atualização automática do Windows, a Central de Segurança do Windows, o Windows Defender e o relatório de erros do Windows.[32] Os processos de programas que têm uma lista predefinida de nomes de vírus de computador, de programas de diagnóstico ou ferramentas de fragmentação são procurados e terminados.[33] Um patch de memória também é adicionado ao resolvedor DNS DLL do sistema para bloquear as monitorações de websites de programas de antivírus e do serviço de atualização do Windows.[30]

Sintomas[editar | editar código-fonte]

Detecção automática[editar | editar código-fonte]

Em 27 de março de 2009, Felix Leder e Tillmann Werner, do Honeynet Project, descobriram que computadores infectados pelo Conficker têm uma assinatura detectável quando escaneados remotamente.[35] Atualizações assinaladas de várias aplicações de escaneamento de rede estão agora disponíveis, incluindo o Nmap[36] e o Nessus.[37]

Resposta[editar | editar código-fonte]

Em 12 de fevereiro de 2009, a Microsoft anunciou a criação de uma rede de colaboração da indústria de tecnologia para combater os efeitos do Conficker. As organizações envolvidas nesta iniciativa colaborativa incluem a própria Microsoft, Afilias, ICANN, Neustar, Verisign, CNNIC, Public Internet Registry, Global Domains Internacional, Inc., M1D Global, AOL, Symantec, F-Secure, ISC, pesquisadores da Georgia Tech, a Shadowserver Foundation, Arbos Networks e a Support Intelligence.[38] [3]

Microsoft[editar | editar código-fonte]

Em 13 de fevereiro de 2009, a Microsoft estava oferecendo 250.000 dólares americanos em recompensa para qualquer informação que levasse à condenação e à prisão de pessoas por trás da criação e/ou distribuição do Conficker.[39] [40] [41] [42] [43]

Registradores de domínios[editar | editar código-fonte]

A ICANN tem buscado formar uma barreira de transferências e dos registros de todos os registros TLD afetados pelo gerador de domínios do vírus. Aqueles que tomaram uma ação incluem:

  • Em 24 de março de 2009, a CIRA, a Autoridade de Registro na Internet do Canadá, bloqueou todos os domínios ainda não existentes no domínio .ca que possam vir a ser gerados pelo vírus. O bloqueio é válido até março de 2010.[44]
  • Em 30 de março de 2009, a SWITCH, o registrador ccTLD da Suíça, anunciou que "estava tomando uma ação para proteger os endereços da internet com os finais .ch e .li da ação do Conficker."[45]
  • No dia seguinte, a NASK, o registrador ccTLD da Polônia, bloqueou mais de 7.000 endereços do domínio .pl que possam ser utilizados pelo vírus. O bloqueio durou até maio de 2009. A NASK também alertou que o tráfego do vírus pode infligir de modo não intencional um ataque DDoS para legitimar domínios que possam ocorrer na lista de domínios gerados pelo vírus.[46]
  • Em 2 de abril de 2009, a Island Networks, o registrador ccTLD de Guernsey e Jersey, confirmou após investigações e contatos com a IANA, que nenhum nome de domínio .gg ou .je estava na potencial lista de nomes de domínio gerados pelo vírus.
  • Desde 20 de março de 2009 o Comitê Gestor da Internet no Brasil (CGI.br), que é o registrador ccTLD do Brasil, tem bloqueado milhares de domínios que possam vir a ser gerados pelo vírus.

Remoção[editar | editar código-fonte]

Em 15 de outubro de 2008, a Microsoft liberou um patch de emergência para corrigir a vulnerabilidade MS08-067, através da qual o vírus prevalece-se para poder se espalhar. As aplicações da atualização automática se aplicam somente para o Windows XP SP2, SP3, Windows 2000 SP4 e Windows Vista; o Windows XP SP1 e versões mais antigas não são mais suportados.[22]

A Microsoft tem liberado desde então um guia de remoção do vírus, e recomenda o uso da mais nova versão do banco de dados de sua ferramenta de remoção de softwares maliciosos[47] para remover o vírus, e então aplicar a atualização para evitar uma possível reinfecção.[48]

Softwares antivírus[editar | editar código-fonte]

Os softwares antivírus não-ligados a Microsoft, tais como a BitDefender,[49] Enigma Software,[50] Eset,[51] F-Secure,[52] Symantec,[53] Sophos,[54] e o Kaspersky Lab[55] liberaram atualizações com programas de detecção em seus produtos e são capazes de remover o vírus. A McAfee e o AVG também são capazes de remover o vírus através de escaneamentos de discos rígidos e mídias removíveis.[56] [57]

Ações das agências federais americanas[editar | editar código-fonte]

O United States Computer Emergency Readiness Team (CERT) recomenda a desabilitação da execução automática para prevenir a infecção da variante B por meio de mídias removíveis, mas descreve que as instruções da Microsoft, que recomenda a desabilitação da execução automática, "não são totalmente eficazes." A CERT elaborou um novo guia de desabilitação da execução automática.[58] A CERT também fez uma ferramenta baseada em rede para detectar computadores infectados pelo Conficker que estão disponíveis para as agências estaduais e federais dos Estados Unidos.[59]

Referências

  1. Three million hit by Windows worm (em Inglês). BBC (2009-01-16). Página visitada em 2009-01-16.
  2. Leffall, Jabulani (2009-01-15). Conficker worm still wreaking havoc on Windows systems (em Inglês). Government Computer News. Página visitada em 2009-03-29.
  3. a b Markoff, John (2009-03-19). Computer Experts Unite to Hunt Worm (em Inglês). New York Times. Página visitada em 2009-03-29.
  4. a b c d e An Analysis of Conficker (em Inglês). SRI International (2009-03-19). Página visitada em 2009-03-29.
  5. Grigonis, Richard (2009-02-13). Microsoft's $5,000,000 Reward for the Conficker Worm Creators (em Inglês). IP Communications. Página visitada em 2009-04-01.
  6. Phillips, Joshua. Malware Protection Center - Entry: Worm:Win32/Conficker.A (em Inglês). Microsoft. Página visitada em 2009-04-01.
  7. Questions and Answers: Conficker and April 1st (em Inglês). F-Secure (2009-03-26). Página visitada em 2009-04-03.
  8. Conficker Eye Chart (em Inglês). Conficker Working Group. Página visitada em 2009-04-03.
  9. Markoff, John (2009-01-22). Worm Infects Millions of Computers Worldwide (em Inglês).
  10. Leyden, John (2009-01-19). Three in 10 Windows PCs still vulnerable to Conficker exploit (em Inglês). The Register. Página visitada em 2009-01-20.
  11. Sullivan, Sean (2009-01-16). Preemptive Blocklist and More Downadup Numbers (em Inglês). F-Secure. Página visitada em 2009-01-16.
  12. Neild, Barry (2009-01-16). Downadup virus exposes millions of PCs to hijack (em Inglês). CNN. Página visitada em 2009-01-18.
  13. Virus strikes 15 million PCs (em Inglês). UPI.com (2009-01-26). Página visitada em 2009-03-25.
  14. Six percent of computers scanned by Panda Security are infected by the Conficker worm (em Inglês). Panda Security (2009-01-21). Página visitada em 2009-01-21.
  15. Willsher, Kim (2009-02-07). French fighter planes grounded by computer virus (em Inglês). The Telegraph. Página visitada em 2009-04-01.
  16. Williams, Chris (2009-01-20). MoD networks still malware-plagued after two weeks (em Inglês). The Register. Página visitada em 2009-01-20.
  17. Williams, Chris (2009-01-20). Conficker seizes city's hospital network (em Inglês). The Register. Página visitada em 2009-01-20.
  18. Conficker-Wurm infiziert hunderte Bundeswehr-Rechner (em Inglês). PC Professionell (2009-02-16). Página visitada em 2009-04-01.
  19. Leyden, John (2009-03-27). Leaked memo says Conficker pwns Parliament (em Inglês). The Register. Página visitada em 2009-03-29.
  20. a b Microsoft Malware Protection Center: Information about Worm:Win32/Conficker.D (em Inglês). Microsoft (2009-03-27). Página visitada em 2009-03-30.
  21. Virus Lab: Downadup/Conficker Worm (em Inglês). AVG. Página visitada em 2009-04-02.
  22. a b c d Microsoft Security Bulletin MS08-067 (em Inglês). Microsoft (2008-10-23). Página visitada em 2009-01-19.
  23. a b c d e Park, John (2009-03-27). W32.Downadup.C Pseudo-Random Domain Name Generation (em Inglês). Symantec. Página visitada em 2009-04-01.
  24. a b c The Downadup Codec (em Inglês). Symantec (2009-03-13). Página visitada em 2009-04-01.
  25. a b c Chien, Eric (2009-01-19). Downadup: Peer-to-Peer Payload Distribution (em Inglês). Symantec. Página visitada em 2009-04-01.
  26. a b W32.Downadup.C Bolsters P2P (em Inglês). Symantec (2009-03-20). Página visitada em 2009-04-01.
  27. CVE-2008-4250 (em Inglês). Common Vulnerabilities and Exposures, Departmento de Segurança Nacional dos Estados Unidos da América (2008-06-04). Página visitada em 2009-03-29.
  28. Passwords used by the Conficker worm (em Inglês). Sophos. Página visitada em 2009-01-16.
  29. Robertson, Andrew (2009-02-12). Microsoft Collaborates With Industry to Disrupt Conficker Worm (em Inglês). ICANN. Página visitada em 2009-04-01.
  30. a b c d e An Analysis of Conficker C (draft) (em Inglês). SRI International (2009-03-19). Página visitada em 2009-03-29.
  31. Containing Conficker (em Inglês). Instituto Ciência da Infomática, Universidade de Bonn (2009-04-02). Página visitada em 2009-04-03.
  32. Win32/Conficker.C (em Inglês). Computer Associates (2009-03-11). Página visitada em 2009-03-29.
  33. Malware Protection Center - Entry: Worm:Win32/Conficker.D (em Inglês). Microsoft. Página visitada em 2009-03-30.
  34. Virus alert about the Win32/Conficker.B worm (em Inglês). Microsoft (2009-01-15). Página visitada em 2009-01-22.
  35. Goodin, Dan (2009-03-30). Busted! Conficker's tell-tale heart uncovered (em Inglês). The Register. Página visitada em 2009-03-31.
  36. Bowes, Ronald (2009-03-30). Scanning for Conficker with Nmap (em Inglês). SkullSecurity. Página visitada em 2009-03-31.
  37. Asadoorian, Paul (2009-04-01). Updated Conficker Detection Plugin Released (em Inglês). Tenable Security. Página visitada em 2009-04-02.
  38. O'Donnell, Adam (2009-02-12). Microsoft announces industry alliance, $250k reward to combat Conficker (em Inglês). ZDNet. Página visitada em 2009-04-1.
  39. Neild, Barry (2009-02-13). $250K Microsoft bounty to catch worm creator (em Inglês). CNN. Página visitada em 2009-03-29.
  40. Mills, Elinor (2009-02-12). Microsoft offers $250,000 reward for Conficker arrest (em Inglês). CNET. Página visitada em 2009-04-02.
  41. Messmer, Ellen (2009-02-12). Microsoft announces $250,000 Conficker worm bounty (em Inglês). Network World. Página visitada em 2009-04-02.
  42. Arthur, Charles (2009-02-13). Microsoft puts $250,000 bounty on Conficker worm author's head (em Inglês). Guardian. Página visitada em 2009-04-02.
  43. Microsoft bounty for worm creator (em Inglês). BBC (2009-02-13). Página visitada em 2009-02-13.
  44. CIRA working with international partners to counter Conficker C (em Inglês). Canadian Internet Registration Authority (2009-03-24). Página visitada em 2009-03-31.
  45. D'Alessandro, Macro (2009-03-30). SWITCH taking action to protect against the Conficker computer worm (em Inglês). SWITCH Information Technology Services. Página visitada em 2009-04-01.
  46. Bartosiewicz, Andrzej (2009-03-31). Jak działa Conficker? (em Inglês). Webhosting.pl. Página visitada em 2009-03-31.
  47. Malicious Software Removal Tool (em Inglês). Microsoft (2005-01-11). Página visitada em 2009-03-29.
  48. Protect yourself from the Conficker computer worm (em Inglês). Microsoft (2009-03-27). Página visitada em 2009-03-30.
  49. Win32.Worm.Downadup.Gen (em Inglês). BitDefender. Página visitada em 2009-04-01.
  50. Information about Conficker Removal Tool (em Inglês). Enigma Software. Página visitada em 2009-03-30.
  51. ui42. Eset - Win32/Conficker.AA (em Inglês). Eset.eu. Página visitada em 2009-03-29.
  52. Worm:W32/Downadup.AL (em Inglês). F-Secure. Página visitada em 2009-03-30.
  53. W32.Downadup Removal - Removing Help (em Inglês). Symantec. Página visitada em 2009-03-29.
  54. Conficker Clean-up Tool - Free Conficker detection and removal (em Inglês). Sophos.com (2009-01-16). Página visitada em 2009-03-29.
  55. How to fight network worm Net-Worm.Win32.Kido (em Inglês). Support.kaspersky.com (2009-03-20). Página visitada em 2009-03-29.
  56. W32/Conficker.worm (em Inglês). Vil.nai.com. Página visitada em 2009-03-29.
  57. Net-Worm.Win32.Kido (em Inglês). Viruslist.com. Página visitada em 2009-03-29.
  58. Technical Cyber Security Alert TA09-020A: Microsoft Windows Does Not Disable AutoRun Properly (em Inglês). United States Computer Emergency Readiness Team (2009-01-29). Página visitada em 2009-02-16.
  59. DHS Releases Conficker/Downadup Computer Worm Detection Tool (em Inglês). Departamento de Segurança Nacional (2009-03-30). Página visitada em 2009-04-01.