Vollständige Virenbeschreibung

Name:	Worm/Conficker
Entdeckt am:	14/01/2009
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Mittel
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Nein
IVDF Version:	7.01.01.115 - Mittwoch, 14. Januar 2009

General Verbreitungsmethoden:
   • Lokales Netzwerk
   • Gemappte Netzlaufwerke
   • Peer to Peer

Aliases:
   • Symantec: W32.Downadup.B
   • Kaspersky: Net-Worm.Win32.Kido.fw
   • F-Secure: Worm:W32/Downadup.gen!A
   • Sophos: Mal/Conficker-A
   • Panda: Trj/Downloader.MDW
   • Grisoft: I-Worm/Generic.CJY
   • Eset: a variant of Win32/Conficker.AE worm
   • Bitdefender: Win32.Worm.Downadup.Gen

Ähnliche Erkennung:
   • Worm/Kido

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Kopien seiner selbst werden hier erzeugt:
   • %alle freigegebenen Verzeichnisse% \RECYCLER\S-%Nummer%\%zufällige Buchstabenkombination%.vmx
   • %ProgramFiles%\Internet Explorer\%zufällige Buchstabenkombination%.dll
   • %ProgramFiles%\Movie Maker\%zufällige Buchstabenkombination%.dll
   • %SYSDIR%\%zufällige Buchstabenkombination%.dll
   • %TEMPDIR%\%zufällige Buchstabenkombination%.dll
   • %ALLUSERSPROFILE%\Application Data\%zufällige Buchstabenkombination%.dll

Es wird folgende Datei erstellt:

– %alle freigegebenen Verzeichnisse%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %random comments%
     shellexecute rundll32.exe %Pfade und Dateinamen zu kopien der Malware%,%zufällige Buchstabenkombination%
     %random comments%

– %SYSDIR%\%zweistellige zufällige Buchstabenkombination%.TMP Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Rootkit.Gen

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– HKLM\SYSTEM\CurrentControlSet\Services\%zufällige Wörter%\
   Parameters\
   • ServiceDll" = "%Pfade und Dateinamen zu kopien der Malware%"

– HKLM\SYSTEM\CurrentControlSet\Services\%zufällige Wörter%\
   • "ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
     "Type" = "4"
     "Start" = "4"
     "ErrorControl" = "4"

Folgende Registryschlüssel werden geändert:

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   Alter Wert:
   • "Start"=dword:00000003
   Neuer Wert:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Alter Wert:
   • "Start"=dword:00000003
   Neuer Wert:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\BITS]
   Alter Wert:
   • "Start"=dword:00000003
   Neuer Wert:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
   Alter Wert:
   • "Start"=dword:00000003
   Neuer Wert:
   • "Start"=dword:00000004

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Neuer Wert:
   • "Hidden"=dword:00000002
     "ShowCompColor"=dword:00000001
     "HideFileExt"=dword:00000000
     "DontPrettyPath"=dword:00000000
     "ShowInfoTip"=dword:00000001
     "HideIcons"=dword:00000000
     "MapNetDrvBtn"=dword:00000000
     "WebView"=dword:00000000
     "Filter"=dword:00000000
     "SuperHidden"=dword:00000000
     "SeparateProcess"=dword:00000000

Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Um sich Zugriff auf entfernte Computer zu verschaffen werden folgende Anmeldeinformationen genutzt:

– Folgende Liste von Passwörtern:
   • 000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
      111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
      123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
      123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
      22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
      4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
      555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
      66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
      87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
      9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
      abc123; academia; access; account; Admin; admin; admin1; admin12;
      admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
      asdzxc; backup; boss123; business; campus; changeme; cluster;
      codename; codeword; coffee; computer; controller; cookie; customer;
      database; default; desktop; domain; example; exchange; explorer; file;
      files; foo; foobar; foofoo; forever; freedom; fuck; games; home;
      home123; ihavenopass; Internet; internet; intranet; job; killer;
      letitbe; letmein; login; Login; lotus; love123; manager; market;
      money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
      nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
      pass123; passwd; password; Password; password1; password12;
      password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
      qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
      root123; rootroot; sample; secret; secure; security; server; shadow;
      share; sql; student; super; superuser; supervisor; system; temp;
      temp123; temporary; temptemp; test; test123; testtest; unknown; web;
      windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
      zxcxz; zzz; zzzz; zzzzz

IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert wobei die ersten drei Zahlen die der eigenen Addresse sind. Es wird dann versuche eine Verbindung mit diesen Adressen aufzubauen.

Ablauf der Infektion:
Es veranlasst den übernommenen Computer die Malware auf dessen Rechner herunterzuladen.
Die heruntergeladene Datei wird auf dem enternten computer wie folgt gespeichert: .\RECYCLER\S-%Nummer%\%zufällige Buchstabenkombination%.vmx

Hosts – Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
      centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
      defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
      f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
      k7computing; kaspersky; malware; mcafee; microsoft; nai.;
      networkassociates; nod32; norman; norton; panda; pctools; prevx;
      quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
      spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
      wilderssecurity; windowsupdate

Diverses Internetverbindung:
Um auf eine verfügbare Internetverbindung zu prüfen werden folgende DNS Server kontaktiert:
   • http://www.getmyip.org
   • http://www.whatsmyipaddress.com
   • http://getmyip.co.uk
   • http://checkip.dyndns.org

Kontaktiert folgende Webseiten um auf eine vorhandene Internetverbindung zu Überprüfen:
   • baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
      cnn.com; ebay.com; msn.com; myspace.com

Datei modifizierung:
Um die maximale Anzahl der Verbindungen zu erhöhen hat es die Fähigkeit die tcpip.sys zu modifizieren. Die Datei könnte Schaden erleiden und die Netzwerkverbindung könnte unterbrochen werden.

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Eingesetzte Methode:

Klinkt sich in folgende API-Funktionen ein:
   • DNS_Query_A
   • DNS_Query_UTF8
   • DNS_Query_W
   • Query_Main
   • sendto

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Alexander Neth am Freitag, 16. Januar 2009
Die Beschreibung wurde geändert von Alexander Neth am Freitag, 17. Juli 2009

zurück . . . .