Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Conficker.AC
Entdeckt am:19/01/2009
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:62.976 Bytes
MD5 Prüfsumme:d9cb288f317124a0e63e3405ed290765
VDF Version:7.01.01.129
IVDF Version:7.01.01.138 - Montag, 19. Januar 2009

 Allgemein Verbreitungsmethode:
   • Lokales Netzwerk


Aliases:
   •  Mcafee: W32/Conficker.worm
   •  Kaspersky: Net-Worm.Win32.Kido.dam.y
   •  Sophos: W32/Confick-A
   •  Panda: W32/Conficker.A.worm


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\oqylfu.dll



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %zufällige Buchstabenkombination%]
   • "DisplayName"=""
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "8182:TCP"="8182:TCP:*:Enabled:WWW"



Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %zufällige Buchstabenkombination%\Parameters]
   • "ServiceDll"="%SYSDIR%\oqylfu.dll"



Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Neuer Wert:
   • "netsvcs"="6to4"

 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.


Exploit:
Folgende Sicherheitslücken werden ausgenutzt:
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)

 Diverses  Kontaktiert folgende Webseiten um auf eine vorhandene Internetverbindung zu Überprüfen:
   • http://www.getmyip.org
   • http://getmyip.co.uk
   • http://checkip.dyndns.org
Greift auf Internetressourcen zu:
   • http://trafficconverter.biz/4vir/antispyware/**********

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 8. April 2011
Die Beschreibung wurde geändert von Petre Galan am Freitag, 8. April 2011

zurück . . . .