Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Conficker.AC
Entdeckt am:19/01/2009
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigre:62.976 Bytes
MD5 Prfsumme:d9cb288f317124a0e63e3405ed290765
VDF Version:7.01.01.129
IVDF Version:7.01.01.138 - Montag, 19. Januar 2009

 Allgemein Verbreitungsmethode:
   • Lokales Netzwerk


Aliases:
   •  Mcafee: W32/Conficker.worm
   •  Kaspersky: Net-Worm.Win32.Kido.dam.y
   •  Sophos: W32/Confick-A
   •  Panda: W32/Conficker.A.worm


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schdliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\oqylfu.dll



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.

 Registry Die folgenden Registryschlssel werden hinzugefgt um den Service nach einem Neustart des Systems erneut zu laden.

[HKLM\SYSTEM\CurrentControlSet\Services\
   %zufllige Buchstabenkombination%]
   • "DisplayName"=""
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "8182:TCP"="8182:TCP:*:Enabled:WWW"



Folgender Registryschlssel wird hinzugefgt:

[HKLM\SYSTEM\CurrentControlSet\Services\
   %zufllige Buchstabenkombination%\Parameters]
   • "ServiceDll"="%SYSDIR%\oqylfu.dll"



Folgender Registryschlssel wird gendert:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Neuer Wert:
   • "netsvcs"="6to4"

 Infektion ber das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.


Exploit:
Folgende Sicherheitslcken werden ausgenutzt:
– MS04-007 (ASN.1 Vulnerability)
 MS06-040 (Vulnerability in Server Service)

 Diverses  Kontaktiert folgende Webseiten um auf eine vorhandene Internetverbindung zu berprfen:
   • http://www.getmyip.org
   • http://getmyip.co.uk
   • http://checkip.dyndns.org
Greift auf Internetressourcen zu:
   • http://trafficconverter.biz/4vir/antispyware/**********

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 8. April 2011
Die Beschreibung wurde geändert von Petre Galan am Freitag, 8. April 2011

zurück . . . .