Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:Worm/Conficker.Z.32
Descoperit pe data de:17/08/2009
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:164.746 Bytes
MD5:87136c488903474630369e232704fa4d
Versiune VDF:7.01.05.118
Versiune IVDF:7.01.05.119 - luni, 17 august 2009

 General Metode de raspandire:
   • Functia autorun
   • Reteaua locala


Alias:
   •  Mcafee: W32/Conficker.worm.gen.a
   •  Bitdefender: Win32.Worm.Downadup.Gen
   •  Panda: W32/Conficker.C.worm
   •  Eset: Win32/Conficker.AA


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
      •  CVE-2007-1204
      •  MS07-019

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\qepdjla.dll
   • %unitate disc%\RECYCLER\%CLSID%\jwgkvsq.vmx



Sterge copia initiala a virusului.



Este creat fisierul:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%




Incearca se execute urmatorul fisier:

– Numele fisierului:
   • explorer C:

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %combinatie de caractere aleatoare%]
   • "Description"="Provides automatic configuration for the 802.11 adapters"
   • "DisplayName"="Config Support"
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Valoarea urmatoarei chei este stearsa din registri:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Windows Defender



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "8182:TCP"="8182:TCP:*:Enabled:opijcn"



Se adauga in registrii sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %combinatie de caractere aleatoare%\Parameters]
   • "ServiceDll"="%SYSDIR%\qepdjla.dll"



Urmatoarele chei din registri sunt modificate:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Noua valoare:
   • "Locked"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "DontPrettyPath"=dword:0x00000000
   • "Filter"=dword:0x00000000
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000000
   • "HideIcons"=dword:0x00000000
   • "MapNetDrvBtn"=dword:0x00000001
   • "SeparateProcess"=dword:0x00000001
   • "ShowCompColor"=dword:0x00000001
   • "ShowInfoTip"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000
   • "WebView"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Noua valoare:
   • "CheckedValue"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Noua valoare:
   • "netsvcs"="6to4"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Noua valoare:
   • "ShellState"=hex:24,00,00,00,32,04,00,00,00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,0D,00,00,00,00,00,00,00,01,00,00,00

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Noua valoare:
   • "ParseAutoexec"="1"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
   Noua valoare:
   • "Epoch"=dword:0x00000030

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 Injectarea codului malware in alte procese – Injecteaza o rutina backdoor intr-un proces.

    Numele procesului:
   • svchost.exe


 Alte informatii  Cauta o conexiune Internet, contactand urmatorul website:
   • http://www.whatismyip.org


Mutex:
Creeaza urmatorii mutecsi:
   • %combinatie de caractere aleatoare%
   • %combinatie de caractere aleatoare%

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Monday, March 22, 2010
Description updated by Petre Galan on Thursday, February 3, 2011

Back . . . .