Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:Worm/Conficker.AC
Descoperit pe data de:19/01/2009
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut
Fisier static:Da
Marime:62.976 Bytes
MD5:d9cb288f317124a0e63e3405ed290765
Versiune VDF:7.01.01.129
Versiune IVDF:7.01.01.138 - luni, 19 ianuarie 2009

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Mcafee: W32/Conficker.worm
   •  Kaspersky: Net-Worm.Win32.Kido.dam.y
   •  Sophos: W32/Confick-A
   •  Panda: W32/Conficker.A.worm


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\oqylfu.dll



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

[HKLM\SYSTEM\CurrentControlSet\Services\
   %combinatie de caractere aleatoare%]
   • "DisplayName"=""
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "8182:TCP"="8182:TCP:*:Enabled:WWW"



Se adauga in registrii sistemului:

[HKLM\SYSTEM\CurrentControlSet\Services\
   %combinatie de caractere aleatoare%\Parameters]
   • "ServiceDll"="%SYSDIR%\oqylfu.dll"



Urmatoarea cheie din registri este modificata:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Noua valoare:
   • "netsvcs"="6to4"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS04-007 (ASN.1 Vulnerability)
 MS06-040 (Vulnerability in Server Service)

 Alte informatii  Cauta o conexiune Internet, contactand urmatoarele site-uri web:
   • http://www.getmyip.org
   • http://getmyip.co.uk
   • http://checkip.dyndns.org
Acceseaza resurse de pe internet:
   • http://trafficconverter.biz/4vir/antispyware/**********

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Friday, April 8, 2011
Description updated by Petre Galan on Friday, April 8, 2011

Back . . . .