Nombre:Worm/Conficker
Descubierto:14/01/2009
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:No
Versión del IVDF:7.01.01.115 - miércoles 14 de enero de 2009

 General Métodos de propagación:
   • Red local
   • Unidades de red mapeadas
   • Peer to Peer


Alias:
   •  Symantec: W32.Downadup.B
   •  Kaspersky: Net-Worm.Win32.Kido.fw
   •  F-Secure: Worm:W32/Downadup.gen!A
   •  Sophos: Mal/Conficker-A
   •  Panda: Trj/Downloader.MDW
   •  Grisoft: I-Worm/Generic.CJY
   •  Eset: a variant of Win32/Conficker.AE worm
   •  Bitdefender: Win32.Worm.Downadup.Gen

Detección similar:
   •  Worm/Kido


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta ficheros dañinos
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %todas las carpetas compartidas% \RECYCLER\S-%número%\%serie de caracteres aleatorios%.vmx
   • %ProgramFiles%\Internet Explorer\%serie de caracteres aleatorios%.dll
   • %ProgramFiles%\Movie Maker\%serie de caracteres aleatorios%.dll
   • %SYSDIR%\%serie de caracteres aleatorios%.dll
   • %TEMPDIR%\%serie de caracteres aleatorios%.dll
   • %ALLUSERSPROFILE%\Application Data\%serie de caracteres aleatorios%.dll



Crea el siguiente fichero:

%todas las carpetas compartidas%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %random comments%
     shellexecute rundll32.exe %rutas y nombres de archivos de copias de malware% ,%serie de caracteres aleatorios%
     %random comments%

%SYSDIR%\%serie de caracteres aleatorios de dos dígitos%.TMP Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Rootkit.Gen

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\%palabras aleatorias%\
   Parameters\
   • ServiceDll" = "%rutas y nombres de archivos de copias de malware% "

– HKLM\SYSTEM\CurrentControlSet\Services\%palabras aleatorias%\
   
   • "ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
     "Type" = "4"
     "Start" = "4"
     "ErrorControl" = "4"



Modifica las siguientes claves del registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   Valor anterior:
   • "Start"=dword:00000003
   Nuevo valor:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Valor anterior:
   • "Start"=dword:00000003
   Nuevo valor:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\BITS]
   Valor anterior:
   • "Start"=dword:00000003
   Nuevo valor:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
   Valor anterior:
   • "Start"=dword:00000003
   Nuevo valor:
   • "Start"=dword:00000004

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Nuevo valor:
   • "Hidden"=dword:00000002
     "ShowCompColor"=dword:00000001
     "HideFileExt"=dword:00000000
     "DontPrettyPath"=dword:00000000
     "ShowInfoTip"=dword:00000001
     "HideIcons"=dword:00000000
     "MapNetDrvBtn"=dword:00000000
     "WebView"=dword:00000000
     "Filter"=dword:00000000
     "SuperHidden"=dword:00000000
     "SeparateProcess"=dword:00000000

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente listado de contraseñas:
   • 000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
      111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
      123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
      123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
      22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
      4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
      555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
      66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
      87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
      9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
      abc123; academia; access; account; Admin; admin; admin1; admin12;
      admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
      asdzxc; backup; boss123; business; campus; changeme; cluster;
      codename; codeword; coffee; computer; controller; cookie; customer;
      database; default; desktop; domain; example; exchange; explorer; file;
      files; foo; foobar; foofoo; forever; freedom; fuck; games; home;
      home123; ihavenopass; Internet; internet; intranet; job; killer;
      letitbe; letmein; login; Login; lotus; love123; manager; market;
      money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
      nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
      pass123; passwd; password; Password; password1; password12;
      password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
      qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
      root123; rootroot; sample; secret; secure; security; server; shadow;
      share; sql; student; super; superuser; supervisor; system; temp;
      temp123; temporary; temptemp; test; test123; testtest; unknown; web;
      windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
      zxcxz; zzz; zzzz; zzzzz



Creación de direcciones IP:
Genera direcciones IP aleatorias, guardando solamente los primeros tres octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones creadas.


Proceso de infección:
Hace que la máquina afectada descargue el programa viral del ordenador infectado.
El fichero descargado será guardado en el ordenador afectado, bajo el nombre: .\RECYCLER\S-%número%\%serie de caracteres aleatorios%.vmx

 Ficheros host – El acceso a los siguientes dominios está bloqueado:
   • ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
      centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
      defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
      f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
      k7computing; kaspersky; malware; mcafee; microsoft; nai.;
      networkassociates; nod32; norman; norton; panda; pctools; prevx;
      quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
      spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
      wilderssecurity; windowsupdate


 Informaciones diversas Conexión a Internet:
Para verificar la conexión a Internet, se conecta a los siguientes servidores DNS:
   • http://www.getmyip.org
   • http://www.whatsmyipaddress.com
   • http://getmyip.co.uk
   • http://checkip.dyndns.org


Para buscar una conexión a Internet, contacta los siguientes sitios web:
   • baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
      cnn.com; ebay.com; msn.com; myspace.com


Modificación del fichero:
Para aumentar el número máximo de conexiones, modifica el fichero tcpip.sys. Esto puede dañar el fichero e interrumpir la conectividad en la red.

 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Método empleado:

Engancha las siguientes funciones API:
   • DNS_Query_A
   • DNS_Query_UTF8
   • DNS_Query_W
   • Query_Main
   • sendto

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Alexander Neth el viernes 16 de enero de 2009
Descripción actualizada por Alexander Neth el viernes 17 de julio de 2009

Volver . . . .