Nume:Worm/Conficker
Descoperit pe data de:14/01/2009
Tip:Vierme
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Nu
Versiune IVDF:7.01.01.115 - miércoles 14 de enero de 2009

 General Metode de raspandire:
   • Reteaua locala
   • Discuri de retea mapate
   • Peer to Peer


Alias:
   •  Symantec: W32.Downadup.B
   •  Kaspersky: Net-Worm.Win32.Kido.fw
   •  F-Secure: Worm:W32/Downadup.gen!A
   •  Sophos: Mal/Conficker-A
   •  Panda: Trj/Downloader.MDW
   •  Grisoft: I-Worm/Generic.CJY
   •  Eset: a variant of Win32/Conficker.AE worm
   •  Bitdefender: Win32.Worm.Downadup.Gen

Detectii similare:
   •  Worm/Kido


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %toate directoarele share% \RECYCLER\S-%numar%\%combinatie de caractere aleatoare%.vmx
   • %ProgramFiles%\Internet Explorer\%combinatie de caractere aleatoare%.dll
   • %ProgramFiles%\Movie Maker\%combinatie de caractere aleatoare%.dll
   • %SYSDIR%\%combinatie de caractere aleatoare%.dll
   • %TEMPDIR%\%combinatie de caractere aleatoare%.dll
   • %ALLUSERSPROFILE%\Application Data\%combinatie de caractere aleatoare%.dll



Este creat fisierul:

%toate directoarele share%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %random comments%
     shellexecute rundll32.exe %caile si numele copiilor fisierului malware%,%combinatie de caractere aleatoare%
     %random comments%

– %SYSDIR%\%combinatie de doua caractere aleatoare%.TMP Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Rootkit.Gen

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\%cuvinte aleatoare%\
   Parameters\
   • ServiceDll" = "%caile si numele copiilor fisierului malware%"

– HKLM\SYSTEM\CurrentControlSet\Services\%cuvinte aleatoare%\
   • "ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
     "Type" = "4"
     "Start" = "4"
     "ErrorControl" = "4"



Urmatoarele chei din registri sunt modificate:

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   Vechea valoare:
   • "Start"=dword:00000003
   Noua valoare:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Vechea valoare:
   • "Start"=dword:00000003
   Noua valoare:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\BITS]
   Vechea valoare:
   • "Start"=dword:00000003
   Noua valoare:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
   Vechea valoare:
   • "Start"=dword:00000003
   Noua valoare:
   • "Start"=dword:00000004

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Noua valoare:
   • "Hidden"=dword:00000002
     "ShowCompColor"=dword:00000001
     "HideFileExt"=dword:00000000
     "DontPrettyPath"=dword:00000000
     "ShowInfoTip"=dword:00000001
     "HideIcons"=dword:00000000
     "MapNetDrvBtn"=dword:00000000
     "WebView"=dword:00000000
     "Filter"=dword:00000000
     "SuperHidden"=dword:00000000
     "SeparateProcess"=dword:00000000

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Lista de parole:
   • 000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
      111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
      123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
      123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
      22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
      4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
      555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
      66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
      87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
      9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
      abc123; academia; access; account; Admin; admin; admin1; admin12;
      admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
      asdzxc; backup; boss123; business; campus; changeme; cluster;
      codename; codeword; coffee; computer; controller; cookie; customer;
      database; default; desktop; domain; example; exchange; explorer; file;
      files; foo; foobar; foofoo; forever; freedom; fuck; games; home;
      home123; ihavenopass; Internet; internet; intranet; job; killer;
      letitbe; letmein; login; Login; lotus; love123; manager; market;
      money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
      nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
      pass123; passwd; password; Password; password1; password12;
      password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
      qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
      root123; rootroot; sample; secret; secure; security; server; shadow;
      share; sql; student; super; superuser; supervisor; system; temp;
      temp123; temporary; temptemp; test; test123; testtest; unknown; web;
      windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
      zxcxz; zzz; zzzz; zzzzz



Generarea adreselor IP:
Genereaza adrese IP aleatoare, pastrand doar primii trei octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Determina sistemul respectiv sa descarce un malware direct de pe masina infectata.
Fisierul descarcat este salvat pe masina infectata, cu numele: .\RECYCLER\S-%numar%\%combinatie de caractere aleatoare%.vmx

 Fisiere host – Accesul la urmatoarele domenii este blocat:
   • ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
      centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
      defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
      f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
      k7computing; kaspersky; malware; mcafee; microsoft; nai.;
      networkassociates; nod32; norman; norton; panda; pctools; prevx;
      quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
      spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
      wilderssecurity; windowsupdate


 Alte informatii Conexiune internet:
Pentru a verifica legatura la internet se conecteaza la urmatoarele servere DNS:
   • http://www.getmyip.org
   • http://www.whatsmyipaddress.com
   • http://getmyip.co.uk
   • http://checkip.dyndns.org


Cauta o conexiune Internet, contactand urmatoarele site-uri web:
   • baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
      cnn.com; ebay.com; msn.com; myspace.com


Modificare de fisiere:
Pentru a creste numarul maxim de conexiuni, are capacitatea de a modifica fisierul tcpip.sys . Aceasta poate afecta fisierul si intrerupe conectarea la retea.

 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Metoda folosita:

Se ataseaza la urmatoarele functii API:
   • DNS_Query_A
   • DNS_Query_UTF8
   • DNS_Query_W
   • Query_Main
   • sendto

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Alexander Neth el viernes 16 de enero de 2009
Descripción actualizada por Alexander Neth el viernes 17 de julio de 2009

Volver . . . .