¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Conficker.Z.16
Descubierto:17/08/2009
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:169.760 Bytes
Suma de control MD5:8c0281272aebef92beca9aa756f715e7
Versin del IVDF:7.01.05.119 - lunes 17 de agosto de 2009

 General Mtodos de propagacin:
    Funcin de autoejecucin
   • Red local


Alias:
   •  Mcafee: W32/Conficker.worm.gen.a virus
   •  Sophos: Mal/Conficker-A
   •  Panda: W32/Conficker.C.worm
   •  Eset: Win32/Conficker.AA


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Reduce las opciones de seguridad
   • Descarga un fichero daino
   • Suelta ficheros dainos
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
        MS07-019
        CVE-2007-1204

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %directorio donde se ejecuta el programa viral%\qepdjla.dll
   • %disquetera%\RECYCLER\%CLSID%\qepdjla.dll



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%




Intenta descargar un fichero:

La direccin es la siguiente:
   • http://www.wha**********.com/




Intenta ejecutar el siguiente fichero:

Ejecuta uno de los ficheros siguientes:
   • explorer C:

 Registro Aade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

[HKLM\SYSTEM\CurrentControlSet\Services\mgvjx]
   • "Description"="Enables Windows-based programs to create, access, and modify Internet-based files. If this service is stopped, these functions will not be available. If this service is disabled, any services that explicitly depend on it will fail to start."
   • "DisplayName"="Server Monitor"
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "8182:TCP"="8182:TCP:*:Enabled:opijcn"



Aade la siguiente clave al registro:

[HKLM\SYSTEM\CurrentControlSet\Services\mgvjx\Parameters]
   • "ServiceDll"="%SYSDIR%\qepdjla.dll"



Modifica las siguientes claves del registro:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Nuevo valor:
   • "ParseAutoexec"="1"

[HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Nuevo valor:
   • "Locked"=dword:0x00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "DontPrettyPath"=dword:0x00000000
   • "Filter"=dword:0x00000000
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000000
   • "HideIcons"=dword:0x00000000
   • "MapNetDrvBtn"=dword:0x00000001
   • "SeparateProcess"=dword:0x00000001
   • "ShowCompColor"=dword:0x00000001
   • "ShowInfoTip"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000
   • "WebView"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Nuevo valor:
   • "netsvcs"="6to4"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • "CheckedValue"=dword:0x00000000

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
 MS06-040 (Vulnerability in Server Service)

 Inyectar el cdigo viral en otros procesos – Inyecta una rutina de puerta trasera (backdoor) en un proceso.

    Nombre del proceso:
   • svchost.exe


 Informaciones diversas  Para buscar una conexin a Internet, contacta el siguiente sitio web:
   • http://checkip.dyndns.org


Objeto mutex:
Crea los siguientes objetos mutex:
   • dvkwjdesgb
   • jqvvgoiocfv

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el viernes 5 de noviembre de 2010
Descripción actualizada por Andrei Ivanes el jueves 11 de noviembre de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.