¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Conficker.AC
Descubierto:19/01/2009
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Bajo
Fichero estático:
Tamaño:62.976 Bytes
Suma de control MD5:d9cb288f317124a0e63e3405ed290765
Versión del VDF:7.01.01.129
Versión del IVDF:7.01.01.138 - lunes, 19 de enero de 2009

 General Método de propagación:
   • Red local


Alias:
   •  Mcafee: W32/Conficker.worm
   •  Kaspersky: Net-Worm.Win32.Kido.dam.y
   •  Sophos: W32/Confick-A
   •  Panda: W32/Conficker.A.worm


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\oqylfu.dll



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %serie de caracteres aleatorios%]
   • "DisplayName"=""
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "8182:TCP"="8182:TCP:*:Enabled:WWW"



Añade la siguiente clave al registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %serie de caracteres aleatorios%\Parameters]
   • "ServiceDll"="%SYSDIR%\oqylfu.dll"



Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Nuevo valor:
   • "netsvcs"="6to4"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)

 Informaciones diversas  Para buscar una conexión a Internet, contacta los siguientes sitios web:
   • http://www.getmyip.org
   • http://getmyip.co.uk
   • http://checkip.dyndns.org
Accede a recursos de Internet:
   • http://trafficconverter.biz/4vir/antispyware/**********

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes, 8 de abril de 2011
Descripción actualizada por Petre Galan el viernes, 8 de abril de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.