Nom:Worm/Conficker
La date de la découverte:14/01/2009
Type:Ver
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Non
Version IVDF:7.01.01.115 - mercredi 14 janvier 2009

 Général Méthodes de propagation:
   • Le réseau local
   • Mapped network drives
   • Peer to Peer


Les alias:
   •  Symantec: W32.Downadup.B
   •  Kaspersky: Net-Worm.Win32.Kido.fw
   •  F-Secure: Worm:W32/Downadup.gen!A
   •  Sophos: Mal/Conficker-A
   •  Panda: Trj/Downloader.MDW
   •  Grisoft: I-Worm/Generic.CJY
   •  Eset: a variant of Win32/Conficker.AE worm
   •  Bitdefender: Win32.Worm.Downadup.Gen

Détection similaires:
   •  Worm/Kido


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %tous les dossiers partagés% \RECYCLER\S-%nombre%\%chaîne de caractères aléatoire%.vmx
   • %ProgramFiles%\Internet Explorer\%chaîne de caractères aléatoire%.dll
   • %ProgramFiles%\Movie Maker\%chaîne de caractères aléatoire%.dll
   • %SYSDIR%\%chaîne de caractères aléatoire%.dll
   • %TEMPDIR%\%chaîne de caractères aléatoire%.dll
   • %ALLUSERSPROFILE%\Application Data\%chaîne de caractères aléatoire%.dll



Le fichier suivant est créé:

%tous les dossiers partagés%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %random comments%
     shellexecute rundll32.exe ,%chaîne de caractères aléatoire%
     %random comments%

%SYSDIR%\%chaîne de caractères aléatoire de deux digits%.TMP Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Rootkit.Gen

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\%mots aléatoires%\
   Parameters\
   • ServiceDll" = ""

– HKLM\SYSTEM\CurrentControlSet\Services\%mots aléatoires%\
   • "ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
     "Type" = "4"
     "Start" = "4"
     "ErrorControl" = "4"



Les clés de registre suivantes sont changées:

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   L'ancienne valeur:
   • "Start"=dword:00000003
   La nouvelle valeur:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   L'ancienne valeur:
   • "Start"=dword:00000003
   La nouvelle valeur:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\BITS]
   L'ancienne valeur:
   • "Start"=dword:00000003
   La nouvelle valeur:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
   L'ancienne valeur:
   • "Start"=dword:00000003
   La nouvelle valeur:
   • "Start"=dword:00000004

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   La nouvelle valeur:
   • "Hidden"=dword:00000002
     "ShowCompColor"=dword:00000001
     "HideFileExt"=dword:00000000
     "DontPrettyPath"=dword:00000000
     "ShowInfoTip"=dword:00000001
     "HideIcons"=dword:00000000
     "MapNetDrvBtn"=dword:00000000
     "WebView"=dword:00000000
     "Filter"=dword:00000000
     "SuperHidden"=dword:00000000
     "SeparateProcess"=dword:00000000

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– La liste suivante de mots de passe:
   • 000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
      111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
      123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
      123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
      22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
      4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
      555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
      66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
      87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
      9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
      abc123; academia; access; account; Admin; admin; admin1; admin12;
      admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
      asdzxc; backup; boss123; business; campus; changeme; cluster;
      codename; codeword; coffee; computer; controller; cookie; customer;
      database; default; desktop; domain; example; exchange; explorer; file;
      files; foo; foobar; foofoo; forever; freedom; fuck; games; home;
      home123; ihavenopass; Internet; internet; intranet; job; killer;
      letitbe; letmein; login; Login; lotus; love123; manager; market;
      money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
      nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
      pass123; passwd; password; Password; password1; password12;
      password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
      qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
      root123; rootroot; sample; secret; secure; security; server; shadow;
      share; sql; student; super; superuser; supervisor; system; temp;
      temp123; temporary; temptemp; test; test123; testtest; unknown; web;
      windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
      zxcxz; zzz; zzzz; zzzzz



La création des adresses IP:
Il crée des adresses IP aléatoires, en utilisant seulement les premiers trois octets de sa propre adresse. Ensuite il essaye de contacter les adresses crées.


Le processus d'infection:
Il fait la machine compromise télécharger le malware à partir de l'ordinateur source infecté.
Le fichier téléchargé est stocké sur la machine compromise comme: .\RECYCLER\S-%nombre%\%chaîne de caractères aléatoire%.vmx

 Hôtes – L'accès aux liens URL suivants est effectivement bloqué :
   • ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
      centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
      defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
      f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
      k7computing; kaspersky; malware; mcafee; microsoft; nai.;
      networkassociates; nod32; norman; norton; panda; pctools; prevx;
      quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
      spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
      wilderssecurity; windowsupdate


 Informations divers Connexion Internet:
Afin de vérifier sa connexion Internet, les serveurs DNS suivants sont contactés
   • http://www.getmyip.org
   • http://www.whatsmyipaddress.com
   • http://getmyip.co.uk
   • http://checkip.dyndns.org


Il vérifie l'existence d'une connexion Internet en contactant les sites web suivants:
   • baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
      cnn.com; ebay.com; msn.com; myspace.com


Modification du fichier:
Pour augmenter le nombre des connexions il a la capacité de modifier le fichier tcpip.sys. Le fichier pourra subir du dégât et l’interconnexion des circuits pourra être interrompue.

 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.


La méthode utilisée:

Se introduit dans la fonction API suivante: Se introduit dans les fonctions API suivantes:
   • DNS_Query_A
   • DNS_Query_UTF8
   • DNS_Query_W
   • Query_Main
   • sendto

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Alexander Neth le vendredi 16 janvier 2009
Description mise à jour par Alexander Neth le vendredi 17 juillet 2009

Retour . . . .