Nume:Worm/Conficker
Descoperit pe data de:14/01/2009
Tip:Vierme
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Nu
Versiune IVDF:7.01.01.115 - mercredi 14 janvier 2009

 General Metode de raspandire:
   • Reteaua locala
   • Discuri de retea mapate
   • Peer to Peer


Alias:
   •  Symantec: W32.Downadup.B
   •  Kaspersky: Net-Worm.Win32.Kido.fw
   •  F-Secure: Worm:W32/Downadup.gen!A
   •  Sophos: Mal/Conficker-A
   •  Panda: Trj/Downloader.MDW
   •  Grisoft: I-Worm/Generic.CJY
   •  Eset: a variant of Win32/Conficker.AE worm
   •  Bitdefender: Win32.Worm.Downadup.Gen

Detectii similare:
   •  Worm/Kido


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %toate directoarele share% \RECYCLER\S-%numar%\%combinatie de caractere aleatoare%.vmx
   • %ProgramFiles%\Internet Explorer\%combinatie de caractere aleatoare%.dll
   • %ProgramFiles%\Movie Maker\%combinatie de caractere aleatoare%.dll
   • %SYSDIR%\%combinatie de caractere aleatoare%.dll
   • %TEMPDIR%\%combinatie de caractere aleatoare%.dll
   • %ALLUSERSPROFILE%\Application Data\%combinatie de caractere aleatoare%.dll



Este creat fisierul:

%toate directoarele share%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %random comments%
     shellexecute rundll32.exe %caile si numele copiilor fisierului malware%,%combinatie de caractere aleatoare%
     %random comments%

– %SYSDIR%\%combinatie de doua caractere aleatoare%.TMP Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Rootkit.Gen

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\%cuvinte aleatoare%\
   Parameters\
   • ServiceDll" = "%caile si numele copiilor fisierului malware%"

– HKLM\SYSTEM\CurrentControlSet\Services\%cuvinte aleatoare%\
   • "ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
     "Type" = "4"
     "Start" = "4"
     "ErrorControl" = "4"



Urmatoarele chei din registri sunt modificate:

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   Vechea valoare:
   • "Start"=dword:00000003
   Noua valoare:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Vechea valoare:
   • "Start"=dword:00000003
   Noua valoare:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\BITS]
   Vechea valoare:
   • "Start"=dword:00000003
   Noua valoare:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
   Vechea valoare:
   • "Start"=dword:00000003
   Noua valoare:
   • "Start"=dword:00000004

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Noua valoare:
   • "Hidden"=dword:00000002
     "ShowCompColor"=dword:00000001
     "HideFileExt"=dword:00000000
     "DontPrettyPath"=dword:00000000
     "ShowInfoTip"=dword:00000001
     "HideIcons"=dword:00000000
     "MapNetDrvBtn"=dword:00000000
     "WebView"=dword:00000000
     "Filter"=dword:00000000
     "SuperHidden"=dword:00000000
     "SeparateProcess"=dword:00000000

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Lista de parole:
   • 000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
      111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
      123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
      123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
      22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
      4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
      555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
      66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
      87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
      9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
      abc123; academia; access; account; Admin; admin; admin1; admin12;
      admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
      asdzxc; backup; boss123; business; campus; changeme; cluster;
      codename; codeword; coffee; computer; controller; cookie; customer;
      database; default; desktop; domain; example; exchange; explorer; file;
      files; foo; foobar; foofoo; forever; freedom; fuck; games; home;
      home123; ihavenopass; Internet; internet; intranet; job; killer;
      letitbe; letmein; login; Login; lotus; love123; manager; market;
      money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
      nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
      pass123; passwd; password; Password; password1; password12;
      password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
      qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
      root123; rootroot; sample; secret; secure; security; server; shadow;
      share; sql; student; super; superuser; supervisor; system; temp;
      temp123; temporary; temptemp; test; test123; testtest; unknown; web;
      windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
      zxcxz; zzz; zzzz; zzzzz



Generarea adreselor IP:
Genereaza adrese IP aleatoare, pastrand doar primii trei octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Determina sistemul respectiv sa descarce un malware direct de pe masina infectata.
Fisierul descarcat este salvat pe masina infectata, cu numele: .\RECYCLER\S-%numar%\%combinatie de caractere aleatoare%.vmx

 Fisiere host – Accesul la urmatoarele domenii este blocat:
   • ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
      centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
      defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
      f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
      k7computing; kaspersky; malware; mcafee; microsoft; nai.;
      networkassociates; nod32; norman; norton; panda; pctools; prevx;
      quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
      spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
      wilderssecurity; windowsupdate


 Alte informatii Conexiune internet:
Pentru a verifica legatura la internet se conecteaza la urmatoarele servere DNS:
   • http://www.getmyip.org
   • http://www.whatsmyipaddress.com
   • http://getmyip.co.uk
   • http://checkip.dyndns.org


Cauta o conexiune Internet, contactand urmatoarele site-uri web:
   • baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
      cnn.com; ebay.com; msn.com; myspace.com


Modificare de fisiere:
Pentru a creste numarul maxim de conexiuni, are capacitatea de a modifica fisierul tcpip.sys . Aceasta poate afecta fisierul si intrerupe conectarea la retea.

 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Metoda folosita:

Se ataseaza la urmatoarele functii API:
   • DNS_Query_A
   • DNS_Query_UTF8
   • DNS_Query_W
   • Query_Main
   • sendto

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Alexander Neth le vendredi 16 janvier 2009
Description mise à jour par Alexander Neth le vendredi 17 juillet 2009

Retour . . . .