Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Conficker.IH
La date de la dcouverte:15/06/2009
Type:Ver
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:1.761.120 Octets
Somme de contrle MD5:2961267dd9c44c59f182984ebc559fd0
Version IVDF:7.01.04.95 - lundi 15 juin 2009

 Gnral Mthode de propagation:
    Fonctionnalit d'excution automatique
   • Le rseau local


Les alias:
   •  Mcafee: W32/Conficker.worm
   •  Panda: W32/Conficker.C.worm
   •  Eset: Win32/Conficker.AA


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il diminue les rglages de scurit
   • Il cre des fichiers malveillants
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
        CVE-2007-1204
        MS07-019

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\qepdjla.dll
   • %lecteur%\RECYCLER\%CLSID%\qepdjla.dll



Il supprime sa propre copie, excute initialement



Le fichier suivant est cr:

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%




Il essaie dexcuter le fichier suivant :

Nom de fichier: Noms des fichiers:
   • explorer C:

 Registre Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

[HKLM\SYSTEM\CurrentControlSet\Services\lvbiixb]
   • "Description"="Enables support for running virtual machines from a physical disk partition"
   • "DisplayName"="Monitor Microsoft"
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Il cre l'entre suivante afin de passer par le Firewall de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "8182:TCP"="8182:TCP:*:Enabled:opijcn"



La cl de registre suivante est ajoute:

[HKLM\SYSTEM\CurrentControlSet\Services\lvbiixb\Parameters]
   • "ServiceDll"="%SYSDIR%\qepdjla.dll"



Les cls de registre suivantes sont changes:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   La nouvelle valeur:
   • "ParseAutoexec"="1"

[HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   La nouvelle valeur:
   • "Locked"=dword:0x00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "DontPrettyPath"=dword:0x00000000
   • "Filter"=dword:0x00000000
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000000
   • "HideIcons"=dword:0x00000000
   • "MapNetDrvBtn"=dword:0x00000001
   • "SeparateProcess"=dword:0x00000001
   • "ShowCompColor"=dword:0x00000001
   • "ShowInfoTip"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000
   • "WebView"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   La nouvelle valeur:
   • "netsvcs"="6to4"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   La nouvelle valeur:
   • "CheckedValue"=dword:0x00000000

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.


La vulnrabilit:
Il se sert des vulnrabilits suivantes:
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
 MS06-040 (Vulnrabilit dans Service de Serveur)


Excution distance:
Il essaye de programmer une excution distance du malware, sur la machine nouvellement infecte. Par consquent il emploie la fonction NetScheduleJobAdd.

 L'injection du code viral dans d'autres processus – Il injecte une routine porte drobe dans un processus:

    Nom du processus :
   • svchost.exe


 Informations divers  Il vrifie l'existence d'une connexion Internet en contactant le site web suivant:
   • http://checkip.dyndns.org


Mutex:
Il cre les Mutex suivants:
   • ywubfnstnm
   • vcxhnoiftekm
   • dvkwjdesgb

 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Petre Galan le jeudi 2 décembre 2010
Description mise à jour par Petre Galan le jeudi 2 décembre 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.