Descrizione completa

Nome del virus:	Worm/Conficker
Scoperto:	14/01/2009
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	No
Versione IVDF:	7.01.01.115 - mercoledì 14 gennaio 2009

Generale Metodi di propagazione:
   • Rete locale
   • Unità di rete mappata
   • Peer to Peer

Alias:
   • Symantec: W32.Downadup.B
   • Kaspersky: Net-Worm.Win32.Kido.fw
   • F-Secure: Worm:W32/Downadup.gen!A
   • Sophos: Mal/Conficker-A
   • Panda: Trj/Downloader.MDW
   • Grisoft: I-Worm/Generic.CJY
   • Eset: a variant of Win32/Conficker.AE worm
   • Bitdefender: Win32.Worm.Downadup.Gen

Individuazione simile:
   • Worm/Kido

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Accesso e controllo del computer da parte di terzi

File Si copia alle seguenti posizioni:
   • %tutte le cartelle condivise% \RECYCLER\S-%numero%\%stringa di caratteri casuale%.vmx
   • %ProgramFiles%\Internet Explorer\%stringa di caratteri casuale%.dll
   • %ProgramFiles%\Movie Maker\%stringa di caratteri casuale%.dll
   • %SYSDIR%\%stringa di caratteri casuale%.dll
   • %TEMPDIR%\%stringa di caratteri casuale%.dll
   • %ALLUSERSPROFILE%\Application Data\%stringa di caratteri casuale%.dll

Viene creato il seguente file:

– %tutte le cartelle condivise%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %random comments%
     shellexecute rundll32.exe %percorsi e nomi file delle copie del malware%,%stringa di caratteri casuale%
     %random comments%

– %SYSDIR%\%stringa casuale di due caratteri%.TMP Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Rootkit.Gen

Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\%parole casuali%\
   Parameters\
   • ServiceDll" = "%percorsi e nomi file delle copie del malware%"

– HKLM\SYSTEM\CurrentControlSet\Services\%parole casuali%\
   • "ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
     "Type" = "4"
     "Start" = "4"
     "ErrorControl" = "4"

Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   Valore precedente:
   • "Start"=dword:00000003
   Nuovo valore:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Valore precedente:
   • "Start"=dword:00000003
   Nuovo valore:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\BITS]
   Valore precedente:
   • "Start"=dword:00000003
   Nuovo valore:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
   Valore precedente:
   • "Start"=dword:00000003
   Nuovo valore:
   • "Start"=dword:00000004

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Nuovo valore:
   • "Hidden"=dword:00000002
     "ShowCompColor"=dword:00000001
     "HideFileExt"=dword:00000000
     "DontPrettyPath"=dword:00000000
     "ShowInfoTip"=dword:00000001
     "HideIcons"=dword:00000000
     "MapNetDrvBtn"=dword:00000000
     "WebView"=dword:00000000
     "Filter"=dword:00000000
     "SuperHidden"=dword:00000000
     "SeparateProcess"=dword:00000000

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– La seguente lista di Password:
   • 000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
      111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
      123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
      123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
      22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
      4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
      555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
      66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
      87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
      9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
      abc123; academia; access; account; Admin; admin; admin1; admin12;
      admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
      asdzxc; backup; boss123; business; campus; changeme; cluster;
      codename; codeword; coffee; computer; controller; cookie; customer;
      database; default; desktop; domain; example; exchange; explorer; file;
      files; foo; foobar; foofoo; forever; freedom; fuck; games; home;
      home123; ihavenopass; Internet; internet; intranet; job; killer;
      letitbe; letmein; login; Login; lotus; love123; manager; market;
      money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
      nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
      pass123; passwd; password; Password; password1; password12;
      password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
      qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
      root123; rootroot; sample; secret; secure; security; server; shadow;
      share; sql; student; super; superuser; supervisor; system; temp;
      temp123; temporary; temptemp; test; test123; testtest; unknown; web;
      windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
      zxcxz; zzz; zzzz; zzzzz

Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi tre ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.

Processo virale:
Fa scaricare alla macchina compromessa il malware dal computer sorgente “infetto”.
Il file scaricato viene allocato nella macchina compromessa come: .\RECYCLER\S-%numero%\%stringa di caratteri casuale%.vmx

Host – L'accesso ai seguenti domini è effettivamente bloccato:
   • ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
      centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
      defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
      f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
      k7computing; kaspersky; malware; mcafee; microsoft; nai.;
      networkassociates; nod32; norman; norton; panda; pctools; prevx;
      quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
      spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
      wilderssecurity; windowsupdate

Varie Collegamento a internet:
Per verificare la propria connessione internet, vengono contattati i seguenti server DNS:
   • http://www.getmyip.org
   • http://www.whatsmyipaddress.com
   • http://getmyip.co.uk
   • http://checkip.dyndns.org

Verifica la presenza di una connessione ad internet contattando i seguenti siti web:
   • baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
      cnn.com; ebay.com; msn.com; myspace.com

File patching:
Ha la capacità di modificare il tcpip.sys per incrementare il numero massimo di connessioni. Può corrompere il file e interrompere le connessioni di rete.

Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.

Metodo utilizzato:

“Aggancia” le seguenti funzioni API:
   • DNS_Query_A
   • DNS_Query_UTF8
   • DNS_Query_W
   • Query_Main
   • sendto

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Alexander Neth su venerdì 16 gennaio 2009
Descrizione aggiornata da Alexander Neth su venerdì 17 luglio 2009

Indietro . . . .