Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Conficker.HK
Scoperto:15/03/2010
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:165.473 Byte
Somma di controllo MD5:b29d79b0bf961834bb18300f384db3ea
Versione IVDF:7.10.05.88 - lunedì 15 marzo 2010

 Generale Metodi di propagazione:
   • Funzione di esecuzione automatica
   • Rete locale


Alias:
   •  Sophos: Mal/Conficker-A
   •  Panda: W32/Conficker.C.worm


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Abbassa le impostazioni di sicurezza
   • Duplica file “maligni”
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
      •  CVE-2007-1204
      •  MS07-019

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\qepdjla.dll
   • %unità disco%\RECYCLER\%CLSID%\qepdjla.dll



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\bidqmtugg]
   • "Description"="Enables event log messages issued by Windows-based programs and components to be viewed in Event Viewer. This service cannot be stopped."
   • "DisplayName"="Config Image"
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "8182:TCP"="8182:TCP:*:Enabled:opijcn"



Viene aggiunta la seguente chiave di registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\bidqmtugg\Parameters]
   • "ServiceDll"="%SYSDIR%\qepdjla.dll"



Vengono cambiate le seguenti chiavi di registro:

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Nuovo valore:
   • "ParseAutoexec"="1"

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Nuovo valore:
   • "Locked"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "DontPrettyPath"=dword:0x00000000
   • "Filter"=dword:0x00000000
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000000
   • "HideIcons"=dword:0x00000000
   • "MapNetDrvBtn"=dword:0x00000001
   • "SeparateProcess"=dword:0x00000001
   • "ShowCompColor"=dword:0x00000001
   • "ShowInfoTip"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000
   • "WebView"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Nuovo valore:
   • "netsvcs"="6to4"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuovo valore:
   • "CheckedValue"=dword:0x00000000

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta le seguenti vulnerabilità:
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
– MS06-040 (Vulnerability in Server Service)

 Come il virus si inserisce nei processi – Inserisce una procedura di backdoor in un processo.

    Nome del processo:
   • svchost.exe


 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://www.whatismyip.org


Mutex:
Crea i seguenti Mutex:
   • oqvmidozysowwyq
   • vcxhnoiftekm
   • dvkwjdesgb

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su giovedì 11 novembre 2010
Descrizione aggiornata da Andrei Ivanes su venerdì 12 novembre 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.