Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Conficker.AO
Scoperto:01/10/2009
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:157.130 Byte
Somma di controllo MD5:16acf30169d089b8a967f40d9a38d8f7
Versione IVDF:7.01.06.63 - giovedì 1 ottobre 2009

 Generale Metodi di propagazione:
   • Funzione di esecuzione automatica
   • Rete locale


Alias:
   •  Mcafee: W32/Conficker.worm.gen.a
   •  Panda: W32/Conficker.C.worm
   •  Eset: Win32/Conficker.AA


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
      •  CVE-2007-1204
      •  MS07-019

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\qepdjla.dll
   • %unità disco%\RECYCLER\%CLSID%\jwgkvsq.vmx



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%




Prova ad eseguire il seguente file:

– Nome del file:
   • explorer C:

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %stringa di caratteri casuale%]
   • "Description"="Maintains links between NTFS files within a computer or across computers in a network domain."
   • "DisplayName"="Server Support"
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Il valore della seguente chiave di registro viene rimosso:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Windows Defender



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "8182:TCP"="8182:TCP:*:Enabled:opijcn"



Viene aggiunta la seguente chiave di registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %stringa di caratteri casuale%\Parameters]
   • "ServiceDll"="%SYSDIR%\qepdjla.dll"



Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Nuovo valore:
   • "Locked"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "DontPrettyPath"=dword:0x00000000
   • "Filter"=dword:0x00000000
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000000
   • "HideIcons"=dword:0x00000000
   • "MapNetDrvBtn"=dword:0x00000001
   • "SeparateProcess"=dword:0x00000001
   • "ShowCompColor"=dword:0x00000001
   • "ShowInfoTip"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000
   • "WebView"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuovo valore:
   • "CheckedValue"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Nuovo valore:
   • "netsvcs"="6to4"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Nuovo valore:
   • "ShellState"=hex:24,00,00,00,32,04,00,00,00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,0D,00,00,00,00,00,00,00,01,00,00,00

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Nuovo valore:
   • "ParseAutoexec"="1"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
   Nuovo valore:
   • "Epoch"=dword:0x00000030

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– La seguente lista di Password:
   • 99999999; 9999999; 999999; 99999; 9999; 999; 99; 88888888; 8888888;
      888888; 88888; 8888; 888; 88; 77777777; 7777777; 777777; 77777; 7777;
      777; 77; 66666666; 6666666; 666666; 66666; 6666; 666; 66; 55555555;
      5555555; 555555; 55555; 5555; 555; 55; 44444444; 4444444; 444444;
      44444; 4444; 444; 44; 33333333; 3333333; 333333; 33333; 3333; 333; 33;
      22222222; 2222222; 222222; 22222; 2222; 222; 22; 11111111; 1111111;
      111111; 11111; 1111; 111; 11; 00000000; 0000000; 00000; 0000; 000; 00;
      0987654321; 987654321; 87654321; 7654321; 654321; 54321; 4321; 321;
      21; 12; fuck; zzzzz; zzzz; zzz; xxxxx; xxxx; xxx; qqqqq; qqqq; qqq;
      aaaaa; aaaa; aaa; sql; file; web; foo; job; home; work; intranet;
      controller; killer; games; private; market; coffee; cookie; forever;
      freedom; student; account; academia; files; windows; monitor; unknown;
      anything; letitbe; letmein; domain; access; money; campus; explorer;
      exchange; customer; cluster; nobody; codeword; codename; changeme;
      desktop; security; secure; public; system; shadow; office; supervisor;
      superuser; share; super; secret; server; computer; owner; backup;
      database; lotus; oracle; business; manager; temporary; ihavenopass;
      nothing; nopassword; nopass; Internet; internet; example; sample;
      love123; boss123; work123; home123; mypc123; temp123; test123; qwe123;
      abc123; pw123; root123; pass123; pass12; pass1; admin123; admin12;
      admin1; password123; password12; password1; default; foobar; foofoo;
      temptemp; temp; testtest; test; rootroot; root; adminadmin;
      mypassword; mypass; pass; Login; login; Password; password; passwd;
      zxcvbn; zxcvb; zxccxz; zxcxz; qazwsxedc; qazwsx; q1w2e3; qweasdzxc;
      asdfgh; asdzxc; asddsa; asdsa; qweasd; qwerty; qweewq; qwewq; nimda;
      administrator; Admin; admin; a1b2c3; 1q2w3e; 1234qwer; 1234abcd;
      123asd; 123qwe; 123abc; 123321; 12321; 123123; 1234567890; 123456789;
      12345678; 1234567; 123456; 12345; 1234; 123



Exploit:
Sfrutta le seguenti vulnerabilità:
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)


Esecuzione remota:
–Tenta di pianificare una esecuzione remota del malware, sulla macchina “infettata” recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 Come il virus si inserisce nei processi – Inserisce una procedura di backdoor in un processo.

    Nome del processo:
   • svchost.exe


 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://checkip.dyndns.org


Mutex:
Crea i seguenti Mutex:
   • vcxhnoiftekm
   • geischgbpfyskg
   • dvkwjdesgb

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su venerdì 10 dicembre 2010
Descrizione aggiornata da Petre Galan su venerdì 10 dicembre 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.