Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Conficker.Z.24
Scoperto:17/08/2009
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:161.547 Byte
Somma di controllo MD5:515ea537628f3371fbac9a332854062d
Versione VDF:7.01.05.118
Versione IVDF:7.01.05.119 - lunedì 17 agosto 2009

 Generale Metodi di propagazione:
    Funzione di esecuzione automatica
   • Rete locale


Alias:
   •  Mcafee: W32/Conficker.worm
   •  Sophos: W32/Confick-D
   •  Panda: W32/Conficker.C.worm
   •  Eset: Win32/Conficker.AE


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file maligni
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sfrutta la vulnerabilit del software
CVE-2007-1204
MS07-019

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\qepdjla.dll
   • %unit disco%\RECYCLER\%CLSID%\jwgkvsq.vmx



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%unit disco%\autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%




Prova ad eseguire il seguente file:

Nome del file:
   • explorer C:

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKLM\SYSTEM\CurrentControlSet\Services\
   %stringa di caratteri casuale%]
   • "Description"="Supports file, print, and named-pipe sharing over the network for this computer. If this service is stopped, these functions will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start."
   • "DisplayName"="Manager Network"
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Il valore della seguente chiave di registro viene rimosso:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Windows Defender



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "8182:TCP"="8182:TCP:*:Enabled:opijcn"



Viene aggiunta la seguente chiave di registro:

[HKLM\SYSTEM\CurrentControlSet\Services\
   %stringa di caratteri casuale%\Parameters]
   • "ServiceDll"="%SYSDIR%\qepdjla.dll"



Vengono cambiate le seguenti chiavi di registro:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Nuovo valore:
   • "ParseAutoexec"="1"

[HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Nuovo valore:
   • "Locked"=dword:0x00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "DontPrettyPath"=dword:0x00000000
   • "Filter"=dword:0x00000000
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000000
   • "HideIcons"=dword:0x00000000
   • "MapNetDrvBtn"=dword:0x00000001
   • "SeparateProcess"=dword:0x00000001
   • "ShowCompColor"=dword:0x00000001
   • "ShowInfoTip"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000
   • "WebView"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuovo valore:
   • "CheckedValue"=dword:0x00000000

 Infezione della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

La seguente lista di Password:
   • 99999999; 9999999; 999999; 99999; 9999; 999; 99; 88888888; 8888888;
      888888; 88888; 8888; 888; 88; 77777777; 7777777; 777777; 77777; 7777;
      777; 77; 66666666; 6666666; 666666; 66666; 6666; 666; 66; 55555555;
      5555555; 555555; 55555; 5555; 555; 55; 44444444; 4444444; 444444;
      44444; 4444; 444; 44; 33333333; 3333333; 333333; 33333; 3333; 333; 33;
      22222222; 2222222; 222222; 22222; 2222; 222; 22; 11111111; 1111111;
      111111; 11111; 1111; 111; 11; 00000000; 0000000; 00000; 0000; 000; 00;
      0987654321; 987654321; 87654321; 7654321; 654321; 54321; 4321; 321;
      21; 12; fuck; zzzzz; zzzz; zzz; xxxxx; xxxx; xxx; qqqqq; qqqq; qqq;
      aaaaa; aaaa; aaa; sql; file; web; foo; job; home; work; intranet;
      controller; killer; games; private; market; coffee; cookie; forever;
      freedom; student; account; academia; files; windows; monitor; unknown;
      anything; letitbe; letmein; domain; access; money; campus; explorer;
      exchange; customer; cluster; nobody; codeword; codename; changeme;
      desktop; security; secure; public; system; shadow; office; supervisor;
      superuser; share; super; secret; server; computer; owner; backup;
      database; lotus; oracle; business; manager; temporary; ihavenopass;
      nothing; nopassword; nopass; Internet; internet; example; sample;
      love123; boss123; work123; home123; mypc123; temp123; test123; qwe123;
      abc123; pw123; root123; pass123; pass12; pass1; admin123; admin12;
      admin1; password123; password12; password1; default; foobar; foofoo;
      temptemp; temp; testtest; test; rootroot; root; adminadmin;
      mypassword; mypass; pass; Login; login; Password; password; passwd;
      zxcvbn; zxcvb; zxccxz; zxcxz; qazwsxedc; qazwsx; q1w2e3; qweasdzxc;
      asdfgh; asdzxc; asddsa; asdsa; qweasd; qwerty; qweewq; qwewq; nimda;
      administrator; Admin; admin; a1b2c3; 1q2w3e; 1234qwer; 1234abcd;
      123asd; 123qwe; 123abc; 123321; 12321; 123123; 1234567890; 123456789;
      12345678; 1234567; 123456; 12345; 1234; 123



Exploit:
Sfrutta le seguenti vulnerabilit:
– MS04-007 (ASN.1 Vulnerability)
 MS06-040 (Vulnerability in Server Service)


Esecuzione remota:
Tenta di pianificare una esecuzione remota del malware, sulla macchina infettata recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 Come il virus si inserisce nei processi – Inserisce una procedura di backdoor in un processo.

    Nome del processo:
   • svchost.exe


 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://checkip.dyndns.org


Mutex:
Crea i seguenti Mutex:
   • %stringa di caratteri casuale%
   • %stringa di caratteri casuale%
   • dvkwjdesgb

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su mercoledì 16 marzo 2011
Descrizione aggiornata da Petre Galan su mercoledì 16 marzo 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.