Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Conficker.Z.16
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度至中程度
感染/传播能力:低程度至中程度
破坏 / 损害程度:低程度至中程度
静态文件:
文件大小:169.760 字节
MD5 校检和:8c0281272aebef92beca9aa756f715e7
VDF 版本:7.11.53.216 - 2012년 12월 13일 목요일
IVDF 版本:7.11.53.216 - 2012년 12월 13일 목요일

 况概描述 传播方法:
   • 视窗自动运行Autorun功能
   • 局域网络


别名:
   •  Mcafee: W32/Conficker.worm.gen.a virus
   •  Sophos: Mal/Conficker-A
   •  Panda: W32/Conficker.C.worm
   •  Eset: Win32/Conficker.AA


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 降低系统安全设置
   • 下载恶意文件
   • 植入恶意文件
   • 注册表修改
   • 利用软件漏洞
      •  MS07-019
      •  CVE-2007-1204

 文件 它将本身复制到以下位置:
   • %恶意软件执行目录%\qepdjla.dll
   • %驱动器%\RECYCLER\%CLSID%\qepdjla.dll



它会删除其本身最初执行的副本。



创建以下文件:

%驱动器%\autorun.inf 这是一个无恶意的文本文件,包含以下内容:
   • %运行恶意软件代码%




它会尝试下载文件:

– 该位置如下所示:
   • http://www.wha**********.com/




它会尝试执行以下文件:

– 文件名:
   • explorer C:

 注册表 会添加以下注册表项,以便在系统重新引导之后加载服务:

– [HKLM\SYSTEM\CurrentControlSet\Services\mgvjx]
   • "Description"="Enables Windows-based programs to create, access, and modify Internet-based files. If this service is stopped, these functions will not be available. If this service is disabled, any services that explicitly depend on it will fail to start."
   • "DisplayName"="Server Monitor"
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



它会创建以下项,以便绕过 Windows XP 防火墙:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "8182:TCP"="8182:TCP:*:Enabled:opijcn"



会添加以下注册表项目注册值:

– [HKLM\SYSTEM\CurrentControlSet\Services\mgvjx\Parameters]
   • "ServiceDll"="%SYSDIR%\qepdjla.dll"



会更改以下注册表项:

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   新值:
   • "ParseAutoexec"="1"

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   新值:
   • "Locked"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   新值:
   • "DontPrettyPath"=dword:0x00000000
   • "Filter"=dword:0x00000000
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000000
   • "HideIcons"=dword:0x00000000
   • "MapNetDrvBtn"=dword:0x00000001
   • "SeparateProcess"=dword:0x00000001
   • "ShowCompColor"=dword:0x00000001
   • "ShowInfoTip"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000
   • "WebView"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   新值:
   • "netsvcs"="6to4"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   新值:
   • "CheckedValue"=dword:0x00000000

 网络感染 该恶意软件会尝试以下方式连接其他计算机来作广泛传播/感染。


漏洞攻击:
它会利用以下漏洞攻击:
– MS04-007 (ASN.1 漏洞)
– MS05-039 (即插即用中的漏洞)
– MS06-040 (服务器服务中的漏洞)

 注入进程 – 它会将后门例程注入到进程中。

    进程名:
   • svchost.exe


 其他  通过访问以下网站来检查 Internet 连接:
   • http://checkip.dyndns.org


Mutex:
它会创建以下 Mutex:
   • dvkwjdesgb
   • jqvvgoiocfv

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

설명 삽입자 Petre Galan   2010년 11월 5일 금요일
설명 업데이트 Andrei Ivanes   2010년 11월 11일 목요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.