Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Conficker.HK
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度至中程度
感染/传播能力:低程度至中程度
破坏 / 损害程度:低程度至中程度
静态文件:
文件大小:165.473 字节
MD5 校检和:b29d79b0bf961834bb18300f384db3ea
VDF 版本:7.11.53.216 - donderdag 13 december 2012
IVDF 版本:7.11.53.216 - donderdag 13 december 2012

 况概描述 传播方法:
   • 视窗自动运行Autorun功能
   • 局域网络


别名:
   •  Sophos: Mal/Conficker-A
   •  Panda: W32/Conficker.C.worm


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 降低系统安全设置
   • 植入恶意文件
   • 注册表修改
   • 利用软件漏洞
      •  CVE-2007-1204
      •  MS07-019

 文件 它将本身复制到以下位置:
   • %SYSDIR%\qepdjla.dll
   • %驱动器%\RECYCLER\%CLSID%\qepdjla.dll



它会删除其本身最初执行的副本。



创建以下文件:

%驱动器%\autorun.inf 这是一个无恶意的文本文件,包含以下内容:
   • %运行恶意软件代码%

 注册表 会添加以下注册表项,以便在系统重新引导之后加载服务:

– [HKLM\SYSTEM\CurrentControlSet\Services\bidqmtugg]
   • "Description"="Enables event log messages issued by Windows-based programs and components to be viewed in Event Viewer. This service cannot be stopped."
   • "DisplayName"="Config Image"
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



它会创建以下项,以便绕过 Windows XP 防火墙:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "8182:TCP"="8182:TCP:*:Enabled:opijcn"



会添加以下注册表项目注册值:

– [HKLM\SYSTEM\CurrentControlSet\Services\bidqmtugg\Parameters]
   • "ServiceDll"="%SYSDIR%\qepdjla.dll"



会更改以下注册表项:

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   新值:
   • "ParseAutoexec"="1"

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   新值:
   • "Locked"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   新值:
   • "DontPrettyPath"=dword:0x00000000
   • "Filter"=dword:0x00000000
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000000
   • "HideIcons"=dword:0x00000000
   • "MapNetDrvBtn"=dword:0x00000001
   • "SeparateProcess"=dword:0x00000001
   • "ShowCompColor"=dword:0x00000001
   • "ShowInfoTip"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000
   • "WebView"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   新值:
   • "netsvcs"="6to4"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   新值:
   • "CheckedValue"=dword:0x00000000

 网络感染 该恶意软件会尝试以下方式连接其他计算机来作广泛传播/感染。


漏洞攻击:
它会利用以下漏洞攻击:
– MS04-007 (ASN.1 漏洞)
– MS05-039 (即插即用中的漏洞)
– MS06-040 (服务器服务中的漏洞)

 注入进程 – 它会将后门例程注入到进程中。

    进程名:
   • svchost.exe


 其他  通过访问以下网站来检查 Internet 连接:
   • http://www.whatismyip.org


Mutex:
它会创建以下 Mutex:
   • oqvmidozysowwyq
   • vcxhnoiftekm
   • dvkwjdesgb

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

Beschrijving ingevoegd door Petre Galan op donderdag 11 november 2010
Beschrijving bijgewerkt door Andrei Ivanes op vrijdag 12 november 2010

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.