Full description

Vírus	Worm/Conficker
Data em que surgiu:	14/01/2009
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	Médio
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Não
Versão IVDF:	7.01.01.115 - quarta-feira, 14 de janeiro de 2009

Vulgarmente Meios de transmissão:
   • Rede local
   • Unidade de rede
   • Peer to Peer

Alias:
   • Symantec: W32.Downadup.B
   • Kaspersky: Net-Worm.Win32.Kido.fw
   • F-Secure: Worm:W32/Downadup.gen!A
   • Sophos: Mal/Conficker-A
   • Panda: Trj/Downloader.MDW
   • Grisoft: I-Worm/Generic.CJY
   • Eset: a variant of Win32/Conficker.AE worm
   • Bitdefender: Win32.Worm.Downadup.Gen

Detecção similar:
   • Worm/Kido

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para as seguintes localizações
   • %todas as pastas partilhadas% \RECYCLER\S-%número% \%uma série de caracteres aleatórios%.vmx
   • %ProgramFiles%\Internet Explorer\%uma série de caracteres aleatórios%.dll
   • %ProgramFiles%\Movie Maker\%uma série de caracteres aleatórios%.dll
   • %SYSDIR%\%uma série de caracteres aleatórios%.dll
   • %TEMPDIR%\%uma série de caracteres aleatórios%.dll
   • %ALLUSERSPROFILE%\Application Data\%uma série de caracteres aleatórios%.dll

É criado o seguinte ficheiro:

– %todas as pastas partilhadas%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %random comments%
     shellexecute rundll32.exe %caminhos e ficheiros de cópias de malware%,%uma série de caracteres aleatórios%
     %random comments%

– %SYSDIR%\%dois caracteres aleatórios%.TMP Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Rootkit.Gen

Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\
   %palavras aleatórias%\Parameters\
   • ServiceDll" = "%caminhos e ficheiros de cópias de malware%"

– HKLM\SYSTEM\CurrentControlSet\Services\
   %palavras aleatórias%\
   • "ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
     "Type" = "4"
     "Start" = "4"
     "ErrorControl" = "4"

Altera as seguintes chaves de registo do Windows:

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   Valor anterior:
   • "Start"=dword:00000003
   Valor recente:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Valor anterior:
   • "Start"=dword:00000003
   Valor recente:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\BITS]
   Valor anterior:
   • "Start"=dword:00000003
   Valor recente:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
   Valor anterior:
   • "Start"=dword:00000003
   Valor recente:
   • "Start"=dword:00000004

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Valor recente:
   • "Hidden"=dword:00000002
     "ShowCompColor"=dword:00000001
     "HideFileExt"=dword:00000000
     "DontPrettyPath"=dword:00000000
     "ShowInfoTip"=dword:00000001
     "HideIcons"=dword:00000000
     "MapNetDrvBtn"=dword:00000000
     "WebView"=dword:00000000
     "Filter"=dword:00000000
     "SuperHidden"=dword:00000000
     "SeparateProcess"=dword:00000000

Infecção da rede Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Usa a seguinte informação de login para ganhar acesso à máquina remota:

– A seguinte lista de palavras-chave:
   • 000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
      111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
      123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
      123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
      22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
      4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
      555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
      66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
      87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
      9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
      abc123; academia; access; account; Admin; admin; admin1; admin12;
      admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
      asdzxc; backup; boss123; business; campus; changeme; cluster;
      codename; codeword; coffee; computer; controller; cookie; customer;
      database; default; desktop; domain; example; exchange; explorer; file;
      files; foo; foobar; foofoo; forever; freedom; fuck; games; home;
      home123; ihavenopass; Internet; internet; intranet; job; killer;
      letitbe; letmein; login; Login; lotus; love123; manager; market;
      money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
      nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
      pass123; passwd; password; Password; password1; password12;
      password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
      qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
      root123; rootroot; sample; secret; secure; security; server; shadow;
      share; sql; student; super; superuser; supervisor; system; temp;
      temp123; temporary; temptemp; test; test123; testtest; unknown; web;
      windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
      zxcxz; zzz; zzzz; zzzzz

Criação de endereços IP:
Gera endereços IP aleatoriamente, guardando somente os três primeiros octetos do seu endereço. De seguida tenta estabelecer ligação com os endereços gerados.

Processo de infecção:
A máquina a atacada efectua o download do malware da máquina atacante.
O ficheiro descarregado é armazenado na máquina a atacar: .\RECYCLER\S-%número% \%uma série de caracteres aleatórios%.vmx

Hospedeiros – O acesso aos seguintes domínios é bloqueado:
   • ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
      centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
      defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
      f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
      k7computing; kaspersky; malware; mcafee; microsoft; nai.;
      networkassociates; nod32; norman; norton; panda; pctools; prevx;
      quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
      spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
      wilderssecurity; windowsupdate

Informações diversas Ligação à internet:
Para conferir a sua ligação à internet são contatados os seguintes servidores de DNS :
   • http://www.getmyip.org
   • http://www.whatsmyipaddress.com
   • http://getmyip.co.uk
   • http://checkip.dyndns.org

Procura uma ligação de internet contactando um dos seguintes web sites:
   • baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
      cnn.com; ebay.com; msn.com; myspace.com

Reparar o ficheiro:
Para aumentar o número máximo de ligações tem a capacidade de modificar o ficheiro tcpip.sys. Pode resultar na corrupção desse ficheiro e na ruptura da conectividade da rede.

Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.

Forma utilizada

Bloqueia as seguintes funções API:
   • DNS_Query_A
   • DNS_Query_UTF8
   • DNS_Query_W
   • Query_Main
   • sendto

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Alexander Neth em sexta-feira, 16 de janeiro de 2009
Descrição atualizada por Alexander Neth em sexta-feira, 17 de julho de 2009

Voltar . . . .