Full description

Nume:	Worm/Conficker.IH
Descoperit pe data de:	15/06/2009
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut spre mediu
Potential de raspandire:	Mediu
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	1.761.120 Bytes
MD5:	2961267dd9c44c59f182984ebc559fd0
Versiune IVDF:	7.01.04.95 - segunda-feira, 15 de junho de 2009

General Metoda de raspandire:
   • Functia autorun
   • Reteaua locala

Alias:
   • Mcafee: W32/Conficker.worm
   • Panda: W32/Conficker.C.worm
   • Eset: Win32/Conficker.AA

Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Reduce setarile de securitate
   • Creeaza fisiere malware
   • Modificari in registri
   • Profita de vulnerabilitatile softului
      • CVE-2007-1204
      • MS07-019

Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\qepdjla.dll
   • %unitate disc%\RECYCLER\%CLSID%\qepdjla.dll

Sterge copia initiala a virusului.

Este creat fisierul:

– %unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

Incearca se execute urmatorul fisier:

– Numele fisierului:
   • explorer C:

Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\lvbiixb]
   • "Description"="Enables support for running virtual machines from a physical disk partition"
   • "DisplayName"="Monitor Microsoft"
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020

Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "8182:TCP"="8182:TCP:*:Enabled:opijcn"

Se adauga in registrii sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\lvbiixb\Parameters]
   • "ServiceDll"="%SYSDIR%\qepdjla.dll"

Urmatoarele chei din registri sunt modificate:

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Noua valoare:
   • "ParseAutoexec"="1"

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Noua valoare:
   • "Locked"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "DontPrettyPath"=dword:0x00000000
   • "Filter"=dword:0x00000000
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000000
   • "HideIcons"=dword:0x00000000
   • "MapNetDrvBtn"=dword:0x00000001
   • "SeparateProcess"=dword:0x00000001
   • "ShowCompColor"=dword:0x00000001
   • "ShowInfoTip"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000
   • "WebView"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Noua valoare:
   • "netsvcs"="6to4"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Noua valoare:
   • "CheckedValue"=dword:0x00000000

Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
– MS06-040 (Vulnerability in Server Service)

Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

Injectarea codului malware in alte procese – Injecteaza o rutina backdoor intr-un proces.

Numele procesului:
• svchost.exe

Alte informatii Cauta o conexiune Internet, contactand urmatorul website:
   • http://checkip.dyndns.org

Mutex:
Creeaza urmatorii mutecsi:
   • ywubfnstnm
   • vcxhnoiftekm
   • dvkwjdesgb

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Petre Galan em quinta-feira, 2 de dezembro de 2010
Descrição atualizada por Petre Galan em quinta-feira, 2 de dezembro de 2010

Voltar . . . .

Precisa consertar seu PC?

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas