Полное описание

Имя:	Worm/Conficker.Z.38
Обнаружен:	17/08/2009
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	От низкого до среднего
Потенциал распространения:	Средний
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	167.071 байт.
Контрольная сумма MD5:	2c8442c4a9328a5cf26650fa6fe743ef
Версия IVDF:	7.01.05.119 - понедельник, 17 августа 2009 г.

Общее Методы распространения:
   • Функция автозапуска
   • Локальная сеть

Псевдонимы (аliases):
   • Mcafee: W32/Conficker.worm.gen.a
   • Panda: W32/Conficker.C.worm
   • Eset: Win32/Conficker.AE

Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Использует уязвимость ПО
      • CVE-2007-1204
      • MS07-019

Файлы Создаются собственные копии:
   • %SYSDIR%\qepdjla.dll
   • %Диск%\RECYCLER\%CLSID%\jwgkvsq.vmx

Выполненная копия программы удаляется.

Создается файл:

– %Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

Попытка запустить на выполнение следующий файл:

– Имя файла:
   • explorer C:

Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %случайная буквенная комбинация%]
   • "Description"="Provides a common interface and object model to access management information about operating system, devices, applications and services. If this service is stopped, most Windows-based software will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start."
   • "DisplayName"="Update Driver"
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020

Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "8182:TCP"="8182:TCP:*:Enabled:opijcn"

Добавляется следующий ключ реестра:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %случайная буквенная комбинация%\
   Parameters]
   • "ServiceDll"="%SYSDIR%\qepdjla.dll"

Изменяются следующие ключи реестра:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Новое значение:
   • "Locked"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Новое значение:
   • "DontPrettyPath"=dword:0x00000000
   • "Filter"=dword:0x00000000
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000000
   • "HideIcons"=dword:0x00000000
   • "MapNetDrvBtn"=dword:0x00000001
   • "SeparateProcess"=dword:0x00000001
   • "ShowCompColor"=dword:0x00000001
   • "ShowInfoTip"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000
   • "WebView"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Новое значение:
   • "CheckedValue"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Новое значение:
   • "netsvcs"="6to4"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Новое значение:
   • "ShellState"=hex:24,00,00,00,32,04,00,00,00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,0D,00,00,00,00,00,00,00,01,00,00,00

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Новое значение:
   • "ParseAutoexec"="1"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
   Новое значение:
   • "Epoch"=dword:0x00000030

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

– Список паролей:
   • 99999999; 9999999; 999999; 99999; 9999; 999; 99; 88888888; 8888888;
      888888; 88888; 8888; 888; 88; 77777777; 7777777; 777777; 77777; 7777;
      777; 77; 66666666; 6666666; 666666; 66666; 6666; 666; 66; 55555555;
      5555555; 555555; 55555; 5555; 555; 55; 44444444; 4444444; 444444;
      44444; 4444; 444; 44; 33333333; 3333333; 333333; 33333; 3333; 333; 33;
      22222222; 2222222; 222222; 22222; 2222; 222; 22; 11111111; 1111111;
      111111; 11111; 1111; 111; 11; 00000000; 0000000; 00000; 0000; 000; 00;
      0987654321; 987654321; 87654321; 7654321; 654321; 54321; 4321; 321;
      21; 12; fuck; zzzzz; zzzz; zzz; xxxxx; xxxx; xxx; qqqqq; qqqq; qqq;
      aaaaa; aaaa; aaa; sql; file; web; foo; job; home; work; intranet;
      controller; killer; games; private; market; coffee; cookie; forever;
      freedom; student; account; academia; files; windows; monitor; unknown;
      anything; letitbe; letmein; domain; access; money; campus; explorer;
      exchange; customer; cluster; nobody; codeword; codename; changeme;
      desktop; security; secure; public; system; shadow; office; supervisor;
      superuser; share; super; secret; server; computer; owner; backup;
      database; lotus; oracle; business; manager; temporary; ihavenopass;
      nothing; nopassword; nopass; Internet; internet; example; sample;
      love123; boss123; work123; home123; mypc123; temp123; test123; qwe123;
      abc123; pw123; root123; pass123; pass12; pass1; admin123; admin12;
      admin1; password123; password12; password1; default; foobar; foofoo;
      temptemp; temp; testtest; test; rootroot; root; adminadmin;
      mypassword; mypass; pass; Login; login; Password; password; passwd;
      zxcvbn; zxcvb; zxccxz; zxcxz; qazwsxedc; qazwsx; q1w2e3; qweasdzxc;
      asdfgh; asdzxc; asddsa; asdsa; qweasd; qwerty; qweewq; qwewq; nimda;
      administrator; Admin; admin; a1b2c3; 1q2w3e; 1234qwer; 1234abcd;
      123asd; 123qwe; 123abc; 123321; 12321; 123123; 1234567890; 123456789;
      12345678; 1234567; 123456; 12345; 1234; 123

Эксплойт:
Используются следующие бреши в безопасности:
– MS04-007 (Уязвимость ASN.1)
– MS06-040 (Уязвимость в серверной службе)

Удаленная активация:
–Осуществляется попытка запуска вредоносной программы на вновь зараженном компьютере. Это реализируется с помощью функции NetScheduleJobAdd.

Инфицирование – Backdoor-процедура вставляется в процесс.

Имя процесса:
• svchost.exe

Разное Связывается со следующим веб-сайтом для проверки установленного Интернет-соединения:
   • http://checkip.dyndns.org

Мьютекс:
Создаются мьютексы:
   • vcxhnoiftekm
   • whbutqjjhtfzpy
   • dvkwjdesgb

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) пятница, 10 декабря 2010 г.
Описание обновил Petre Galan в(о) пятница, 10 декабря 2010 г.

Назад . . . .

Рекомендуемые продукты

Больше продуктов

Наиболее популярные продукты

Все продукты

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты

Рекомендуемые продукты

Больше продуктов

Наиболее популярные продукты

Все продукты

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты