worm2
  • Win32/Conficker.AA

  • 0
Автор
КатегорияЧервь
Дата обнаружения01.01.2009
Размер157130
Другие названия
Trojan.Win32.Agent.bbof (Касперский)
WW32/Conficker.worm.gen.a (McAfee)
W32.Downadup.B (Symantec)

Краткое описание

Win32/Conficker.АА-это червь, который распространяется через общие папки и съемные носители информации. Он подключается к удаленным машинам в попытке эксплуатировать Уязвимость службы сервера.

Как устанавливается

При запуске червь копирует себя в некоторых из следующих мест:

  • %system%\­%variable%.dll
  • %program files%\­Internet Explorer\­%variable%.dll
  • %program files%\­Movie Maker\­%variable%.dll
  • %appdata%\­%variable%.dll
  • %temp%\­%variable%.dll

Вместо %variable% используется строка с разным содержанием

Червь загружает и вставляет в %variable%.dll библиотека в следующих процессов:

  • explorer.exe
  • services.exe
  • svchost.exe

Червь регистрирует себя в качестве системной службы с именем в сочетании со следующих строк:

Для автоматического запуска с системой, червь создает следующие записи в реестре:

  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "%variable_name%" = "rundll32.exe "%system%\­%variable%.dll", %random_string%"
  • "%variable_name%" = "rundll32.exe "%system%\­%variable%.dll", %random_string%"

Следующие записи реестра:

  • [HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­%random service name%\­Parameters]
    • "ServiceDll" = "%system%\­%variable%.dll"
  • [HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­%random service name%]
    • "Image Path" = "%System Root%\­system32\­svchost.exe -k netsvcs"
    • "DisplayName" = "random service name%"
    • "Type" = 32
    • "Start" = 2
    • "ErrorControl" = 0
    • "ObjectName" = "LocalSystem"
    • "Description" = "%variable_name%"
  • [HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­Tcpip\­Parameters]
    • "TcpNumConnections" = 16777214
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­explorer\­Advanced\­Folder\­Hidden\­SHOWALL]
    • "CheckedValue" = 0
  • [HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Applets]
    • "gip" = 0
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Applets]
    • "gip" = 0
  • "ServiceDll" = "%system%\­%variable%.dll"
  • "Image Path" = "%System Root%\­system32\­svchost.exe -k netsvcs"
  • "DisplayName" = "random service name%"
  • "Type" = 32
  • "Start" = 2
  • "ErrorControl" = 0
  • "ObjectName" = "LocalSystem"
  • "Description" = "%variable_name%"
  • "TcpNumConnections" = 16777214
  • "CheckedValue" = 0
  • "gip" = 0
  • "gip" = 0

Строка с переменной используется вместо %random service name% .

Следующие записи реестра удаляются:

  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Windows\­CurrentVersion\­explorer\­ShellServiceObjects\­{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
    • "wscsvc" = "%filepath%"
  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "Windows Defender" = "%filepath%"
  • "wscsvc" = "%filepath%"
  • "Windows Defender" = "%filepath%"

Распространение на съёмных носителях

Червь копирует себя в существующих папок, съемных дисков.

Следующее Имя файла:

  • %drive%\­RECYCLER\­S-%variable1%\­%variable2%.%variable3%

Строка с переменной используется вместо %variable1-3%

Червь создает следующий файл:

  • %drive%\­autorun.inf

Таким образом, червь обеспечивает он запускается каждый раз, когда зараженные носитель вставлен в компьютер.

Распространение

Червь запускает HTTP сервер на случайном порту.

Он подключается к удаленным машинам порт TCP 139, 445 в попытке эксплуатировать Уязвимость службы сервера.

В случае успеха, удаленный компьютер пытается подключиться к зараженному компьютеру и загрузить копию червя .

Этой уязвимости, описанной в Бюллетене по безопасности Microsoft MS08-067 .

Дополнительная информация

Отключаются следующие сервисы:

Червь запускает следующие процессы:

  • netsh interface tcp set global autotuning=disabled

Червь блокирует доступ к любым доменам, которые содержат любую из следующих строк в их имени:

Червь пытается загрузить несколько файлов из Интернета.

Червь запускается только в зашифрованном виде и должным образом подписаны файлы.

Файл хранится в следующей папке:

  • %temp%

Следующее Имя файла:

  • %variable%.tmp

Вместо %variable% используется строка с разным содержанием

Червь может задать следующие записи реестра:

  • [HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­SharedAccess\­Parameters\­FirewallPolicy\­StandardProfile\­GloballyOpenPorts\­List]
    • "%port number%:TCP" = "%port number%:TCP:*:Enabled:%variable%"
  • "%port number%:TCP" = "%port number%:TCP:*:Enabled:%variable%"

Тем самым создавая исключения во встроенном фаерволле Windows

Как удалить

Для удаления указанного вредоносного ПО можно воспользоваться следующими специальными утилитами, предназначенными для удаления именно этого зловреда и его разновидностей:

Conflicker Remover от AVG

Conflicker Removal Tool от Enigma

Single PC Removal Tool от BitDefender

Похожие записи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *