• Win32/Conficker.AA

  • 0
Автор
Категория Червь
Дата обнаружения 01.01.2009
Размер 157130
Другие названия
Trojan.Win32.Agent.bbof (Касперский)
WW32/Conficker.worm.gen.a (McAfee)
W32.Downadup.B (Symantec)

Краткое описание

Win32/Conficker.АА-это червь, который распространяется через общие папки и съемные носители информации. Он подключается к удаленным машинам в попытке эксплуатировать Уязвимость службы сервера.

Как устанавливается

При запуске червь копирует себя в некоторых из следующих мест:

  • %system%\­%variable%.dll
  • %program files%\­Internet Explorer\­%variable%.dll
  • %program files%\­Movie Maker\­%variable%.dll
  • %appdata%\­%variable%.dll
  • %temp%\­%variable%.dll

Вместо %variable% используется строка с разным содержанием

Червь загружает и вставляет в %variable%.dll библиотека в следующих процессов:

  • explorer.exe
  • services.exe
  • svchost.exe

Червь регистрирует себя в качестве системной службы с именем в сочетании со следующих строк:

  • Boot
  • Center
  • Config
  • Driver
  • Helper
  • Image
  • Installer
  • Manager
  • Microsoft
  • Monitor
  • Network
  • Security
  • Server
  • Shell
  • Support
  • System
  • Task
  • Time
  • Universal
  • Update
  • Windows
Показать больше
Показать меньше

Для автоматического запуска с системой, червь создает следующие записи в реестре:

  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "%variable_name%" = "rundll32.exe "%system%\­%variable%.dll", %random_string%"
  • "%variable_name%" = "rundll32.exe "%system%\­%variable%.dll", %random_string%"

Следующие записи реестра:

  • [HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­%random service name%\­Parameters]
    • "ServiceDll" = "%system%\­%variable%.dll"
  • [HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­%random service name%]
    • "Image Path" = "%System Root%\­system32\­svchost.exe -k netsvcs"
    • "DisplayName" = "random service name%"
    • "Type" = 32
    • "Start" = 2
    • "ErrorControl" = 0
    • "ObjectName" = "LocalSystem"
    • "Description" = "%variable_name%"
  • [HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­Tcpip\­Parameters]
    • "TcpNumConnections" = 16777214
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­explorer\­Advanced\­Folder\­Hidden\­SHOWALL]
    • "CheckedValue" = 0
  • [HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Applets]
    • "gip" = 0
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Applets]
    • "gip" = 0
  • "ServiceDll" = "%system%\­%variable%.dll"
  • "Image Path" = "%System Root%\­system32\­svchost.exe -k netsvcs"
  • "DisplayName" = "random service name%"
  • "Type" = 32
  • "Start" = 2
  • "ErrorControl" = 0
  • "ObjectName" = "LocalSystem"
  • "Description" = "%variable_name%"
  • "TcpNumConnections" = 16777214
  • "CheckedValue" = 0
  • "gip" = 0
  • "gip" = 0

Строка с переменной используется вместо %random service name% .

Следующие записи реестра удаляются:

  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Windows\­CurrentVersion\­explorer\­ShellServiceObjects\­{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
    • "wscsvc" = "%filepath%"
  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "Windows Defender" = "%filepath%"
  • "wscsvc" = "%filepath%"
  • "Windows Defender" = "%filepath%"

Распространение на съёмных носителях

Червь копирует себя в существующих папок, съемных дисков.

Следующее Имя файла:

  • %drive%\­RECYCLER\­S-%variable1%\­%variable2%.%variable3%

Строка с переменной используется вместо %variable1-3%

Червь создает следующий файл:

  • %drive%\­autorun.inf

Таким образом, червь обеспечивает он запускается каждый раз, когда зараженные носитель вставлен в компьютер.

Распространение

Червь запускает HTTP сервер на случайном порту.

Он подключается к удаленным машинам порт TCP 139, 445 в попытке эксплуатировать Уязвимость службы сервера.

В случае успеха, удаленный компьютер пытается подключиться к зараженному компьютеру и загрузить копию червя .

Этой уязвимости, описанной в Бюллетене по безопасности Microsoft MS08-067 .

Дополнительная информация

Отключаются следующие сервисы:

  • Windows Security Center Service (wscsvc)
  • Windows Automatic Update Service (wuauserv)
  • Background Intelligent Transfer Service (BITS)
  • Windows Defender Service (WinDefend)
  • Windows Error Reporting Service (ERSvc)
  • Windows Error Reporting Service (WerSvc)
Показать больше
Показать меньше

Червь запускает следующие процессы:

  • netsh interface tcp set global autotuning=disabled

Червь блокирует доступ к любым доменам, которые содержат любую из следующих строк в их имени:

  • ahnlab
  • arcabit
  • avast
  • avira
  • castlecops
  • centralcommand
  • clamav
  • comodo
  • computerassociates
  • cpsecure
  • defender
  • drweb
  • emsisoft
  • esafe
  • eset
  • etrust
  • ewido
  • fortinet
  • f-prot
  • f-secure
  • gdata
  • grisoft
  • hacksoft
  • hauri
  • ikarus
  • jotti
  • k7computing
  • kaspersky
  • malware
  • mcafee
  • microsoft
  • networkassociates
  • nod32
  • norman
  • norton
  • panda
  • pctools
  • prevx
  • quickheal
  • rising
  • rootkit
  • securecomputing
  • sophos
  • spamhaus
  • spyware
  • sunbelt
  • symantec
  • threatexpert
  • trendmicro
  • virus
  • wilderssecurity
  • windowsupdate
  • nai.
  • ca.
  • avp.
  • avg.
  • vet.
  • bit9.
  • sans.
Показать больше
Показать меньше

Червь пытается загрузить несколько файлов из Интернета.

Червь запускается только в зашифрованном виде и должным образом подписаны файлы.

Файл хранится в следующей папке:

  • %temp%

Следующее Имя файла:

  • %variable%.tmp

Вместо %variable% используется строка с разным содержанием

Червь может задать следующие записи реестра:

  • [HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­SharedAccess\­Parameters\­FirewallPolicy\­StandardProfile\­GloballyOpenPorts\­List]
    • "%port number%:TCP" = "%port number%:TCP:*:Enabled:%variable%"
  • "%port number%:TCP" = "%port number%:TCP:*:Enabled:%variable%"

Тем самым создавая исключения во встроенном фаерволле Windows

Как удалить

Для удаления указанного вредоносного ПО можно воспользоваться следующими специальными утилитами, предназначенными для удаления именно этого зловреда и его разновидностей:

Conflicker Remover от AVG

Conflicker Removal Tool от Enigma

Single PC Removal Tool от BitDefender

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и соглашаюсь c политикой конфиденциальности *

Следите за нами:

Яндекс.Метрика