Червь, получивший название Conficker, пока распространяется преимущественно в корпоративных сетях, однако уже зафиксированы и сотни случаев заражения компьютеров рядовых пользователей Интернета. Червь, получивший название Conficker, пока распространяется преимущественно в корпоративных сетях, однако уже зафиксированы и сотни случаев заражения компьютеров рядовых пользователей Интернета. Conficker использует дыру, описание которой содержится в бюллетене безопасности Microsoft MS08-067. Проблема связана с тем, что при обработке сформированных специальным образом запросов удаленного вызова процедур (Remote Procedure Call) в службе Server программных платформ Microsoft возникает ошибка, позволяющая злоумышленникам захватить полный контроль над компьютером жертвы.
Вредоносная программа Conficker открывает произвольный порт между 1024 и 10000 и работает как веб-сервер. При проникновении на компьютер червь маскируется под JPG-файл, а затем записывает себя на диск под видом библиотеки DLL. Примечательно, что, попав на машину жертвы, Conficker устанавливает патч для уязвимости MS08-067. Однако в данном случае червь заботится вовсе не о владельце компьютера — просто таким образом Conficker закрывает лазейку для других вредоносных программ, которые могут помешать его работе.
Trojan.Win32.Agent.bcjv, так его назвают в лаборатории Касперского, NOD32 называет его
Win32/Conficker.AA, по версии BitDefender вирус зовут
Win32.Worm.Downadup.Gen. Вирус использует дыру для которой заплатка лежит
на сайте Microsoft и если вы еще не заразились, то срочно установите, чтобы предотвратить угрозу.
Win32Conficker.AA
Другие названия:
Trojan.Win32.Agent.bbof (Kaspersky)
W32.Downadup.B (Symantec)
WW32/Conficker.worm.gen.a (McAfee)
Тип проникновения
Червь (Worm)
Подверженные заражению платформы
Microsoft Windows
Описание
Win32/Conficker.A – это червь, который распространяется через папки общего доступа и removable media (сменные носители). Он распространяется, эксплуатируя уязвимость в Server Service.
Инсталляция
Во время исполнения вирус копирует себя в директории, используя следующее имя: %variable%.dll , Где %variable% произвольные символы.
%system%
%program files%\Internet Explorer
%program files%\Movie Maker
%appdata%
%temp%
Библиотека %variable%.dll загружается и внедряется в следующие процессы:
services.exe
explorer.exe
svchost.exe
Червь регистрируется в системе как системная служба, используя комбинации из следующих слов:
Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Чтобы загружаться при каждом запуске системы, вирус изменяет следующие ключи реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"%variable_name%" = "rundll32.exe "%system%\%variable%.dll", %random_string%"
Также создаются следующие ключи:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%\Parameters]
"ServiceDll" = "%system%\%variable%.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%]
"Image Path" = "%System Root%\system32\svchost.exe -k netsvcs"
"DisplayName" = "random service name%"
"Type" = 32
"Start" = 2
"ErrorControl" = 0
"ObjectName" = "LocalSystem"
"Description" = "%variable_name%"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"TcpNumConnections" = 16777214
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = 0
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets]
"gip" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets]
"gip" = 0A string with variable content is used instead of %random service name% .
Следующие разделы реестра удаляются:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\
{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
"wscsvc" = "%filepath%"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender" = "%filepath%"
Распространение.
1. используя уязвимость службы Server Service:
Вирус запускает HTTP сервер на случайном порту.
Сервер соединяется с удаленными машинами через порт TCP 139, 445 и пытается проникнуть в систему, используя уязвимость в Server Service.
Если проникновение проходит успешно удаленный компьютер подключается к зараженному компьютеру и скачивает копию вируса.
2. Через общий доступ:
Червь пытается скопировать себя в общие папки на локальной машине используя следующие логины:
%username%
И пароли:
123
1234
12345
123456
1234567
12345678
123456789
1234567890
123123
12321
123321
123abc
123qwe
123asd
1234abcd
1234qwer
1q2w3e
a1b2c3
admin
Admin
administrator
nimda
qwewq
qweewq
qwerty
qweasd
asdsa
asddsa
asdzxc
asdfgh
qweasdzxc
q1w2e3
qazwsx
qazwsxedc
zxcxz
zxccxz
zxcvb
zxcvbn
passwd
password
Password
login
Login
pass
mypass
mypassword
adminadmin
root
rootroot
test
testtest
temp
temptemp
foofoo
foobar
default
password1
password12
password123
admin1
admin12
admin123
pass1
pass12
pass123
root123
pw123
abc123
qwe123
test123
temp123
mypc123
home123
work123
boss123
love123
sample
example
internet
Internet
nopass
nopassword
nothing
ihavenopass
temporary
manager
business
oracle
lotus
database
backup
owner
computer
server
secret
super
share
superuser
supervisor
office
shadow
system
public
secure
security
desktop
changeme
codename
codeword
nobody
cluster
customer
exchange
explorer
campus
money
access
domain
letmein
letitbe
anything
unknown
monitor
windows
files
academia
account
student
freedom
forever
cookie
coffee
market
private
games
killer
controller
intranet
work
home
job
foo
web
file
sql
aaa
aaaa
aaaaa
qqq
qqqq
qqqqq
xxx
xxxx
xxxxx
zzz
zzzz
zzzzz
fuck
12
21
321
4321
54321
654321
7654321
87654321
987654321
0987654321
0
00
000
0000
00000
00000
0000000
00000000
1
11
111
1111
11111
111111
1111111
11111111
2
22
222
2222
22222
222222
2222222
22222222
3
33
333
3333
33333
333333
3333333
33333333
4
44
444
4444
44444
444444
4444444
44444444
5
55
555
5555
55555
555555
5555555
55555555
6
66
666
6666
66666
666666
6666666
66666666
7
77
777
7777
77777
777777
7777777
77777777
8
88
888
8888
88888
888888
8888888
88888888
9
99
999
9999
99999
999999
9999999
99999999
При этом имя файла используется:
\\%hostname%\ADMIN$\System32\%variable%.dll
Червь устанавливает назначенное задание, чтобы выполняться каждый день:
rundll32.exe %variable%.dll, %random_string%
3.Через сменные носители.
Червь копирует себя на существующие сменные носители, при этом используются имена файлов:
%drive%\RECYCLER\S-%variable1%\%variable2%.%variable3%
Так же червь создает следующий файл:
%drive%\autorun.inf
Что гарантирует запуск каждый раз при подключении зараженного носителя.
Другая информация
Список сервисов, которые отключаются при активации вируса:
Windows Security Center Service (wscsvc)
Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Defender Service (WinDefend)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)
Червь внедряется в следующий процесс:
netsh interface tcp set global autotuning=disabled
Червь блокирует доступ к любым доменам, содержащим следующие символы:
ahnlab
arcabit
avast
avira
castlecops
centralcommand
clamav
comodo
computerassociates
cpsecure
defender
drweb
emsisoft
esafe
eset
etrust
ewido
fortinet
f-prot
f-secure
gdata
grisoft
hacksoft
hauri
ikarus
jotti
k7computing
kaspersky
malware
mcafee
microsoft
networkassociates
nod32
norman
norton
panda
pctools
prevx
quickheal
rising
rootkit
securecomputing
sophos
spamhaus
spyware
sunbelt
symantec
threatexpert
trendmicro
virus
wilderssecurity
windowsupdate
nai.
ca.
avp.
avg.
vet.
bit9.
sans.
Если системная дата будет соответствовать определенному условию, то вирус попробует скачать несколько файлов из интернета. Эти файлы будут запущены. Вирус содержит один адрес URL для скачивания файлов.
Червь запускает только в зашифрованные и корректно подписанные файлы.
Файлы хранятся в папке %temp%, При этом используется имя %variable%.tmp
Так же червь может создать следующие ключи реестра, создающие исключения в программе Windows Firewall:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"%port number%:TCP" = "%port number%:TCP:*:Enabled:%variable%"
Лечится:
Win32Conficker.A
Другие названия:
Net-Worm.Win32.Kido.t(Kaspersky)
W32.Downadup (Symantec)
W32/Conficker.worm (McAfee)
Тип проникновения
Червь (Worm)
Размер файла
62976 байт
Подверженные заражению платформы
Microsoft Windows
Краткое описание
Win32/Conficker.A – это червь, который распространяется, эксплуатируя уязвимость в Server Service. Запускающий файл вируса упакован при помощи архива UPX.
Инсталляция
Во время исполнения вирус копирует себя в директорию %system%, используя следующее имя: %variable%.dll , Где %variable% произвольные символы.
Библиотека %variable%.dll загружается и внедряется в следующий процесс: services.exe
Вирус регистрирует себя в системе, используя следующее имя файла: netsvcs.
Чтобы загружаться при каждом запуске системы, вирус устанавливает следующие ключи реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%\Parameters]
"ServiceDll" = "%system%\%variable%.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%]
"Image Path" = "%System Root%\system32\svchost.exe -k netsvcs"
Где %random service name% произвольные символы.
Распространение
Вирус запускает HTTP сервер на случайном порту. Сервер соединяется с удаленными машинами через порт TCP 445 и пытается проникнуть в систему, используя уязвимость в Server Service. Если проникновение проходит успешно удаленный компьютер подключается к зараженному компьютеру и скачивает копию вируса.
Другая информация
Если системная дата будет соответствовать определенному условию, то вирус попробует скачать несколько файлов из интернета. Эти файлы будут запущены. Вирус содержит адреса URL для скачивания файлов.
Список сервисов, которые отключаются при активации вируса:
Windows Firewall
Лечится:
» Новости » Trojan.Win32.Agent.bcjv, он же Win32/Conficker.AA - описание и методы удаления
Антивирусный сканер по требованию. Бесплатная версия антивируса NOD32, позволяющая быстро и эффективно обнаруживать и удалять вирусы, интернет-черви, трояны и другие вредоносные программы. NOD32 On-Demand Scanner быстро и эффективно проверяет и лечит зараженную систему, обладает низкими системными требованиями.
Набор самых популярных кодеков и декодеров для просмотра и упаковки: видео - CoreAVC, DivX, XviD и аудио - CoreAAC, AC3Filter. Кодеки могут как кодировать поток/сигнал, так и раскодировать — для просмотра или изменения в формате, более подходящем для этих операций. Кодеки часто используются при цифровой обработке видео и звука.
ФотоШОУ — это новая русская программа от компании AMS Software для создания музыкальных слайд-шоу с красивыми эффектами переходов. Позволяет добавлять фотографии без ограничений, вставлять подписи и титры, использовать темы оформления и т.д. Готовое слайд-шоу можно сохранить в виде .EXE, скринсейвера или видео, в том числе HD-качества, конвертировать в видео различных форматов, публиковать в Интернете (YouTube, RuTube, ВКонтакте), просматривать на мобильных устройствах. Имеет удобный и лёгкий в освоении интерфейс.