Другие названия
Trojan.Win32.Agent.bbof (Kaspersky)
W32.Downadup.B (Symantec)
WW32/Conficker.worm.gen.a (McAfee)
Тип проникновения
Червь (Worm)
Размер файла
157130 байт
Подверженные заражению платформы
Microsoft Windows
Версия базы вирусных сигнатур
3730 (20090101)
Для удаления вируса вам необходимо скачать утилиту и установить обновления Microsoft для вашей операционной системы.
Описание
Win32/Conficker.A - червь, использующий уязвимость в Server Service, распространяется через папки общего доступа и внешние носители.
Инсталляция
Во время исполнения вирус копирует себя в директории, используя следующее имя: %variable%.dll , где %variable% - произвольные символы.
%system%
%program files%\Internet Explorer
%program files%\Movie Maker
%appdata%
%temp%
Библиотека %variable%.dll загружается и внедряется в следующие процессы:
services.exe
explorer.exe
svchost.exe
Червь регистрируется в системе как системная служба, используя комбинации из следующих слов:
Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Для того чтобы загружаться при каждом запуске системы, вирус изменяет следующие ключи реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"%variable_name%" = "rundll32.exe "%system%\%variable%.dll", %random_string%"
Также создаются следующие ключи:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%\Parameters]
"ServiceDll" = "%system%\%variable%.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%]
"Image Path" = "%System Root%\system32\svchost.exe -k netsvcs"
"DisplayName" = "random service name%"
"Type" = 32
"Start" = 2
"ErrorControl" = 0
"ObjectName" = "LocalSystem"
"Description" = "%variable_name%"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"TcpNumConnections" = 16777214
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = 0
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets]
"gip" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets]
"gip" = 0A string with variable content is used instead of %random service name% .
Следующие разделы реестра удаляются:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\
{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
"wscsvc" = "%filepath%"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender" = "%filepath%"
Эксплуатация уязвимости службы ServerService
Вирус запускает HTTP сервер на случайном порту. Сервер соединяется с удаленными машинами через порт TCP 139, 445 и пытается проникнуть в систему, используя уязвимость в Server Service. Если проникновение проходит успешно, удаленный компьютер подключается к зараженному компьютеру и скачивает копию вируса.
Описание Server Service. Подробнее
Распространение через общий доступ
Червь пытается скопировать себя в общие папки на локальной машине, используя следующие логины и пароли:
Логин
%username%
Пароли
123
1234
12345
123456
1234567
12345678
123456789
1234567890
123123
12321
123321
123abc
123qwe
123asd
1234abcd
1234qwer
1q2w3e
a1b2c3
admin
Admin
administrator
nimda
qwewq
qweewq
qwerty
qweasd
asdsa
asddsa
asdzxc
asdfgh
qweasdzxc
q1w2e3
qazwsx
qazwsxedc
zxcxz
zxccxz
zxcvb
zxcvbn
passwd
password
Password
login
Login
pass
mypass
mypassword
adminadmin
root
rootroot
test
testtest
temp
temptemp
foofoo
foobar
default
password1
password12
password123
admin1
admin12
admin123
pass1
pass12
pass123
root123
pw123
abc123
qwe123
test123
temp123
mypc123
home123
work123
boss123
love123
sample
example
internet
Internet
nopass
nopassword
nothing
ihavenopass
temporary
manager
business
oracle
lotus
database
backup
owner
computer
server
secret
super
share
superuser
supervisor
office
shadow
system
public
secure
security
desktop
changeme
codename
codeword
nobody
cluster
customer
exchange
explorer
campus
money
access
domain
letmein
letitbe
anything
unknown
monitor
windows
files
academia
account
student
freedom
forever
cookie
coffee
market
private
games
killer
controller
intranet
work
home
job
foo
web
file
sql
aaa
aaaa
aaaaa
qqq
qqqq
qqqqq
xxx
xxxx
xxxxx
zzz
zzzz
zzzzz
fuck
12
21
321
4321
54321
654321
7654321
87654321
987654321
0987654321
0
00
000
0000
00000
00000
0000000
00000000
1
11
111
1111
11111
111111
1111111
11111111
2
22
222
2222
22222
222222
2222222
22222222
3
33
333
3333
33333
333333
3333333
33333333
4
44
444
4444
44444
444444
4444444
44444444
5
55
555
5555
55555
555555
5555555
55555555
6
66
666
6666
66666
666666
6666666
66666666
7
77
777
7777
77777
777777
7777777
77777777
8
88
888
8888
88888
888888
8888888
88888888
9
99
999
9999
99999
999999
9999999
99999999
При этом используется следующее имя файла:
\\%hostname%\ADMIN$\System32\%variable%.dll
Червь устанавливает назначенное задание, чтобы выполняться каждый день:
rundll32.exe %variable%.dll, %random_string%
Распространение через внешние носители
Червь копирует себя на существующие внешние носители, при этом используются имена файлов:
%drive%\RECYCLER\S-%variable1%\%variable2%.%variable3%
Так же червь создает следующий файл:
%drive%\autorun.inf
Таким образом, вредоносная программа запускается каждый раз при подключении зараженного носителя.
Дополнительная информация
Список сервисов, которые отключаются при активации вируса:
Windows Security Center Service (wscsvc)
Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Defender Service (WinDefend)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)
Червь внедряется в следующий процесс:
netsh interface tcp set global autotuning=disabled
Червь блокирует доступ к любым доменам, содержащим следующие символы:
ahnlab
arcabit
avast
avira
castlecops
centralcommand
clamav
comodo
computerassociates
cpsecure
defender
drweb
emsisoft
esafe
eset
etrust
ewido
fortinet
f-prot
f-secure
gdata
grisoft
hacksoft
hauri
ikarus
jotti
k7computing
kaspersky
malware
mcafee
microsoft
networkassociates
nod32
norman
norton
panda
pctools
prevx
quickheal
rising
rootkit
securecomputing
sophos
spamhaus
spyware
sunbelt
symantec
threatexpert
trendmicro
virus
wilderssecurity
windowsupdate
nai.
ca.
avp.
avg.
vet.
bit9.
sans.
Если системная дата будет соответствовать определенному условию, то вирус попробует скачать несколько файлов из интернета. Эти файлы будут запущены. Вирус содержит один адрес URL для скачивания файлов.
Червь запускает только в зашифрованные и корректно подписанные файлы.
Файлы хранятся в папке %temp%, при этом используется имя %variable%.tmp.
Так же червь может создать следующие ключи реестра, создающие исключения в программе Windows Firewall:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"%port number%:TCP" = "%port number%:TCP:*:Enabled:%variable%"