Worm.Conficker.Win32.405
Worm.Conficker.Win32.405 - сетевой червь, который использует для своего распространения съемные носители и сеть.
Методы распространения
Червь использует для размножения съёмные носители информации и сеть.
Для распространения по сети используется критическая уязвимость (переполнение буфера) в службе Server Windows (svchost.exe) (MS08-067), для этого червь посылает на атакуемый компьютер специальным образом сформированный RPC-запрос на TCP порты 139 и 445, который вызывает переполнение буфера. Если атака через уязвимость удалась – на зараженном компьютере выполняется часть вредоносного кода , которая загружает на компьютер, по протоколу HTTP, остальную часть вируса, В случае неудачи вирус пытается атаковать компьютер методом подбора пароля администратора и подключиться к сетевым ресурсам (ADMIN$, C$ ,IPC$). Данные сетевые ресурсы существуют по умолчанию. Доступ к ним возможен только из-под аккаунта администратора.
Перебор пароля ведется по словарю, а также перебором простых цифровым комбинаций (0..9), длиною до восьми символов.
По словарю перебираются следующие пароли:
|
000000 |
america |
freedom |
phone |
Если подбор пароля удался, то вирус копирует себя в папку Windows\System32 и создает задачу в планировщике заданий для своего запуска.
Для обеспечения быстрого распространения по сети червь увеличивает доступное число сетевых соединений в системе.
При размножении через съемные носители червь копирует себя в папку RECYCLER под именем: S-<случайное имя>.vmx , а в корне съемного диска создает файл autorun.inf, который позволит выполниться копии червя, если на атакуемом компьютере включен автозапуск.
Функциональные возможности
Червь представляет собой динамическую библиотеку Windows (DLL-файл). размер файла 4096 байт.
При запуске червь копирует своё тело в папки %System%, %Temp% со случайными именами и ррасширением ‘*.dll’.
Для автоматического запуска при каждом старте Windows, червь создает службу, которая запускает его тело при каждой последующей загрузке. Для этого создаются ключи реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" = "%System%\<случайное имя>.dll"
После чего червь внедряет свой код в адресное пространство одного из системных процессов (svchost.exe , explorer.exe, services.exe).
Червь блокирует доступ к серверам антивирусных компаний и запуск некоторых приложений.
Червь устанавливает в системе собственный HTTP-сервер, который используется для загрузки тела червя на другие компьютеры.
Червь отключает службы:
- Центр обеспечения безопасности Windows Service (wscsvc)
- Автоматическое обновление Windows Auto Update Service (wukuserv)
- Фоновая интеллектуальная служба передачи (BITS) - выполняет передачу данных в фоновом режиме, используя резервы сети.
- Служба регистрации ошибок (ersvc) - отправляет отчеты об ошибках в Microsoft
Также, червь отключает возможность просмотра скрытых файлов и папок, изменяя для этого значения реестра:
[HKCR\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "dword: 0x00000002"
"SuperHidden" = "dword: 0x00000000"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "dword: 0x00000000"
Для проверки своего присутствия в системе, создает уникальный mutex, который используется для предотвращения многократного запуска троянской программы на одном компьютере.
Деструктивные особенности
Скачивает из сети Internet вредоносное ПО (по указанным в теле адресам) и скрытно инсталлирует его в систему. Таким образом, наличие червя в системе открывает к ней практически неограниченный доступ. Данный червь часто используется для создания подчиненных сетей (BotNet).
