Worm.Conficker.Win32.405
Worm.Conficker.Win32.405 - мережний хробак, який використовує для свого поширення знімні носії й мережу.
Методи розповсюдження
Хробак використає для ррозмноження знімні носії інформації й мережу.
Для поширення по мережі використовується критична уразливість (переповнення буфера) у службі Server Windows (svchost.exe) (MS08-067), для цього хробак посилає на комп'ютер, що атакується, спеціальним образом сформований Rpc-запит на TCP порти 139 і 445, який викликає переповнення буфера. Якщо атака через уразливість вдалася– на зараженому комп'ютері виконується частина шкідливого коду, яка завантажує на нього, по протоколу HTTP, іншу частину вірусу, У випадку невдачі вірус намагається атакувати комп'ютер методом підбора пароля адміністратора й підключитися до мережевих ресурсів (ADMIN$, C$,IPC$). Дані мережеві ресурси існують за замовчуванням. Доступ до них можливий тільки з-під аккаунта адміністратора.
Перебір пароля ведеться по словникові, а також перебором простих цифровим комбінацій (0..9), довжиною до вісьмох символів.
По словникові перебираються наступні паролі:
|
000000 |
america |
freedom |
phone |
Якщо підбор пароля вдався, то вірус копіює себе в папку Windows\System32 і створює завдання в планувальнику завдань для свого запуску.
Для забезпечення швидкого розповсюдження по мережі хробак збільшує доступне число мережних з'єднань у системі.
При розмноженні через знімні носії хробак копіює себе в папку RECYCLER під ім'ям: S-<випадкове ім'я>.vmx, а в корені знімного диска створює файл autorun.inf, який дозволить виконатися копії хробака, якщо на комп'ютері, що атакується, включений автозапуск.
Функціональні можливості
Хробак являє собою динамічну бібліотеку Windows ( Dll-Файл). розмір файлу 4096 байт.
При запуску хробак копіює своє тіло в папки %System%, %Temp% з випадковими іменами й розширенням ‘*.dll’.
Для автоматичного запуску при кожному старті Windows, хробак створює службу, яка запускає його тіло при кожному наступному завантаженні. Для цього створюються наступні ключі реєстру:
[HKLM\SYSTEM\Currentcontrolset\Services\netsvcs]
[HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Svchost]
"netsvcs" = "%System%\<випадкове ім'я>.dll"
Після чого хробак впроваджує свій код в адресний простір одного із системних процесів (svchost.exe, explorer.exe, services.exe).
Хробак блокує доступ до серверів антивірусних компаній і запуск деяких програм.
Хробак встановлює в системі власний Http-Сервер, який використається для завантаження тіла хробака на інші комп'ютери.
Хробак відключає служби:
- Центр забезпечення безпеки Windows Service (wscsvc)
- Автоматичне оновлення Windows Auto Update Service (wukuserv)
- Фонову інтелектуальна служба передачі (BITS) - виконує передачу даних у фоновому режимі, використовуючи резерви мережі.
- Службу реєстрації помилок (ersvc) - відправляє звіти про помилки в Microsoft
Також, хробак відключає можливість перегляду прихованих файлів і папок, змінюючи для цього значення реєстру:
[HKCR\ Software\Microsoft\Windows\Currentversion\Explorer\Advanced]
"Hidden" = "dword: 0x00000002"
"Superhidden" = "dword: 0x00000000"
[HKLM\Software\Microsoft\Windows\Currentversion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"Checkedvalue" = "dword: 0x00000000"
Для перевірки своєї присутності в системі, створює унікальний mutex, який використається для запобігання багаторазового запуску троянської програми на одному комп'ютері.
Деструктивні особливості
Закачує з мережі Internet шкідливе ПО ( по зазначених у тілі адресах) і потай інсталює його в систему. Таким чином, наявність хробака в системі відчиняє до неї практично необмежений доступ. Даний хробак часто використається для створення підлеглих мереж (Botnet).
