Worm.Conficker.Win32

Worm.Conficker.Win32  - семейство сетевых червей, которые используют для своего распространения съемные носители и сеть.

Методы распространения

Данное семейство червей использует для размножения съёмные носители информации и сеть. Для распространения по сети используется  критическая уязвимость (переполнение буфера) в службе Server Windows (svchost.exe)  (MS08-067), для этого червь посылает на атакуемый компьютер специальным образом сформированный RPC-запрос, который вызывает переполнение буфера. В случае неудачи вирус пытается атаковать компьютер методом подбора пароля администратора – если это удается, вирус копирует себя в папку Windows\System32 и создает задачу в планировщике заданий для своего запуска.
При размножении через съемные носители червь копирует себя в скрытую папку RECYCLER  на носителе, а в корне  диска создает файл autorun.inf, который позволит выполниться копии червя, если на атакуемом компьютере включен автозапуск.

Функциональные возможности

 При запуске червь внедряет свой код в адресное пространство одного из системных процессов.

Отключает службы:

•  Центр обеспечения безопасности Windows Service (wscsvc) 
•  Автоматическое обновление Windows Auto Update Service (wukuserv) 
•  Фоновую интеллектуальная служба передачи (BITS) - выполняет передачу данных в фоновом режиме, используя резервы сети.
•  Службу регистрации ошибок (ersvc) - отправляет отчеты об ошибках в Microsoft

Отключает firewall и возможность просмотра скрытых файлов. Блокирует доступ к серверам антивирусных компаний. Блокирует запуск некоторых приложений.

Деструктивные особенности

Сам червь не выполняет деструктивных действий, но скачивает из Internet вредоносное ПО указанное злоумышленником и скрытно инсталлирует его в систему. Таким образом, наличие червя в системе открывает к ней практически неограниченный доступ. Данное семейство червей часто используется для создания подчиненных сетей (BotNet).