Worm.Conficker.Win32.415
Worm.Conficker.Win32.415 - сетевой червь, который использует для своего распространения съемные носители и сеть.
Методы распространения
Червь использует для размножения съёмные носители информации и сеть. Для распространения по сети используется критическая уязвимость (переполнение буфера) в службе Server Windows (svchost.exe) (MS08-067), для этого червь посылает на атакуемый компьютер специальным образом сформированный RPC-запрос, который вызывает переполнение буфера. Если атака через уязвимость удалась - компьютер-жертва загружает файл вируса по протоколу HTTP.
В случае неудачи вирус пытается атаковать компьютер методом подбора пароля администратора и подключиться к сетевым ресурсам (ADMIN$, C$ ,IPC$). Данные сетевые ресурсы существуют по умолчанию. Доступ к ним возможен только из под аккаунта администратора.
Перебор пароля ведется по словарю, перебираются следующие пароли:
|
000000 |
america |
freedom |
phone |
Если подбор пароля удался, то вирус копирует себя в папку Windows\System32 и создает задачу в планировщике заданий для своего запуска.
При размножении через съемные носители червь копирует себя в папку RECYCLER под именем: S-<случайное имя>.dll , а в корне съемного диска создает файл autorun.inf, который позволит выполниться копии червя, если на атакуемом компьютере включен автозапуск.
Функциональные возможности
При запуске червь копирует своё тело в папки %System%, % ProgramFiles% \ Internet Explorer, % ProgramFiles% \ Movie Maker, %Temp% со случайными именами и расширениями ‘*.tmp’ и ‘*.dll’.
Для автоматического запуска при каждом старте Windows, червь создает службу, которая запускает его тело при каждой последующей загрузке .
Для этого создаются ключи реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" = "%System%\<случайное имя>.dll"
Также червь создает ключ реестра для автоматического запуска при каждом старте системы:
[HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
"<случайное имя >"= %system% "\Rundll32.exe <системная папка> \ < случаной имя файла >. DLL, <параметры>"
После чего червь внедряет свой код в адресное пространство одного из системных процессов.
Червь устанавливает в системе собственный HTTP-сервер, который используется для загрузки тела червя на другие компьютеры.
Червь отключает службы:
- Центр обеспечения безопасности Windows Service (wscsvc)
- Автоматическое обновление Windows Auto Update Service (wukuserv)
- Фоновая интеллектуальная служба передачи (BITS) - выполняет передачу данных в фоновом режиме, используя резервы сети.
- Служба регистрации ошибок (ersvc) - отправляет отчеты об ошибках в Microsoft
Червь отключает возможность просмотра скрытых файлов и папок, изменяя для этого значения реестра:
[HKCR\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "dword: 0x00000002"
"SuperHidden" = "dword: 0x00000000"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "dword: 0x00000000"
Также червь отключает встроенный firewall и блокирует доступ к серверам антивирусных компаний. Блокирует запуск некоторых приложений.
Червь может удалять точки восстановления системы, с целью защитить себя от удаления при использовании этого метода восстановления системы.
Деструктивные особенности
Скачивает из сети Internet вредоносное ПО (по указанным в теле адресам) и скрытно инсталлирует его в систему. Таким образом, наличие червя в системе открывает к ней практически неограниченный доступ. Данный червь часто используется для создания подчиненных сетей (BotNet).
