Перейти к содержанию
3TE116

Worm/Conficker

Recommended Posts

3TE116

Имя: Worm/Conficker

Обнаружен: 14/01/2009

Вид: Червь

В реальных условиях: Да

Отмеченные факты заражения: Средний

Потенциал распространения: Средний

Потенциал повреждений: Средний

Файл статистики: Нет

Размер файла: ~160.000 байт.

Версия IVDF: 7.01.01.115

Методы распространения:

• Локальная сеть

• Подключенные сетевые диски

Псевдонимы (аliases):

• Symantec: W32.Downadup.B

• Kaspersky: Net-Worm.Win32.Kido.fw

• F-Secure: Worm:W32/Downadup.gen!A

• Sophos: Mal/Conficker-A

• Panda: Trj/Downloader.MDW

• Grisoft: I-Worm/Generic.CJY

• Eset: a variant of Win32/Conficker.AE worm

• Bitdefender: Win32.Worm.Downadup.Gen

Похожее обнаружение:

Worm/Kido

Операционные системы:

• Windows 95

• Windows 98

• Windows 98 SE

• Windows NT

• Windows ME

• Windows 2000

• Windows XP

• Windows 2003

Последствия:

• Изменение реестра

• Использует уязвимость ПО

• Позволяет несанкционированно подключиться к компьютеру

Файлы Создаются собственные копии:

• %все папки общего доступа% \RECYCLER\S-%Число%\%случайная буквенная комбинация%.vmx

• %ProgramFiles%\Internet Explorer\%случайная буквенная комбинация%.dll

• %ProgramFiles%\Movie Maker\%случайная буквенная комбинация%.dll

• %System%\%случайная буквенная комбинация%.dll

• %Temp%\%случайная буквенная комбинация%.dll

• %ALLUSERSPROFILE%\Application Data\%случайная буквенная комбинация%.dll

Создается файл:

– %все папки общего доступа%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:

• %random comments%

shellexecute rundll32.exe %Пути с именами файлов к копиям вредоносного ПО%,%случайная буквенная комбинация%

%random comments%

Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\SYSTEM\CurrentControlSet\Services\

%случайные слова%\Parameters\

• ServiceDll" = "%Пути с именами файлов к копиям вредоносного ПО%"

– HKLM\SYSTEM\CurrentControlSet\Services\

%случайные слова%\

• "ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs

"Type" = "4"

"Start" = "4"

"ErrorControl" = "4"

Изменяются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]

Прежнее значение:

• "Start"=dword:00000003

Новое значение:

• "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]

Прежнее значение:

• "Start"=dword:00000003

Новое значение:

• "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\BITS]

Прежнее значение:

• "Start"=dword:00000003

Новое значение:

• "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]

Прежнее значение:

• "Start"=dword:00000003

Новое значение:

• "Start"=dword:00000004

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Новое значение:

• "Hidden"=dword:00000002

"ShowCompColor"=dword:00000001

"HideFileExt"=dword:00000000

"DontPrettyPath"=dword:00000000

"ShowInfoTip"=dword:00000001

"HideIcons"=dword:00000000

"MapNetDrvBtn"=dword:00000000

"WebView"=dword:00000000

"Filter"=dword:00000000

"SuperHidden"=dword:00000000

"SeparateProcess"=dword:00000000

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

Список паролей:

• 000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;

111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;

123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;

123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;

22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;

4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;

555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;

66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;

87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;

9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;

abc123; academia; access; account; Admin; admin; admin1; admin12;

admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;

asdzxc; backup; boss123; business; campus; changeme; cluster;

codename; codeword; coffee; computer; controller; cookie; customer;

database; default; desktop; domain; example; exchange; explorer; file;

files; foo; foobar; foofoo; forever; freedom; fuck; games; home;

home123; ihavenopass; Internet; internet; intranet; job; killer;

letitbe; letmein; login; Login; lotus; love123; manager; market;

money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;

nopassword; nothing; office; oracle; owner; pass; pass1; pass12;

pass123; passwd; password; Password; password1; password12;

password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;

qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;

root123; rootroot; sample; secret; secure; security; server; shadow;

share; sql; student; super; superuser; supervisor; system; temp;

temp123; temporary; temptemp; test; test123; testtest; unknown; web;

windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;

zxcxz; zzz; zzzz; zzzzz

Генарация IP адресов:

Создаются случайные IP адреса. Первые три части IP адреса совпадают с реальным собственным адресом. Производится попытка установить соединение с этими адресами.

Процесс инфицирования:

Выбранный компьютер начинает скачивать вредоносные программы.

Загруженный файл сохраняется на удаленном компьютере в следующем виде: .\RECYCLER\S-%Число%\%случайная буквенная комбинация%.vmx

Хосты – Успешно блокирован доступ к следующим доменам:

• ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;

centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;

defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;

f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;

k7computing; kaspersky; malware; mcafee; microsoft; nai.;

networkassociates; nod32; norman; norton; panda; pctools; prevx;

quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;

spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;

wilderssecurity; windowsupdate

Разное Интернет соединение:

Для проверки доступного Интернет соединения устанавливаются контакты со следующими DNS серверами:

http://www.getmyip.org

http://www.whatsmyipaddress.com

http://getmyip.co.uk

http://checkip.dyndns.org

Связывается со следующими веб-сайтами для проверки установленного Интернет-соединения:

• baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;

cnn.com; ebay.com; msn.com; myspace.com

Модификация файла:

Для повышения максимального числа соединений у программы есть восможность изменить tcpip.sys. Этот файл может оказать вредоносное воздействие на систему и разорвать установленное сетевое соединение.

Технология Rootkit Эта технология описывает определенный вид потенциально опасных программ. ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя.

Используемый метод:

Внедряется в следующие API-функции:

• DNS_Query_A

• DNS_Query_UTF8

• DNS_Query_W

• Query_Main

• sendto

Данные файла Язык программирования:

Программа была написана на MS Visual C++.

Паковщик:

Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком.

http://www.avira.com/ru/threats/section/fu..._conficker.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • denesik53
      Разработка Стратегии Создания Веб-Сайта Для Успеха Цели сайта  Прежде, обратитесь к дизайнеру, создать присутствие в интернете фирмы в Коломне, определить, каковы цели и задачи в интернете. При создании целей необходимо убедиться они:  Конкретный
       Измеримый
       Достижимый
       Реалистичный
       Своевременный Это гарантирует сможете правильно контролировать успех деятельности в интернете, даст четкое понимание хотите, присутствие в интернете, достичь.  С точки зрения типов целей любое количество вещей включают в следующие области:  Продавать
       Чтобы обслуживать клиентов
       Снизить цену
       Построить новый образ
       Общаться с внешним миром После четко определили цели в интернете, перейти к следующему этапу определения аудитории.  Цели Знание на кого хотите нацелиться, по ряду причин. Во-первых, целевые повлияет на нужен сайт сделаете подано и функциональность предоставлены, во-вторых он сможет определить, какие сообщения переданы на странице, в-третьих, он определит сегментировать информацию, представленную на странице, делаете, дают представление сделать.  При определении целей, действительно, понимаете индивидуальные потребности гарантировать сайт специально обслуживает потребности посетителей. Не тратите драгоценное время и деньги, пытаясь угадать, используют предоставленная функциональность и нет.  Сообщения ресурса Сообщения хотите передать, тесно связаны с целями и задачами. Сообщения хотите передать, повлияют на все аспекты сайта от визуального элемента до содержимого и функциональности.  Например, аудитория воспринимала включать любое количество сообщений, как:  Новаторский
       Захватывающий
       Высокое качество
       Недорогой
       Служба заказчика Например, сайт хочет передать отличное обслуживание клиентов, предоставить онлайн-службу поддержки-предоставляя клиентам возможность получить помощь 24 часа в сутки. Организация стремится передать изображение низкой стоимости, обеспечит упрощенный ресурс передает восприятие дешевой альтернативы.  Стратегия создания сайта После прояснили цели, задачи и сообщения, начать думать о типе онлайн-стратегии подходящей организационных потребностей. Сосредоточены вокруг одного из шести уровней:  Нет присутствия в интернете
       Основное присутствие в интернете
       Статический информационный ресурс
       Простой интерактивный ресурс Коломны
       Интерактивный сайт, поддерживающий транзакции пользователей
       Полностью интерактивные страницы, поддерживающий весь процесс покупки Так, например, нужен базовый информационные страницы, состоящий из двух и трех не обновлять на регулярной основе, будете смотреть на базовое присутствие. Нужен ресурс электронной коммерции связан с автономной системой инвентаризации, позволит клиентам управлять и предоставлять маркетинговые инструменты поддержки процесса покупки, полностью интерактивный сайт, подходящим потребностей.  Однако при определении типа необходимо учитывать время и затраты, поскольку, продвинутый сайт, больше времени и затрат требуется разработки.  Планирование Интернет-Маркетинга Как часть стратегии, разрабатываете план интернет-маркетинга охватывает следующие области:  Продукт - продаете? 
       Место-где будете продавать? Например, есть автономная операция? Будет деятельность в интернете необходимо связать в деятельности в автономном режиме? Как поставите продукт? 
       Продвижение-как будете получать людей, посетить сайт? 
       Цена, какие цены будете взимать с клиентов? 
       Процесс-какой процесс следовать посетители, находятся на сайте? Как вызовет призыв к действию? 
       Вещественные доказательства, какие вещественные доказательства получат посетители? Например, после заказа продукта получат автоматическое электронное письмо, отправите автоматическое электронное письмо при отправке? 
       Люди-какая сила человека потребуется поддержки деятельности в интернете? Например, нужны люди, человек 24 часа онлайн seo-3p.my1.ru,gi3-pr.my1.ru поддержки? Партнерские отношения-вам нужны, партнерские отношения, сделать деятельность в интернете на самом деле? Если да, какие типы партнеров нужны - например, технологические партнеры разработки сайта, партнеры по доставке доставки продуктов.  Охватывая электронный маркетинг, убедиться приняли внимание ключевые факторы в работе, доставке и успехе деятельности в интернете. И с каждым из элементов, тесно связанных с целями, задачами и сообщениями, гарантировать деятельность в интернете последовательной в подходе.  Вопросы проектирования и создания сайтов Если есть хорошее представление хотите сделать и собираетесь сделать обратить внимание и на дизайн сайта. Тема сама по себе, однако есть в принципе четыре области рассмотреть:  Интернет-брендинг-так, например, какого цвета хотите? Соответствовал оффлайн-бренду?
       Простота использования-как пользователи найдут путь вокруг страницы? Существует четкий процесс навигации по сайту и быстро, легко и найти необходимую информацию? 
       Доступность-как обеспечить соответствие доступности узла? Будете предоставлять посетителям возможность увеличить размер текста и изменить цвета? Будет сайт доступен в альтернативных форматах? 
       Поисковая оптимизация-смогут поисковые системы найти ресурс (т. е. не анимирован flash и состоит из текста, встроенного в изображения)?  Ваш дизайнер должен в состоянии помогут с соображениями и гарантировать сайт создан с использованием последних стандартов кодирования, установленных W3C. Но не бойтесь задавать вопросы, уточнить, ресурс соответствовать вышеуказанным соображениям.  Функциональные Требования к сайту Функциональность сайта определяться типом, процессами обеспечить через присутствие в интернете. Веб-страницы состоящих из расширенных функциональных возможностей, часто потребуется воспользоваться услугами разработчика сайтов сможет предоставить расширенные функциональные возможности. С точки зрения функциональности охватывать любое количество вещей, начиная от поиска объекта, до онлайн-регистрации, онлайн-каталог обновить самостоятельно.  При выборе функциональности сайта, убедитесь тщательно продумали, он поможет достичь целей. В противном случае понести дорогостоящий счет, с небольшим возвратом инвестиций. Хотите, предоставляет расширенный функционал, рассмотрим поэтапный подход и разработка программного обеспечения компания сможет помочь, обеспечивая минимальную переделку, основываясь на понимании будущих потребностей.  Время, деньги и ресурсы Создание и поддержание присутствия в интернете требует времени, денег и ресурсов, учитывать с начала. Помимо планирования сколько времени и денег потребуется первоначальной реализации, необходимо учитывать текущие расходы. И включать в любое количество вещей, как:  Общее обслуживание и обновление сайта, нет системы управления контентом (CMS)
       Затраты на привлечение трафика с помощью кампаний с оплатой за клик и постоянной поисковой оптимизации (SEO)
       Хостинг
       Доменные названия
       Повседневное управление сайтом, например своевременный ответ на электронные письма С каждой из затрат в ближайшее время сложения, убедиться сайт обеспечивает возврат инвестиций,  Измерение После сайт запущен и работает действительно, контролируете, помогает достижения целей. Ее нет и надо поискать почему. целый ряд полезных инструментов, один из простых вещей, аналитики.  Тип аналитического пакета зависеть от сайта, однако требуется пакет предоставит информацию о трафике, посещаемом, посещаемых страницах и лояльности посетителей. С помощью информации сможете определить популярность, а понять типы информации интересует посетителей и оценить, считается сайт липким.  Создание успешного онлайн-присутствия - не быстрый процесс, он требует времени и планирования, обеспечить успех. Разрабатывая онлайн-стратегию, гарантировать сайт поможет достичь целей, а обеспечит организации возврат инвестиций. sozdat-sait.my1.ru
    • 7006605
      15 августа в Центре культуры им. Х. М. Темирканова в КБГУ открылась Международная летняя школа «Корни дружбы наших народов – в нашей истории». Школа проходит в третий раз при финансовой поддержке фонда «Русский мир» и продлится до 20 августа. В этот раз участниками форума стали студенты КБГУ, Брестского государственного университета им. А.С. Пушкина, Тбилисского государственного университета им. И. Джавахишвили, Южно-Казахстанского государственного педагогического университета, учащиеся классической гимназии г. Донецка, литературной студии «Свеча» и воспитанники Детской академии творчества «Солнечный город» г. Нальчика. От имени руководства гостей вуза поприветствовал исполняющий обязанности проректора КБГУ по воспитательной работе и социальным вопросам Артур Кажаров: «Тема и цель этой школы – развитие дружеских связей между народами посредством изучения совместной истории и культуры, очень гармонично вписывается в концепцию деятельности университета, стремящегося стать опорным центром науки, культуры, межнационального согласия в Кавказском регионе. Желаю вам взять от этой встречи все самое ценное и лучшее для вас и государств, которые вы представляете», — сказал Артур Кажаров. Инициатор и руководитель Международной летней школы — профессор, заведующая кафедрой русского языка и общего языкознания КБГУ Светлана Башиева поблагодарила гостей из Грузии, Республики Беларусь, Казахстана, Украины за то, что своим приездом выразили солидарность идеям встречи, и подчеркнула, что работа школы будет насыщенной и интересной. «Программа нашей работы предусматривает лекции по русскому языку, литературе, истории, проблемам межэтнической толерантности, вечер русской поэзии, конкурс сочинений, круглые столы на этнокультурную тематику и по молодежной политике, этнографический праздник в одном из районов республики «Нас объединяет русский язык». Отрадно, что это научное общение стирает границы не только между государствами, но и возрастные – в работе примут участие доктора наук, аспиранты, студенты и школьники», — отметила Светлана Башиева. В открытии Международной летней школы «Корни дружбы наших народов – в нашей истории» также приняли участие и выступили профессор Тбилисского государственного университета им. И. Джавахишвили Джони Квициани, заместитель декана филологического факультета Брестского государственного университета им. А.С. Пушкина, доцент кафедры русского языка и литературы Ольга Ковальчук, доцент кафедры русского языка и литературы Южно-Казахстанского государственного педагогического университета Уалихан Абдыханов, руководители республиканских национально-культурных центров «Вече», «Риони» и представители молодежных организаций.
    • PR55.RP55
      И это uVS точно не видит: HKU\S-1-5-21-1867217750-153899321-2446527166-1000\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Hipmy\Application\chrome.exe * Это из лога FRST  
    • dorin
      Ну например я имею дополнительный доход с интернете. Вот на этом  https://joycasinoclub.com/ портале  можно не плохо заработать. Мне он отлично подходит.      
    • seomasterpro
      Если позитивный отзыв о положительных качествах плагина "Anti-Malware Security and Brute-Force Firewall" для кого-то является пиаром, то пусть будет как вы считаете. Но главное ведь в том, что плагин позволяет не только обнаруживать вредоносный код, но и умеют  удалять его! Если кто-то из участников этой темы может привести другой пример, - напишите и расскажите его возможности. А когда кто-то пишет, что это просто пиар, то вы хоть прочтите название темы, - "Как защититься от взлома сайта?". Не стоит писать пустых предложений, а лучше пишите по-существу темы!!! Только читайте всегда название.
×