Worm/Conficker - Выбор домашних средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
3TE116

Worm/Conficker

Автор 3TE116, в Выбор домашних средств защиты

Recommended Posts

3TE116    45

3TE116
Опубликовано

Имя: Worm/Conficker

Обнаружен: 14/01/2009

Вид: Червь

В реальных условиях: Да

Отмеченные факты заражения: Средний

Потенциал распространения: Средний

Потенциал повреждений: Средний

Файл статистики: Нет

Размер файла: ~160.000 байт.

Версия IVDF: 7.01.01.115

Методы распространения:

• Локальная сеть

• Подключенные сетевые диски

Псевдонимы (аliases):

• Symantec: W32.Downadup.B

• Kaspersky: Net-Worm.Win32.Kido.fw

• F-Secure: Worm:W32/Downadup.gen!A

• Sophos: Mal/Conficker-A

• Panda: Trj/Downloader.MDW

• Grisoft: I-Worm/Generic.CJY

• Eset: a variant of Win32/Conficker.AE worm

• Bitdefender: Win32.Worm.Downadup.Gen

Похожее обнаружение:

Worm/Kido

Операционные системы:

• Windows 95

• Windows 98

• Windows 98 SE

• Windows NT

• Windows ME

• Windows 2000

• Windows XP

• Windows 2003

Последствия:

• Изменение реестра

• Использует уязвимость ПО

• Позволяет несанкционированно подключиться к компьютеру

Файлы Создаются собственные копии:

• %все папки общего доступа% \RECYCLER\S-%Число%\%случайная буквенная комбинация%.vmx

• %ProgramFiles%\Internet Explorer\%случайная буквенная комбинация%.dll

• %ProgramFiles%\Movie Maker\%случайная буквенная комбинация%.dll

• %System%\%случайная буквенная комбинация%.dll

• %Temp%\%случайная буквенная комбинация%.dll

• %ALLUSERSPROFILE%\Application Data\%случайная буквенная комбинация%.dll

Создается файл:

– %все папки общего доступа%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:

• %random comments%

shellexecute rundll32.exe %Пути с именами файлов к копиям вредоносного ПО%,%случайная буквенная комбинация%

%random comments%

Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\SYSTEM\CurrentControlSet\Services\

%случайные слова%\Parameters\

• ServiceDll" = "%Пути с именами файлов к копиям вредоносного ПО%"

– HKLM\SYSTEM\CurrentControlSet\Services\

%случайные слова%\

• "ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs

"Type" = "4"

"Start" = "4"

"ErrorControl" = "4"

Изменяются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]

Прежнее значение:

• "Start"=dword:00000003

Новое значение:

• "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]

Прежнее значение:

• "Start"=dword:00000003

Новое значение:

• "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\BITS]

Прежнее значение:

• "Start"=dword:00000003

Новое значение:

• "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]

Прежнее значение:

• "Start"=dword:00000003

Новое значение:

• "Start"=dword:00000004

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Новое значение:

• "Hidden"=dword:00000002

"ShowCompColor"=dword:00000001

"HideFileExt"=dword:00000000

"DontPrettyPath"=dword:00000000

"ShowInfoTip"=dword:00000001

"HideIcons"=dword:00000000

"MapNetDrvBtn"=dword:00000000

"WebView"=dword:00000000

"Filter"=dword:00000000

"SuperHidden"=dword:00000000

"SeparateProcess"=dword:00000000

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

Список паролей:

• 000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;

111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;

123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;

123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;

22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;

4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;

555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;

66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;

87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;

9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;

abc123; academia; access; account; Admin; admin; admin1; admin12;

admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;

asdzxc; backup; boss123; business; campus; changeme; cluster;

codename; codeword; coffee; computer; controller; cookie; customer;

database; default; desktop; domain; example; exchange; explorer; file;

files; foo; foobar; foofoo; forever; freedom; fuck; games; home;

home123; ihavenopass; Internet; internet; intranet; job; killer;

letitbe; letmein; login; Login; lotus; love123; manager; market;

money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;

nopassword; nothing; office; oracle; owner; pass; pass1; pass12;

pass123; passwd; password; Password; password1; password12;

password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;

qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;

root123; rootroot; sample; secret; secure; security; server; shadow;

share; sql; student; super; superuser; supervisor; system; temp;

temp123; temporary; temptemp; test; test123; testtest; unknown; web;

windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;

zxcxz; zzz; zzzz; zzzzz

Генарация IP адресов:

Создаются случайные IP адреса. Первые три части IP адреса совпадают с реальным собственным адресом. Производится попытка установить соединение с этими адресами.

Процесс инфицирования:

Выбранный компьютер начинает скачивать вредоносные программы.

Загруженный файл сохраняется на удаленном компьютере в следующем виде: .\RECYCLER\S-%Число%\%случайная буквенная комбинация%.vmx

Хосты – Успешно блокирован доступ к следующим доменам:

• ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;

centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;

defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;

f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;

k7computing; kaspersky; malware; mcafee; microsoft; nai.;

networkassociates; nod32; norman; norton; panda; pctools; prevx;

quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;

spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;

wilderssecurity; windowsupdate

Разное Интернет соединение:

Для проверки доступного Интернет соединения устанавливаются контакты со следующими DNS серверами:

http://www.getmyip.org

http://www.whatsmyipaddress.com

http://getmyip.co.uk

http://checkip.dyndns.org

Связывается со следующими веб-сайтами для проверки установленного Интернет-соединения:

• baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;

cnn.com; ebay.com; msn.com; myspace.com

Модификация файла:

Для повышения максимального числа соединений у программы есть восможность изменить tcpip.sys. Этот файл может оказать вредоносное воздействие на систему и разорвать установленное сетевое соединение.

Технология Rootkit Эта технология описывает определенный вид потенциально опасных программ. ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя.

Используемый метод:

Внедряется в следующие API-функции:

• DNS_Query_A

• DNS_Query_UTF8

• DNS_Query_W

• Query_Main

• sendto

Данные файла Язык программирования:

Программа была написана на MS Visual C++.

Паковщик:

Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком.

http://www.avira.com/ru/threats/section/fu..._conficker.html

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Перейти к списку тем Выбор домашних средств защиты

  • Сообщения

    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      нет
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      И ещё это: https://www.comss.ru/page.php?id=18330 Это и на работе Образов с Live CD может сказаться ?
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Тема: https://www.comss.ru/page.php?id=18331    " Ошибка проявляется в том, что при закрытии окна программы с помощью кнопки Закрыть (X) процесс taskmgr.exe не завершается полностью. При повторном открытии Диспетчера задач предыдущий экземпляр продолжает работать в фоне, хотя окно не отображается. В результате со временем накапливаются несколько процессов, что приводит к избыточному потреблению ресурсов системы и снижению производительности... " и это натолкнуло на мыслю. Раз есть такая проблема с taskmgr - то это может повториться с "любой" другой программой... т.е. можно? Реализовать команды: " Обнаружить и завершить все нетипично активные экземпляры Системных процессов\программ".  и " Обнаружить и завершить все нетипично активные экземпляры не Системных...". Такое может быть и с браузерами - например Firefox - если есть две версии программы установленные в разные каталоги и пользователь их запускает - часто бывает неполное завершение. тогда жрёт всё и вся...  
    • Ego Dekker
      ESET усиливает защиту домашних устройств и малого бизнеса от онлайн-мошенничества

      От Ego Dekker · Опубликовано

      Компания ESET (/исэ́т/) ― лидер в области информационной безопасности ― сообщает об обновлении ESET HOME Security Essential и ESET HOME Security Premium, комплексных подписок для защиты устройств домашних пользователей, и ESET Small Business Security, решения для малого бизнеса.

      Среди новинок ― функция восстановления после атак программ-вымогателей, мониторинг микрофона и улучшения безопасности при просмотре веб-сайтов, а также VPN, который предотвращает нежелательное отслеживание, обеспечивая неограниченный доступ к онлайн-контенту. Поскольку мошенничество сегодня является глобальной угрозой для всех пользователей, ESET обеспечивает усовершенствованную защиту от различных мошеннических методов, противодействуя атакам из разных типов источников, включая SMS-сообщения, электронную почту, телефонные звонки, URL-адреса, QR-коды, вредоносные файлы и другие.

      Обновленная платформа ESET HOME также упрощает управление безопасностью, что облегчает пользователям защиту своих семей, а владельцам малого бизнеса позволяет точно отслеживать защищенные устройства, а также устанавливать программы безопасности на все устройства благодаря доступному и понятному интерфейсу. 

      «Как поставщик передовых решений для защиты цифровой жизни, ESET тщательно отслеживает текущую ситуацию с угрозами и соответственно разрабатывает свои решения по кибербезопасности, ― комментирует вице-президент ESET в сегменте домашних пользователей и Интернета вещей. ― Усиленная защита от мошенничества, новая функция восстановления после атак программ-вымогателей и многочисленные усовершенствования безопасности конфиденциальных данных делают продукты ESET для домашних пользователей и малых предприятий мощными комплексными решениями, которые сочетают минимальное влияние на продуктивность и простоту в использовании».

      Решения для домашних устройств и малого бизнеса защищают все основные операционные системы ― Windows, macOS, Android ― и поддерживают разные устройства умного дома. Кроме того, ESET Small Business Security также защищает серверы Windows.

      Основные улучшения для пользователей Windows:

      •    Добавлен VPN (теперь доступно в подписке ESET HOME Security Premium): функция защитит сетевое подключение благодаря анонимному IP-адресу, а безлимитная пропускная способность обеспечит неограниченный доступ к онлайн-контенту. Кроме Windows, VPN также доступен пользователям MacOS, Android и iOS.

      •    Усилена защита конфиденциальных данных (доступно в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security): новый мониторинг микрофона обнаруживает и уведомляет пользователей о несанкционированных попытках доступа к микрофону на устройствах Windows.

      •    Улучшена безопасность при использовании браузера (доступно в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security) для защиты от фишинга, мошенничества и вредоносных веб-сайтов. Эта функция сканирует воспроизводимый HTML-код в браузере, чтобы обнаружить вредоносное содержимое, которое не фиксируется на уровне сети и с помощью «черного» списка URL.

      •    Добавлено восстановление после атак программ-вымогателей (доступно в решении ESET Small Business Security): первоначально разработанная для крупного бизнеса, функция позволяет минимизировать ущерб, вызванный этими угрозами. Как только защита от программ-вымогателей выявляет потенциальную угрозу, функция восстановления после атак немедленно создает резервные копии файлов, а после устранения опасности восстанавливает файлы, эффективно возвращая систему в прежнее состояние. Основные улучшения для пользователей macOS (доступны в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security):

      •    Поддержка macOS 26 (Tahoe) позволяет использовать защиту на текущей версии macOS.

      •    Поддержка HTTPS & HTTP/3 улучшает безопасность пользователей в Интернете.

      •    Управление устройствами контролирует внешние устройства, подключенные к Mac. Функция помогает защитить от вредоносного программного обеспечения и несанкционированной передачи данных, ограничивая доступ к определенным типам или даже отдельным устройствам. Следует отметить, что эти усовершенствования помогут противодействовать постоянно совершенствующимся угрозам с особым акцентом на предотвращение. Компания ESET также считает чрезвычайно важным сочетание кибергигиены с удобной защитой, поскольку действительно эффективная кибербезопасность должна быть простой в настройке и управлении.

      Более подробная информация о многоуровневой защите устройств домашних пользователей и решении для малого бизнеса. Пресс-выпуск.
    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      ESET NOD32 Antivirus 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Internet Security 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Smart Security Premium 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Security Ultimate 19.0.11  (Windows 10/11, 64-разрядная)
                                                                                  ● ● ● ●
              Руководство пользователя ESET NOD32 Antivirus 19  (PDF-файл)
              Руководство пользователя ESET Internet Security 19  (PDF-файл)
              Руководство пользователя ESET Smart Security Premium 19  (PDF-файл)
              Руководство пользователя ESET Security Ultimate 19  (PDF-файл)
              
      Полезные ссылки:
      Технологии ESET
      ESET Online Scanner
      Удаление антивирусов других компаний
      Как удалить антивирус 19-й версии полностью?
×