Quando executado, o worm se auto copia usando nomes aleatórios para a pasta %SYSDIR%.(Onde %SYSDIR% é a pasta de sistema do Windows, por exemplo, C:\Windows\System32)
Ele altera a seguinte chave do registro para criar aleatoriamente o nome de serviço: * HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ (aleatória) \ Parameters \ "ServiceDLL" = "Caminho para verme" * HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ (aleatória) \ "ImagePath" =% SystemRoot% \ system32 \ svchost.exe-k netsvcs
Tentativas ligações para um ou mais dos seguintes sites para obter o endereço IP público do computador afetado.
* Http: / / www.getmyip.org * Http: / / getmyip.co.uk * Http: / / checkip.dyndns.org * Http: / / whatsmyipaddress.com
As tentativas para fazer download de um malware arquivo a partir do site remoto: (O site é russo, mas não existe mais)
* Http: / / trafficconverter.biz / [Removed] antispyware / [Removed]. Exe
Inicia um servidor HTTP em uma porta aleatória na máquina infectada para hospedar uma cópia do worm.
Pesquisa continuamente a sub-rede do anfitrião para vulneráveis máquinas infectadas e executa a explorar. Se a exploração for bem sucedido, o computador remoto irá então ligar de volta para o servidor http e baixar uma cópia do worm.
Posteriormente variantes de w32/Conficker.worm estão usando tarefas agendadas e arquivo Autorun.inf para replicar para os sistemas vulneráveis ou não para infectar novamente sistemas após terem sido limpos.
Sintomas
Os sintomas desta detecção são os arquivos, registro, comunicação e rede referenciada nas seguintes características.
Usuários sendo bloqueadoBloqueio da determinadas pastasAcesso negado ao administrador As tarefas agendadas sendo criadasAcesso a sites relacionados com segurança é bloqueado.
Método de Infecção
Este worm explora a vulnerabilidade MS08-067 do Microsoft Windows Server Service, a fim de propagar.
As máquinas devem ser corrigidos e reinicializada para proteger contra este worm.
Após a detecção de um ataque deste worm, o sistema deverá ser reiniciado para limpar memória corretamente. Pode exigir mais que uma reinicialização.
As tarefas agendadas cridas no sistemas sao usadas para reativar o worm.
Autorun.inf sao arquivos de incializao para reativar o worm.
Remoção
Utilize um bom antvirus e instale a atualização de Microsoft referente a este problema neste link: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Nenhum comentário:
Postar um comentário