giovedì 20 maggio 2010

Win32 / Conficker







Il Win32/Conficker è un worm che si diffonde sfruttando la Vulnerabilità Microsoft Windows Server Service RPC Handling Remote Code Execution. Esso tenta anche di diffondersi attraverso le condivisioni di rete protette da password deboli e blocca l’accesso ai siti Web relativi alla sicurezza.

Può infettare i sistemi operativi Microsoft: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003.

Quando si esegue, il worm verifica la presenza delle seguenti chiavi di Registro e se non le trova le crea:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"

Successivamente, il malware crea le seguenti copie di se stesso:
%Programmi%\Internet Explorer\[NOME FILE A CASO].dll
%Programmi%\Movie Maker\[NOME FILE A CASO].dll
%Sysdir%\[NOME FILE A CASO].dll
%Temp%\[NOME FILE A CASO].dll
C:\Documents and Settings\All Users\Application Data \[NOME FILE A CASO].dll

Per registrarsi come servizio, il worm crea le seguenti chiavi di Registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[NOME SERVIZIO GENERATO DAL WORM]\Parameters\"ServiceDll" = "[PERCORSO DEL WORM]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[NOME SERVIZIO GENERATO DAL WORM]\"ImagePath" = %RootdiSistema%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[NOME SERVIZIO GENERATO DAL WORM]\"Type" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[NOME SERVIZIO GENERATO DAL WORM]\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[NOME SERVIZIO GENERATO DAL WORM]\"ErrorControl" = "4"

Il worm verifica la presenza sul computer infettato di ulteriori dischi e tenta di infettare nello stesso modo tutti i nuovi dischi trovati. Per diffondersi e rendere la propria rimozione più difficile, il malware si aggancia a un determinato numero di chiamate delle API di Windows.

Fonte: Nod 32

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...