A Conficker.B féreg cserélhető valamint hálózati meghajtókon keresztül egyaránt képes terjedni. Azonban ennyivel nem éri be, ugyanis rendszerszintű megosztások révén is igyekszik minél több rendszerre felkerülni. Ezekhez előre meghatározott jelszavak próbálgatásával próbál csatlakozni. Ha még így sem sikerülne további számítógépeket megfertőznie, akkor megpróbálja kihasználni a Microsoft által, az MS08-067-es biztonsági közleményben ismertetett sebezhetőséget.
A Conficker.B egy HTTP szervert indít a fertőzött rendszereken, majd azokra különféle fájlokat töltöget le az Interneten keresztül. Annak érdekében, hogy a felismerése és az eltávolítása is minél nehezebb legyen a fertőzött számítógépeken leállítja a védelmi alkalmazásokhoz tartozó folyamatokat, valamint elérhetetlenné teszi a biztonsági cégek weboldalait. Ezzel együtt lehetetlenné teszi a vírusadatbázisok automatikus frissítését. A féreg "kiiktatja" a Windows rendszerhelyreállító funkcióját is.
Amikor a Conficker.B féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%Program Files%\Movie Maker\[véletlenszerű fájlnév].dll
%Program Files%\Internet Explorer\[véletlenszerű fájlnév].dll
%System%\.dll
%Documents and Settings%\[felhasználónév]\Application Data\[véletlenszerű fájlnév].dll
%Temp%\[véletlenszerű fájlnév].dll
%System%\[véletlenszerű számok].tmp
Az utóbbi állományt a féreg eltávolítja, miután a tevékenységéhez felhasználta azt.
2. Létrehoz egy véletlenszerű névvel ellátott windowsos szolgáltatást.
3. A regisztrációs adatbázisban létrehozza a következő bejegyzést:
HKLM\SYSTEM\CurrentControlSet\Services\\Parameters\ServiceDll = "%System%\"
4. Megpróbál cserélhető valamint hálózati megosztásokon keresztül terjedni. Minden adattároló gyökér könyvtárába egy autorun.inf nevű állományt is létrehoz.
5. Megpróbál hálózati megosztásokon keresztül terjedni. Elsősorban az ADMIN$ megosztáson keresztül próbál további számítógépeket megfertőzni, amihez előre meghatározott jelszavakat használ fel.
6. Létrehoz egy ütemezett feladatot a fájljainak másolgatásához.
7. Megpróbálja kihasználni a Microsoft által, az MS08-067-es biztonsági közleményben ismertetett sebezhetőséget, amely a Windows Kiszolgáló szolgáltatásában található.
8. Leállítja az alábbi szolgáltatásokat:
wscsvc - Security Center
wuauserv - Automatic updates
BITS - Background Intelligent Transfer Service
WinDefend - Windows Defender
ERSvc - Error Reporting Service
WerSvc - Windows Error Reporting Service
9. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Start = "4"
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Start = "4"
HKLM\SYSTEM\CurrentControlSet\Services\BITS\Start = "4"
HKLM\SYSTEM\CurrentControlSet\Services\WinDefend\Start = "4"
HKLM\SYSTEM\CurrentControlSet\Services\ERSvc\Start = "4"
HKLM\SYSTEM\CurrentControlSet\Services\WerSvc\Start = "4"
10. Kikapcsolja a biztonsági figyelmeztetéseket a regisztrációs adatbázis alábbiak szerinti módosításával:
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
11. Elérhetetlenné teszi a biztonsági cégek weboldalait, illetve webes szolgáltatásait a fertőzött PC-kről. Így a vírusadatbázisok automatikus frissítése is lehetetlenné válik.
12. Lefuttatja a következő parancsot a Windows Vista és a Windows Server 2008 operációs rendszerek esetében:
netsh interface tcp set global autotuning=disabled
13. Módosítja a regisztrációs adatbázis következő bejegyzését:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpNumConnections = 0x00FFFFFE
14. Amennyiben a rendszerdátum 2009. január 1-nél nagyobb dátumot mutat, akkor fájlokat kezd el letölteni az Internetről, valamint távoli szerverekhez kapcsolódik.
15. Eltávolítja a Windows rendszervisszaállítási pontjait.
16. Elindít egy HTTP szervert egy véletlenszerűen kiválasztott porton keresztül.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.