Worm Conficker

Worm Son derecede tehlikeli bu solucan; 2008 yılının sonunda 3 milyondan fazla bilgisayara bulaşmış olarak tarihe geçmiştir. Çıktığında antivirüs firmaları ve haber ajansları tarafından büyük ilgi görmüştür. Microsoft’un Windows XP desteğini tamamen çekmesiyle birlikte bugünlerde hortlamış formları ile karşılaşmak mümkündür.

  • Adı : W32.Downadup
  • Keşif tarihi : 21 Eylül 2008
  • Diğer isimleri : Win32/Conficker.A [Computer Associates], W32/Downadup.A [F-Secure], Conficker.A [Panda Software], Net-Worm.Win32.Kido.bt [Kaspersky], WORM_DOWNAD.AP [Trend], W32/Conficker [Norman]
  • Tipi: Trojan
  • Seviye : Yüksek
  • Platform : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

 

Aslında bu solucan Microsoftun, Ekim 2008’de yayınlamış olduğu Microsoft Windows Server RPC Handling Remote Code Execution servis zafiyetini istismar ederek ortaya çıkmıştır. (BID 31874) Ağ içindeki savunmasız bilgisayarları tarayarak, routerlar üzerinden Tak çalıştır uygulamasından faydalanarak geçiş yapar. Zayıf parolaları brute force yöntemi ile aşar. Zamanla A,B,C,D,E gibi türevleri ortaya çıkmıştır. Çalışma şeması aşağıdaki gibidir.

resim

 Bilgisayarda etkin hale geldiğinde şu dosyaları çalıştırır.

  • %Temp%\[RANDOM FILE NAME].exe
  • %ProgramFiles%\Internet Explorer\[RANDOM FILE NAME].dll
  • %ProgramFiles%\Movie Maker\[RANDOM FILE NAME].dll
  • %System%\[RANDOM FILE NAME].dll
  • %Temp%\[RANDOM FILE NAME].dll
  • C:\Documents and Settings\All Users\Application Data \[RANDOM FILE NAME].dll
  • %System%\[RANDOM FILE NAME].dll
  • %System%00[RANDOM FILE NAME].tmp
  • %Temp%\[CLSID 3]\[NUMBER].tmp

Windows her açıldığında etkin hale gelmesi için. Kayıt defterine :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”[RANDOM CHARACTERS]” = “rundll32.exe [RANDOM DLL FILE NAME], [RANDOM PARAMETER STRING]” girdisini gerçekleştirir.

Normal bir windows hizmetiymiş (svchost, explorer) gibi %System%[RANDOM FILE NAME].tmp altına geçici dosyasını yerleştirir. Otomatik güncelleştirmeler, güvenlik merkezi, windows defender, hata raporlama gibi servis ya da hizmetleri devre dışı bırakır.

İnternete rahatlıkla çıkabilmek için aşağıdaki girdiği kayıt defterine yazar.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\”TcpNumConnections” = “00FFFFFE”

Giriş yaptığı diğer kayıt defteri ayarları;

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”[RANDOM CHARACTERS]” = “rundll32.exe “[RANDOM DLL FILE NAME]”, [RANDOM PARAMETER STRING]”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[RANDOM CHARACTERS]\”ImagePath” = “%System%\svchost.exe -k netsvcs”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[RANDOM CHARACTERS]\Parameters\”ServiceDll” = “[PATH TO THE THREAT]”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Applets\”ds” = [ENCRYPTED DLL]
  • HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\Applets\”ds” = [ENCRYPTED DLL]
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\”ServiceDll” = “[PATH TO WORM]”
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\”dl” = “0”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\”dl” = “0”
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\”ds” = “0”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\”ds” = “0”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Parameters\”ServiceDll” = “[PATH TO WORM]”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\”ImagePath” = %SystemRoot%\system32\svchost.exe -k netsvcs
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 1]
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 1]
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\”[WORD 1][WORD 2]” = “[BINARY DATA]”
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\”[WORD 1][WORD 2]” = “[BINARY DATA]”
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\”[WORD 1][WORD 2]” = “[BINARY DATA]”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\”[WORD 1][WORD 2]” = “[BINARY DATA]”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\”[WORD 1][WORD 2]” = “[BINARY DATA]”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\”[WORD 1][WORD 2]” = “[BINARY DATA]”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\”Type” = “4”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\”Start” = “4”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\”ErrorControl” = “4”

Sildiği kayıt defteri girdileri:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”Windows Defender”

Güvenlik merkezli internet sitelerine, özellikle antivirüs sunucularına DNS üzerinden bloke koyarak erişimi engeller.

***Conficker indir*** [Uyarı – canlı örnektir!!! Şifre: infected ] Dosya içeriği:

  • 1DB5476C766555C9995B25D19F97B9BC.EXE
  • 223D8089F8EE82F8B05266BAECAAC61E.DLL
  • BD35D4D98FCBB1EC0E090FD2C631BAA5.DLL
  • bd35d4d98fcbb1ec0e090fd2c631baa5.EXE
  • CC7EDB2E4300AC539259F3FFDE0F1AB6.DLL
  • CC7EDB2E4300AC539259F3FFDE0F1AB6.EXE
  • CE18A72735FEB7A315B947DC0986009D.DLL
  • D9CB288F317124A0E63E3405ED290765.DLL
  • jwgkvsq.vmx
  • jwgkvsq4.vmx
  • autorun.inf

Win32/Conficker.worm.86016 TR/Crypt.XPACK.Gen Win32/Conficker.worm.86016 TR/Crypt.XPACK.Gen Worm/Win32.Kido W32/Downadup.AWin32:Confi Downloader.Agent.APKOWin32.Worm.Downadup.Gen I-Worm.Kido.lWorm.Kido-123 Worm.Win32.Kido.~BTrojan.DownLoad.16849 Win32/Conficker.AW32/Downadup.A Worm:W32/Downadup.AW32/Conficker.A!worm Win32.Worm.Downadup.GenWorm.Win32.Conficker Net-Worm.Win32.Downadup.lNet-Worm.Win32.Kido.ih W32/Conficker.wormW32/Conficker.worm Trojan.Crypt.XPACK.GenWorm:Win32/Conficker.A Win32/Conficker.AW32/DLoader.LFMZ Worm/W32.Kido.86016W32/Conficker.C.worm Worm.ConfickerMedium Risk Malware Downloader Hack.Exploit.Win32.MS08-067.kW32/Confick-A Trojan-Downloader.JLIWW32.Downadup W32/Conficker.genWORM_DOWNAD.A Worm.Win32.kido.58Worm.Win32.Conficker.86016 Trojan.Disken.B

 

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s