Malware Gusano Downandup Mucho Cuidado

Resumen

Un programa independiente malicioso que utiliza los recursos de la red o equipo para hacer  copias completas de sí mismo. Pueden incluir código o de otro tipo de malware a los daños tanto al sistema y la red. Desinfección Herramientas de eliminación de F-Downadup

Herramienta específica para Downadup heurística con variantes del gusano: •

ftp://ft p.f-secure.com/antiftp://ftp.f-secur e.com/anti-virus/t virus/tools/beta/f ools/beta/f-downadup.z -downadup.zip ip ftp://ft ftp://ftp.f-sec p.f-secure.com/ant ure.com/antiivirus/tools/beta/f-downadup.zip

FSMRT

No específica herramienta de detección, mayor tamaño de archivo: •

ftp://ft p.f-secure.com/antiftp://ftp.f-secur e.com/anti-virus/t virus/tools/beta/f ools/beta/fsmrt. smrt.zip zip ftp://f ftp://ftp.f-sec tp.f-secure.com/an ure.com/antitivirus/tools/beta/fsmrt.zip

Nota: estas son herramientas de línea de comandos, por favor lea el archivo de texto

incluido en el ZIP para detalles adicionales. Actualizaciones

Estas herramientas son beta. Utilice el siguiente ubicación FTP para determinar el archivo de fechas: •

ftp://ftp.f-secure.com/anti-virus/tools/beta/ ftp://ftp.f-secure.com/anti-virus/tools/beta/

Opciones de exploración

Downadup hace uso de nombres aleatorios de extensión con el fin de evitar la detección. Durante la desinfección opciones de análisis debería fijarse en: •

Digitalizar todos los archivos

Microsoft Help and Support

Artículo de Knowledge Base 962007 ofrece numerosos detalles de desinfección manual de Conficker.B (alias Downadup). •

http://support.micr http://s upport.microsoft.com/ osoft.com/kb/962007 kb/962007 http://s http://support.micr upport.microsoft.com/ osoft.com/kb/962007 kb/962007

Detalles adicionales

Tras la ejecución, el Downadup (Kido, Conflicker) el gusano crea copias de sí mismo en: • •

•

%System%\[Random].dll %System%\[Random].dll % System% \ [Aleatorio]. Dll %Program Files%\Internet Explorer\[Random].dll Explorer\[Random].dll %% Archivos de programa \ Internet Explorer \ [Aleatorio]. Dll %Program Files%\Movie Maker\[Random].dll Maker\[Random].dll %% Archivos de programa \ Movie Maker  \ [Aleatorio]. Dll

•

• • •

%All Users Application Data%\[Random].dll % Todos los usuarios de aplicaciones de datos% \ [Aleatorio]. Dll %Temp%\[Random].dll % Temp% \ [Aleatorio]. Dll %System%\[Random].tmp %System%\[Random].tmp % System% \ [Aleatorio]. Tmp %Temp%\[Random].tmp % Temp% \ [Aleatorio]. Tmp

* Nota: [Aleatorio] representa un nombre generado aleatoriamente. aleatoriamente. Cada archivo se modifica la fecha para que coincida con la fecha y hora de la% system% \ Kernel32.dll Kernel32.dll archivo. El gusano crea entonces autorun entradas en el registro, que asegurarse de que una copia del gusano se ejecuta en cada inicio del sistema. El gusano puede crear los siguientes archivos en las unidades unidades extraíbles y mapeadas: mapeadas: •

•

%DriveLetter%\RECYCLER\S-%d-%d-%d %DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d -%d%d%d-%d%d%d-%d%d% %d%d-%d%d%d-%d\[...].[3 d-%d\[...].[3 random characters] LetraDeUnidad%% LetraDeUnidad%% \ RECYCLER \ S-% d-% d-% d-% d% d% d-% d% d% d-% d% d% d-% d \ [...].[ 3 azar caracteres] %DriveLetter%\autorun.inf %DriveLetter%\autorun.inf LetraDeUnidad%% \ autorun.inf 

Y adherirse a los siguientes procesos: • • •

svchost.exe explorer.exe services.exe

El gusano desactiva una serie de características del sistema, a fin de facilitar sus actividades. Deshabilita los siguientes servicios de W indows:

• • • • • •

Automáticas Automáticas de Windows Update Service (wuauserv) Servicio de transferencia inteligente en segundo plano (BITS) Centro de seguridad de Windows Service (wscsvc) Windows Defender Service (WinDefend (W inDefend)) Informe de errores de Windows Service (ERSvc) Informe de errores de Windows Service (WerSvc)

Además de la desactivación de estos servicios, se comprueba si se está ejecutando sobre una máquina con Windows Vista, si es así, también ejecuta el comando siguiente para desactivar  Windows Vista TCP / IP automático de ajuste:

•

netsh interface tcp = automático del conjunto global de los discapacitados

El gusano también ganchos de las siguientes API's, a fin de impedir el acceso cuando el usuario intenta acceder a una larga lista de dominios:

• • • • •

DNS_Query_A DNS_Query_UTF8 DNS_Query_W Query_Main sendto SendTo SendTo

Si el usuario intenta acceder a los siguientes aspectos, principalmente principalmente relacionados con la seguridad de dominios, su acceso está bloqueado:

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •

virus spyware el software espía malware rootkit defender defensor  microsoft symantec norton mcafee trendmicro TrendMicro sophos Sophos panda etrust eTrust networkassociates computerassociates f-secure F-Secure kaspersky  jotti f-prot nod32 eset Eset grisoft Grisoft drweb DrWeb centralcommand ahnlab AhnLab esafe eSafe avast avira Avira quickheal comodo clamav ewido fortinet Fortinet gdata GData hacksoft hauri Hauri ikarus k7computing norman pctools prevx rising el aumento de securecomputing sunbelt Sunbelt emsisoft Emsisoft arcabit cpsecure spamhaus Spamhaus castlecops

• • • • • • • • • • •

threatexpert wilderssecurity windowsupdate WindowsUpdate nai ca avp avg AVG vet veterinario bit9 sans cert CERT

Propagación

Para propagarse, el gusano primero modifica la siguiente entrada del Registro para que se puede propagar con mayor rapidez a través de una red: •

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters "TcpNumConnections" = dword:0x00FFFFFE

El gusano utiliza este controlador para acelerar su capacidad de propagación, ya que modifica el número de conexiones medio-abiertas a un 0x10000000 (268435456) en la memoria, una función aplicado en% system% \ drivers \ Tcpip.sys. Que los controles de un equipo en torno a la red usando NetServerEnum y, a continuación, intenta iniciar sesión en cualquier equipo encontró con una de las siguientes credenciales de acceso: 1. Uso de las creden credenciale ciales s de la cuenta cuenta del usuario usuario infecta infectado, do, y si esta cuenta cuenta no tiene tiene privilegios de administrador en la máquina objetivo, esta operación no tendrá éxito. 2. La adquisi adquisición ción de la lista lista de nombres nombres de usuari usuario o de ordenado ordenadorr con el objetivo objetivo NetUserEnum la API, a continuación, intentar iniciar sesión en el ordenador mediante dirigidas las cuentas de usuario y una de las siguientes contraseñas:

o o o o o o o o o o o o o o o o o

[username] [nombre de usuario] [username][username] [nombre de usuario] [nombre de usuario] [reverse_of_username] 00000 0000000 00000000 0987654321 11111 111111 1111111 11111111 123123 12321 123321 12345 123456 1234567

o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o

12345678 123456789 1234567890 1234abcd 1234qwer  123abc 123asd 123qwe 1q2w3e 22222 222222 2222222 22222222 33333 333333 3333333 33333333 44444 444444 4444444 44444444 54321 55555 555555 5555555 55555555 654321 66666 666666 6666666 66666666 7654321 77777 777777 7777777 77777777 87654321 88888 888888 8888888 88888888 987654321 99999 999999 9999999 99999999 a1b2c3 aaaaa abc123 academia el mundo académico access acceso account cuenta Admin admin administrador  admin1 admin12

o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o

admin123 adminadmin administrator administrator administrador  administrador  anything cualquier cosa asddsa asdfgh asdsa asdzxc backup copia de seguridad boss123 business negocio campus changeme cluster grupo codename en clave codeword código coffee café computer ordenador  controller controlador  controlador  cookie customer cliente database base de datos default predeterminado desktop escritorio domain dominio example ejemplo exchange intercambio explorer explorador  files archivos foobar  foofoo forever para siempre freedom libertad games juegos home123 ihavenopass Internet internet Internet intranet Intranet killer asesino letitbe letmein Login Inicio de sesión login inicio de sesión lotus loto love123 manager director  market mercado money dinero monitor vigilar  mypass mypassword micontraseña mypc123 nimda Nimda nobody nadie nopass

o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o

nopassword nothing nada office oficina oracle oráculo owner propietario pass1 pass12 pass123 passwd Password Contraseña password contraseña password1 Password1 password12 password123 private privado public público pw123 q1w2e3 qazwsx qazwsxedc qqqqq QQQQQ qwe123 qweasd qweasdzxc qweewq qwerty QWERTY qwewq root123 rootroot sample muestra secret secreto secure seguro security seguridad server servidor  shadow sombra share compartir  student estudiante super  superuser superusuario superusuario supervisor  system sistema temp123 temporary temporal temptemp test123 testtest unknown desconocido windows ventanas work123 xxxxx zxccxz zxcvb zxcvbn zxcxz zzzzz ZZZZZ

Si el éxito del gusano accede al recurso compartido de red, se creará una copia de sí mismo a la "ADMIN $" cuota de la siguiente manera:

•

\\[Server Host Name]\ADMIN$\System32\[rand Name]\ADMIN$\System32\[random om filename].[random extension] \ \ [Nombre de host del servidor] \ ADMIN $ \ System32 \ [nombre de archivo aleatorio]. [Random extensión]

A continuación, crea un diario de trabajo previsto en el servidor remoto, a fin de ejecutar el siguiente comando:

•

rundll32.exe rundll32.exe [random filename].[random extension], [random]

El gusano también puede propagarse por la descarga de una copia de sí mismo a otras máquinas vulnerables a una explotación de la crítica MS08-067 de vulnerabilidad. Para ello, primero el gusano se conecta a los sitios siguientes para recuperar el sistema ExternalIPAddress%%:

• • • •

http://checkip.dyndns.org http://getmyip.co.uk http://www.getmyip.org http://www.whatsmyipaddress.com

A continuación, el gusano crea un servidor HTTP en un puerto aleatorio: •

http://%ExternalIPAddress%:%RandomPort% http:// ExternalIPAddress%%%% RandomPort

Crear el servidor HTTP permite que el malware para enviar paquetes especialmente preparados (explotar el código) de la máquina infectada a otras máquinas. Si la explotación es satisfactoria, la máquina específica se ve obligado a descargar una copia de los programas maliciosos a partir de la primera máquina m áquina infectada. infectada. El malware ha descargado una de las siguientes extensiones: • • • •

bmp gif   jpeg png

A continuación, ganchos NetpwPathCanonicalize API a fin de evitar la explotación de la vulnerabilidad más. Descargas

Downadup es capaz de descargar archivos en el sistema infectado. En primer lugar, el gusano se conecta a uno de los siguientes dominios para obtener la fecha actual del sistema:

•

ask.com Ask.com

• • • •

baidu.com google.com w3.org yahoo.com

El sistema obtiene la fecha se utiliza para generar una lista de ámbitos en los que el malware puede descargar archivos adicionales. A continuación, verifica si la fecha actual es de al menos 1 de enero de 2009. En caso afirmativo, se descarga y ejecuta archivos desde: •

http://%PredictableDomainsIPAddress%/search?q=%d http://% PredictableDomainsIPAddress% / search? q =% d

Nota:%% PredictableDomainsIPAddress generado es el dominio sobre la base de la fecha del sistema. El archivo descargado tiene el formato: •

[random]. tmp

Registro

El gusano borra una serie de claves del registro, a fin de desactivar el Centro de seguridad y evitar notificaciones de inicio de Windows Defender. También ignora el Firewall de Windows mediante la creación de la siguiente entrada del Registro, a fin de que el sistema puede descargar una copia del gusano: •

HKLM \ SYSTEM \ CurrentControlSet CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \ StandardProfile \ GloballyOpenPorts \ Lista, [ PortNumber]: TCP = "[PortNumber]: TCP: * Enabled: [random]"

Para ocultar su presencia en el sistema, el gusano borra cualquier sistema de puntos de restauración creados por el usuario y, a continuación, modifica las siguientes claves del Registro: •

•

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ carpeta \ ocultos \ SHO WALLCheckedValue = dword: 00000000 HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost, netsvcs Anterior datos =%% y%% aleatoria

Durante la infección, el gusano puede crear una de carácter temporal (PGT) en el archivo del sistema o carpetas Temp. El PGT archivo creado se registra como un servicio del núcleo conductor mediante la siguiente entrada del Registro: •

HKEY_LOCAL_MACHINE HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet CurrentControlSet \ Services \ [random] Type = dword: 00000001 Start = dword: 00000003 ErrorControl = dword: 00000000 ImagePath = "\ ... \% MalwarePath% MalwarePath% \ [random]. Tmp" DisplayName = [Aleatorio]

Una vez que la clave es creado, el archivo% MalwarePath% \ [random]. Tmp es eliminado. Un interesante cambio hace que el gusano en el registro implica las siguientes entradas del Registro:

•

•

HKEY_LOCAL_MACHINE HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DisplayName =% ServiceName% Type = dword: 00000020 Start = dword: 00000002 ErrorControl = dword: 00000000 ImagePath = "% SystemRoot% \ system32 \ svchost.exe-k netsvcs" ObjectName = "LocalSystem" Descripción descripción =%% HKEY_LOCAL_MACHINE HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ [random] \ Parameters ServiceDll =% MalwarePath% MalwarePath%

En estas entradas,% ServiceName% representa una combinación de dos palabras tomadas de la siguiente lista: • • • • • • • • • • • • • • • • • • • • •

Boot Arranque Center Centro Config Driver Conductor  Helper Ayudante Image Imagen Installer Instalador  Manager Manager Director  Microsoft Monitor Monitor de Network Red Security Seguridad Seguridad Server Servidor  Shell Support Apoyar  System Sistema Task Tarea Time Tiempo Universal Update Actualizar  Windows De Windows