Conficker.B
Japan Security Team / January 13, 2009 / 13 min read
关于Conficker.B的新变种Conficker.B的详细信息,已在MMPC(Microsoft Malware Protection Center)上发布,但由于目前没有日语信息,因此在此处发布Analysis的摘要翻译。
原文为:http://www.microsoft.com/security/portal/Entry.aspx?name=Worm%3aWin32%2fConficker.B。
技术信息
Worm:Win32/Conficker.B是一种利用Windows Server服务(SVCHOST.EXE)漏洞,通过网络感染其他计算机的蠕虫。
如果启用了文件共享,此漏洞可能被利用,导致远程代码执行。此外,它还会通过可移动驱动器传播,并弱化管理员密码。它会禁用一些重要的系统服务和安全产品。
感染
Worm:Win32/Conficker.B使用
- %ProgramFiles%\Internet Explorer
- %ProgramFiles%\Movie Maker
通过创建以下注册表项,确保Windows启动时始终运行丢弃的副本:
- 添加值:“
” - 数据:“rundll32.exe
<malware file name>.dll, ” - 子键:HKCU\Software\Microsoft\Windows\CurrentVersion\Run
此外,当系统文件_svchost.exe_加载netsvcs组时,它会作为启动服务加载自身。
它还可能通过以下键注册自身,作为伪服务加载:
- HKLM\SYSTEM\CurrentControlSet\Services
它可能使用从以下字符串中组合两种类型的显示名称: Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows
此外,它可能随机组合字符以创建显示名称。
传播方法
利用包含弱密码的共享网络
Worm:Win32/Conficker.B尝试感染网络中包含弱ADMIN$共享密码的机器。它使用以下密码尝试管理员登录到此类系统: 123, 1234, 12345, 123456, 1234567, 12345678, 123456789, 1234567890, 123123, 12321, 123321, 123abc, 123qwe, 123asd, 1234abcd, 1234qwer, 1q2w3e, a1b2c3, admin, Admin, administrator, nimda, qwewq, qweewq, qwerty, qweasd, asdsa, asddsa, asdzxc, asdfgh, qweasdzxc, q1w2e3, qazwsx, qazwsxedc, zxcxz, zxccxz, zxcvb, zxcvbn, passwd, password, Password, login, Login, pass, mypass, mypassword, adminadmin, root, rootroot, test, testtest, temp, temptemp, foofoo, foobar, default, password1, password12, password123, admin1, admin12, admin123, pass1, pass12, pass123, root123, pw123, abc123, qwe123, test123, temp123, mypc123, home123, work123, boss123, love123, sample, example, internet, Internet, nopass, nopassword, nothing, ihavenopass, temporary, manager, business, oracle, lotus, database, backup, owner, computer, server, secret, super, share, superuser, supervisor, office, shadow, system, public, secure, security, desktop, changeme, codename, codeword, nobody, cluster, customer, exchange, explorer, campus, money, access, domain, letmein, letitbe, anything, unknown, monitor, windows, files, academia, account, student, freedom, forever, cookie, coffee, market, private, games, killer, controller, intranet, work, home, job, foo, web, file, sql, aaa, aaaa, aaaaa, qqq, qqqq, qqqqq, xxx, xxxx, xxxxx, zzz, zzzz, zzzzz, fuck, 12, 21, 321, 4321, 54321, 654321, 7654321, 87654321, 987654321, 0987654321, 0, 00, 000, 0000, 00000, 00000, 0000000, 00000000, 1, 11, 111, 1111, 11111, 111111, 1111111, 11111111, 2, 22, 222, 2222, 22222, 222222, 2222222, 22222222, 3, 33, 333, 3333, 33333, 333333, 3333333, 33333333, 4, 44, 444, 4444, 44444, 444444, 4444444, 44444444, 5, 55, 555, 5555, 55555, 555555, 5555555, 55555555, 6, 66, 666, 6666, 66666, 666666, 6666666, 66666666, 7, 77, 777, 7777, 77777, 777777, 7777777, 77777777, 8, 88, 888, 8888, 88888, 888888, 8888888, 88888888, 9, 99, 999, 9999, 99999, 999999, 9999999, 99999999
如果Win32/Conficker.B成功登录到机器,它会将自身复制到可访问的admin共享,作为ADMIN$\System32<random letters>.dll。该蠕虫远程创建作业计划(命令 - “rundll32.exe
映射驱动器
Worm:Win32/Conficker.B使用
%d部分随机选择字符。该蠕虫丢弃相关的autorun.inf文件,因此如果驱动器访问和自动播放功能启用,蠕虫副本会自动运行。
**MS08-067 HTTP ‘**回调’
对于系统中传播的Worm:Win32/Conficker.B,如果未应用Windows Server服务(SVCHOST.EXE)漏洞的安全更新程序,且漏洞被利用,该蠕虫会侵入目标计算机,打开1024到10000之间的随机端口,并通过HTTP协议从主机计算机下载蠕虫副本。有关此漏洞的说明,请参阅Microsoft Security Bulletin MS08-067。
Payload
修改系统配置
Worm:Win32/Conficker.B修改系统配置,使用户无法显示隐藏文件。通过修改以下注册表项执行:
- 添加值:“CheckedValue”
- 数据:“0”
- 子键:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
修改系统TCP配置,允许多个同时连接(0x00FFFFFE是十六进制,16,777,214十进制值):
- 添加值:“TcpNumConnections”
- 数据:“0x00FFFFFE”
- 子键:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
该蠕虫丢弃临时文件,并尝试重启TCP/IP以启用更改。此丢弃的文件被检测为Trojan:WinNT/Conficker.B。
终止和禁用服务
Worm:Win32/Conficker.B终止一些重要的系统服务,如:
- Windows Update Service
- Background Intelligent Transfer Service
- Windows Defender
- Windows Error Reporting Services
Win32/Conficker.B删除Windows Defender的注册表键,防止系统启动时运行,并禁用Windows Vista TCP/IP的自适应。
此外,具有包含以下任一字符串的模块名称的进程无法发送网络流量或数据(请注意,由于大多数字符串与防病毒和安全软件相关,实际上无法获取签名更新,用户无法访问包含这些字符串的URL网站):
virus, spyware, malware, rootkit, defender, microsoft, symantec, norton, mcafee, trendmicro, sophos, panda, etrust, networkassociates, computerassociates, f-secure, kaspersky, jotti, f-prot, nod32, eset, grisoft, drweb, centralcommand, ahnlab, esafe, avast, avira, quickheal, comodo, clamav, ewido, fortinet, gdata, hacksoft, hauri, ikarus, k7computing, norman, pctools, prevx, rising, securecomputing, sunbelt, emsisoft, arcabit, cpsecure, spamhaus, castlecops, threatexpert, wilderssecurity, windowsupdate
重置系统还原点
Win32/Conficker.B可能重置计算机的系统还原点,导致使用系统还原的恢复失败。
检查互联网连接
Win32/Conficker.B尝试连接到以下网站,以确认系统是否连接到互联网:
- aol.com
- cnn.com
- ebay.com
- msn.com
- myspace.com
下载任意文件
根据系统日期,Win32/Conficker.B可能构建URL以下载文件,格式如下,日期为2009年1月1日:
http://
生成的URL基于当前系统日期。
构建的URL使用以下顶级域名之一:
.cc, .cn, .ws, .com, .net, .org, .info, .biz
构建的URL示例如下: aaovt.com, aasmlhzbpqe.com, addgv.com, ajsxarj.org, apwzjq.ws, aradfkyqv.org, arztiwbeh.cc, baixumxhmks.ws, bfwtjrto.org, bfwvzxd.info, bmaeqlhulq.cc, byiiureq.cn, cbizghsq.cc, cbkenfa.org, ciabjhmosz.cc, cruutiitz.com, ctnlczp.org, ctohyudfbm.cn, dcopyoojw.com, djdgnrbacwt.ws, dmwemynbrmz.org, dofmrfqvis.cn, doxkknuq.org, dozjritemv.info, dyjsialozl.ws, eaieijqcqlv.org, eewxsvtkyn.net, eidqdorgmbr.net, eiqzepxacyb.cn, ejdmzbzzaos.biz, ejmxd.com, ejzrcqqw.net, ekusgwp.cc, eprhdsudnnh.biz, evmwgi.ws, falru.net, fctkztzhyr.org, fdkjan.net, fhfntt.org, fhspuip.biz, fjpzgrf.net, fkzdr.cn, ftjggny.com, fuimrawg.info, ghdokt.cn, glbmkbmdax.biz, gmhkdp.org, gocpopuklm.org, grwemw.biz, gtzaick.cc, gxzlgsoa.info, gypqfjho.info, hduyjkrouop.info, hfgxlzjbfka.biz, hkgzoi.com, hliteqmjyb.net, hmdtv.ws, hoyolhmnzbs.net, hprfux.cc, hqbttlqr.org, hueminaii.org, hvogkfiq.info, ifylodtv.ws, iivsjpfumd.ws, ilksbuv.cn, imuez.biz, izxvu.biz, jaumgubte.biz, jhbeiiizlfk.cn, jrdzx.cc, jshkqnnkeao.biz, judhei.com, jxfiysai.cc, jzoowlbehqn.info, karhhse.com, kbyjkjkbb.info, kjsxokxg.org, krudjhvk.org, kuiwtbfa.org, lauowjef.cn, lhirjymcod.net, liugwg.net, lksvlouw.ws, llgkuclk.info, lnpsesbcm.cn, lssvxqkqfmf.org, lygskbx.cc, mafwkeat.cn, mgqrrsxhnj.com, mhklpsbuh.cc, mknuzwq.cc, mqjkzbov.net, myfhc.com, navjrj.org, nbpykcdsoms.com, ncbeaucjxd.org, npfxmztnaw.cn, nuiptipwjj.cc, nvpmfnlsh.ws, oagwongs.ws, odvsz.net, okkpuzqck.ws, oqolfrjq.cn, orduhippw.cn, orpngykld.com, orxfq.ws, othobnrx.org, otnqqaclsgx.info, otukeesevg.biz, pbfhhhvzkp.cc, pbpigz.cn, pcnpxbg.cc, pdfrbmxh.biz, pfdthjxs.cc, phaems.cc, phetxwmjqsj.cc, pmanbkyshj.ws, pnjlx.cc, ppzwqcdc.cc, psabcdq.cc, ptdlwsi.cn, pvowgkgjmu.biz, pwsjbdkdewv.info, qbuic.com, qdteltj.org, qeotxrp.com, qfeqsagbjs.biz, qfhqgciz.org, qfogch.com, qijztpxaxk.cn, qlqrgqordj.ws, qpiivu.cn, qpuowsw.cc, qqbbg.cc, qrrzna.net, qvrgznvvwz.ws, qwdervbq.org, qwnydyb.cc, qzbpqbhzmp.com, rkfdx.org, rpphv.org, rskvraofl.info, ryruatsot.biz, sdkhznqj.info, sezpo.org, sfozmwybm.com, skwmyjq.org, solmpem.com, sqmsrvnjits.cc, stlgegbye.net, syryb.org, tdwrkv.ws, tfpazwas.cc, tigeseo.org, tjyhrcfxuc.cn, tkbyxr.ws, tlmncy.cn, tmlwmvv.ws, tnerivsvs.net, tomxoa.org, trpkeyqapp.net, tyjtkayz.com, uazlwwiv.org, ucgqvyjgpk.cn, uixvflbyoyi.biz, ujawdcoqgs.org, upxva.net, uuvjh.biz, uzugvbnvs.cn, vgmkhtux.ws, vjllpcucnp.cn, vkgxgxto.com, vwiualt.com, waxggypgu.org, wccckyfrtf.net, wfdnvlrcb.org, whjworuc.com, wmiwxt.biz, wohms.biz, wqqfbutswyf.info, wsdlzmpbwhj.net, xiclytmeger.cc, xkjdzqbxg.cn, xldbmaztfu.biz, xlwcv.cn, xqbovbdzjz.info, xwbubjmhinr.info, yfpdcquil.info, yfybk.ws, yhrpqjhp.biz, yoblqeruib.org, yoyze.cc, yshpve.cc, ysrixiwyd.com, ytfvksowgul.org, ywsrtetv.org, yzymygez.biz, zcwjkxynr.com, zfgufbxi.net, zkimm.info, zmoeuxuh.ws, zokxy.net, zqrsbqzhh.cc, zttykt.info, zutykstmrxq.ws
检查系统日期是否为2009年1月1日或之后。此外,它检查以下网站的日期,可能用于验证:
- baidu.com
- google.com
- yahoo.com
- msn.com
- ask.com
- w3.org