Conficker.C (Downadup) 蠕虫技术分析与防御指南

本文详细分析了Conficker.C蠕虫的传播机制、技术特征和防御措施,包括其利用MS08-067漏洞、禁用系统服务、修改注册表等行为,并提供了针对该威胁的具体防护建议。

Conficker.C (Downadup) | MSRC 博客

Microsoft 安全响应中心

注意: 此博客文章已发布超过一年。以下提供的信息可能已过时。

作者: Japan Security Team
发布日期: 2009年2月26日
阅读时间: 21 分钟

小野寺です。
关于 Conficker (Downadup),出现了名为 Conficker.C 的新变种,诸如“以往对策无效!”等刺激性言论时有出现,但如果已实施先前告知的 Conficker 对策,则能够防止 Conficker.C 的感染。不过,一旦感染,由于后门功能和文件下载功能较传统 Conficker 更为强化,其他威胁可能被引入受感染 PC。

有关 Conficker 的总结性对策等文章,请参阅“Conficker(Downadup)蠕虫总结”。

以下转贴 Conficker.C 信息的日文摘要:

别名:
TA08-297A(其他)
CVE-2008-4250(其他)
VU827267(其他)
Conficker B++(其他)

概述:
Win32/Conficker.C 是一种利用 Windows Server 服务(SVCHOST.EXE)漏洞感染网络上其他计算机的蠕虫。漏洞被利用后,启用共享文件时可能远程执行代码。此外,它可能通过可移动驱动器和脆弱的管理员密码传播,并会禁用关键系统服务和安全产品。

微软强烈建议用户立即应用安全公告 MS08-067 的安全更新。同时,微软建议用户使用强网络密码以防御通过脆弱管理员密码传播的此蠕虫。详细信息请参阅此处

现象:
系统设置更改:
存在恶意软件时,系统可能发生以下更改:

  • 以下服务被禁用或停止运行:

    • Windows Update 服务
    • Background Intelligent Transfer Service (BITS)
    • Windows Defender
    • Windows Error Reporting Services

  • 以下注册表更改导致在网络上创建大量连接并尝试登录,从而容易发生账户锁定:

    • HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • “TcpNumConnections” = “0x00FFFFFE”

  • 用户可能无法连接包含以下字符串的网站或在线服务:

    • virus, spyware, malware, rootkit, defender, microsoft, symantec, norton, mcafee, trendmicro, sophos, panda, etrust, networkassociates, computerassociates, f-, ecure, kaspersky, jotti, f-, rot, nod32, eset, grisoft, drweb, centralcommand, ahnlab, esafe, avast, avira, quickheal, comodo, clamav, ewido, fortinet, gdata, hacksoft, hauri, ikarus, k7computing, norman, pctools, prevx, rising, securecomputing, sunbelt, emsisoft, arcabit, cpsecure, spamhaus, castlecops, threatexpert, wilderssecurity, windowsupdate

技术信息:
Win32/Conficker.C 是一种利用 Windows Server 服务(SVCHOST.EXE)漏洞感染网络上其他计算机的蠕虫。漏洞被利用后,启用共享文件时可能远程执行代码。此外,它可能通过可移动驱动器和脆弱的管理员密码传播,并会禁用关键系统服务和安全产品。

安装:
Win32/Conficker.C 使用随机名称将自身复制为隐藏 DLL 文件到 Windows 系统文件夹。如果失败,它会尝试使用相同参数将自身复制到以下文件夹:

  • %ProgramFiles%\Internet Explorer
  • %ProgramFiles%\Movie Maker

创建以下注册表项,以便在 Windows 启动时始终运行丢弃的副本:

  • 添加值:"<随机字符串>"
  • 数据:“rundll32.exe <系统文件夹><恶意软件文件名>.dll,<恶意软件参数>”
  • 子项:HKCU\Software\Microsoft\Windows\CurrentVersion\Run

此外,当在系统文件 svchost.exe 中下载 netsvcs 组时,它会将自身作为启动服务下载。还可能通过以下键注册自身,以作为伪服务加载:

  • HKLM\SYSTEM\CurrentControlSet\Services

可能使用以下两种字符串组合的显示名称:

  • Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows

此外,可能组合随机字符创建显示名称。

传播方法:

利用脆弱密码在共享网络中传播
Win32/Conficker.C 尝试感染网络上的机器。

  • 首先,尝试以当前登录用户权限将自身副本丢弃到目标机器的 ADMIN$ 共享。

  • 如果此方法失败(例如,当前用户缺乏必要权限),则获取目标机器上的用户账户列表。随后,尝试使用各用户名及以下脆弱密码连接目标机器:

    123, 1234, 12345, 123456, 1234567, 12345678, 123456789, 1234567890, 123123, 12321, 123321, 123abc, 123qwe, 123asd, 1234abcd, 1234qwer, 1q2w3e, a1b2c3, admin, Admin, administrator, nimda, qwewq, qweewq, qwerty, qweasd, asdsa, asddsa, asdzxc, asdfgh, qweasdzxc, q1w2e3, qazwsx, qazwsxedc, zxcxz, zxccxz, zxcvb, zxcvbn, passwd, password, Password, login, Login, pass, mypass, mypassword, adminadmin, root, rootroot, test, testtest, temp, temptemp, foofoo, foobar, default, password1, password12, password123, admin1, admin12, admin123, pass1, pass12, pass123, root123, pw123, abc123, qwe123, test123, temp123, mypc123, home123, work123, boss123, love123, sample, example, internet, Internet, nopass, nopassword, nothing, ihavenopass, temporary, manager, business, oracle, lotus, database, backup, owner, computer, server, secret, super, share, superuser, supervisor, office, shadow, system, public, secure, security, desktop, changeme, codename, codeword, nobody, cluster, customer, exchange, explorer, campus, money, access, domain, letmein, letitbe, anything, unknown, monitor, windows, files, academia, account, student, freedom, forever, cookie, coffee, market, private, games, killer, controller, intranet, work, home, job, foo, web, file, sql, aaa, aaaa, aaaaa, qqq, qqqq, qqqqq, xxx, xxxx, xxxxx, zzz, zzzz, zzzzz, fuck, 12, 21, 321, 4321, 54321, 654321, 7654321, 87654321, 987654321, 0987654321, 0, 00, 000, 0000, 00000, 00000, 0000000, 00000000, 1, 11, 111, 1111, 11111, 111111, 1111111, 11111111, 2, 22, 222, 2222, 22222, 222222, 2222222, 22222222, 3, 33, 333, 3333, 33333, 333333, 3333333, 33333333, 4, 44, 444, 4444, 44444, 444444, 4444444, 44444444, 5, 55, 555, 5555, 55555, 555555, 5555555, 55555555, 6, 66, 666, 6666, 66666, 666666, 6666666, 66666666, 7, 77, 777, 7777, 77777, 777777, 7777777, 77777777, 8, 88, 888, 8888, 88888, 888888, 8888888, 88888888, 9, 99, 999, 9999, 99999, 999999, 9999999, 99999999

如果 Win32/Conficker.C 成功访问目标机器(例如,通过获取的用户名和上述密码之一获得机器特权),则将自身复制为 ADMIN$\System32<随机字母>.dll 到可访问的 admin 共享。

创建计划的远程作业
远程入侵机器后,Win32/Conficker.C 使用“rundll32.exe <恶意软件文件名>.dll,<恶意软件参数>”命令创建计划的远程作业,如下图所示:

(图片占位符)

映射驱动器和可移动驱动器
Win32/Conficker.C 可能将所有映射驱动器和可移动驱动器以随机文件名丢弃自身副本。此蠕虫在这些驱动器的根目录创建文件夹名‘RECYCLER’(Windows XP 及更早版本。“RECYCLER”文件夹表示“回收站”)。

然后按以下方式复制蠕虫自身:

  • <驱动器:>\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d<随机字母>.dll

%d 是随机选择的字符。蠕虫还丢弃相关的 autorun.inf 文件,以便在访问驱动器且自动播放启用时执行蠕虫副本。此 autorun.inf 文件被检测为 Worm:Win32/Conficker.B!inf。

下图显示了用户访问受感染共享文件时如何启动蠕虫:

(图片占位符)

注意第一个选项显示[打开文件夹查看文件](open folder to view files),但由于此选项位于[安装或运行程序](Install or run program)下,打开文件夹实际上会运行应用程序。

还需注意运行蠕虫的操作显示[发布者未指定](Publisher not specified)。如果选择上图[常规选项](General options)下的高亮部分,用户可以查看共享文件但不会运行蠕虫副本。

MS08-067 HTTP“回调”
Win32/Conficker.C 在未应用 Windows Server 服务(SVCHOST.EXE)漏洞更新程序的系统上传播。

漏洞被利用后,此蠕虫尝试让目标计算机通过 HTTP 协议使用(由蠕虫打开的 1024 到 10000 之间的)随机端口下载蠕虫副本。此漏洞在微软安全公告 MS08-067 中描述。

蠕虫影响:

在内存中修改 NETAPI32.DLL
Win32/Conficker 在内存中修改‘NETAPI32.DLL’,防止针对安全公告 MS08-067 中解决的漏洞的再感染和进一步利用。

下载可执行 URL 链接
此变种通过检查接收的 shellcode(shellcode)中的特定模式,确定其起源是否为 Win32/Conficker,并识别 shellcode 中存储的更新有效负载 URL。Win32/Conficker.C 在 Windows 2000 机器上创建名为 \.\pipe\System_<计算机名>7 的命名管道。

此蠕虫创建线程,持续允许从管道下载、验证和执行 http URL 链接。

篡改系统配置
Win32/Conficker.C 更改系统配置,使用户无法显示隐藏文件。这是通过更改以下注册表项实现的:

  • 添加值:“CheckedValue”
  • 数据:“0”
  • 子项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL

此外,更改系统的 TCP 配置以允许大量同时连接。0x00FFFFFE 是十六进制(16,777,214 十进制值)。

  • 添加值:“TcpNumConnections”
  • 数据:“0x00FFFFFE”
  • 子项:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

此蠕虫丢弃临时文件,并尝试重启 TCP/IP 服务以使更改生效。丢弃的此文件被检测为 Trojan:WinNT/Conficker.B。

禁用 TCP/IP 启动并停止和禁用服务
Win32/Conficker.C 执行以下命令禁用 Vista 的 TCP/IP 自动调优:

  • netsh interface tcp set global autotuning=disabled

此蠕虫停止以下一些关键系统服务:

  • Windows Security Center 服务(wscsvc)– 向用户通知安全配置(例如 Windows update、防火墙和防病毒)
  • Windows Update Auto Update 服务(wuauserv)
  • Background Intelligence Transfer Service (BITS)– 被 Windows Update 使用,利用空闲网络带宽下载更新
  • Windows Defender (WinDefend)
  • Error Reporting Service (ersvc)– 向微软发送错误报告,有助于改善用户体验
  • Windows Error Reporting Service (wersvc)

Win32/Conficker.C 删除 Windows Defender 的注册表键,防止其在系统启动时运行:

  • 删除值:“Windows Defender”
  • 子项:HKLM\Software\Microsoft\Windows\CurrentVersion\Run

virus, , pyware, malware, rootkit, defender, microsoft, symantec, norton, mcafee, trendmicro, sophos, panda, etrust, networkassociates, computerassociates, f-, ecure, kaspersky, jotti, f-, rot, nod32, eset, grisoft, drweb, centralcommand, ahnlab, esafe, avast, avira, quickheal, comodo, clamav, ewido, fortinet, gdata, hacksoft, hauri, ikarus, k7computing, norman, pctools, prevx, rising, securecomputing, sunbelt, emsisoft, arcabit, cpsecure, spamhaus, castlecops, threatexpert, wilderssecurity, windowsupdate

重置系统还原点
Win32/Conficker.C 重置计算机系统还原点,可能无法使用系统还原进行恢复。

检查互联网连接
Win32/Conficker.C 尝试连接以下网站,检查系统的互联网连接状态: aol.com ; cnn.com ; ebay.com ; msn.com ; myspace.com

下载任意文件
根据系统日期,Win32/Conficker.C 可能从 2009 年 1 月 1 日起下载文件,因此按以下格式创建 URL: http://<伪随机生成 URL>/search?q=%d

生成的 URL 基于系统当前日期。

创建的 URL 使用以下顶级域名之一: .cc, .cn, .ws, .com, .net, .org, .info, .biz

创建的 URL 示例如下: aaovt.com, aasmlhzbpqe.com, addgv.com, ajsxarj.org, apwzjq.ws, aradfkyqv.org, arztiwbeh.cc, baixumxhmks.ws, bfwtjrto.org, bfwvzxd.info, bma, qlhulq.cc, byiiureq.cn, cbizghsq.cc, cbkenfa.org, ciabjhmosz.cc, cruutiitz.com, ctnlczp.org, ctohyudfbm.cn, dcopyoojw.com, djdgnrbacwt.ws, dmwemynbrmz.org, dofmrfqvis.cn, doxkknuq.org, dozjritemv.info, dyjsialozl.ws, eaieijqcqlv.org, eewxsvtkyn.net, eidqdorgmbr.net, eiqzepxacyb, cn, ejdmzbzzaos.biz, ejmxd.com, ejzrcqqw.net, ekusgwp.cc, eprhdsudnnh.biz, evmwgi.ws, falru.net, fctkztzhyr.org, fdkjan.net, fhfntt.org, f, spuip.biz, fjpzgrf.net, fkzdr.cn, ftjggny.com, fuimrawg.info, ghdokt.cn, glbmkbmdax.biz, gmhkdp.org, gocpopuklm.org, grwemw.biz, gtzaick.c, , gxzlgsoa.info, gypqfjho.info, hduyjkrouop.info, hfgxlzjbfka.biz, hkgzoi.com, hliteqmjyb.net, hmdtv.ws, hoyolhmnzbs.net, hprfux.cc, hqbtt, qr.org, hueminaii.org, hvogkfiq.info, ifylodtv.ws, iivsjpfumd.ws, ilksbuv.cn, imuez.biz, izxvu.biz, jaumgubte.biz, jhbeiiizlfk.cn, jrdzx.c, , jshkqnnkeao.biz, judhei.com, jxfiysai.cc, jzoowlbehqn.info, karhhse.com, kbyjkjkbb.info, kjsxokxg.org, krudjhvk.org, kuiwtbfa.org, lauow, ef.cn, lhirjymcod.net, liugwg.net, lksvlouw.ws, llgkuclk.info, lnpsesbcm.cn, lssvxqkqfmf.org, lygskbx.cc, mafwkeat.cn, mgqrrsxhnj.com,

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次