| Nombre común: Conficker.C
Nombre técnico: W32/Conficker.C.worm
Peligrosidad: Baja
Alias: WORM_DOWNAD.AD,W32.Downadup,Net-Worm.Win32.Kido.cn,
Tipo: Gusano
Efectos: Aprovecha la vulnerabilidad MS08-067 en el servicio de servidor de Windows para propagarse y descargar una copia de sí mismo en el ordenador afectado. Además, intenta descargar otro tipo de malware, que puede tratarse de un falso antimalware, si la fecha del sistema es posterior al 1 de diciembre de 2008.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 31/12/2008
Detección actualizada: 08/01/2009
Estadísticas Si
Descripción Breve
Conficker.C es un gusano que aprovecha una vulnerabilidad en el servicio de servidor de Windows y que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.
Si la fecha del sistema es mayor que el 1 de diciembre de 2008, intenta descargar desde cierta página web otro tipo de malware en el ordenador afectado. El malware que se intenta descargar puede tratarse de un falso antimalware.
Conficker.C se propaga explotando la vulnerabilidad MS08-067. Para ello, envía peticiones RPC especialmente diseñadas a otros ordenadores en los que intenta introducir una copia de sí mismo.
Efectos
Conficker.C está diseñado para propagarse explotando una vulnerabilidad en el servicio de servidor de Windows que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.
Además, si la fecha del sistema es posterior al 1 de diciembre de 2008, intentará descargar y ejecutar otro tipo de malware desde la siguiente página web:
http://traffverter.biz
El malware que se intenta descargar puede tratarse de un falso antimalware.
Metodo de Infección
Conficker.C crea una copia de sí mismo en la carpeta RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 de todas las unidades disponibles en el ordenador. Se copia con el nombre JWGKVSQ.VMX. La carpeta S-5-3-42-2819952290-8240758988-879315005-3665 es creada por el gusano.
Además, crea un archivo AUTORUN.INF en todas las unidades. De esta manera, consigue ejecutarse cada vez que se accede a alguna de ellas.
Por otra parte, crea una tarea programada en la carpeta Tasks del directorio de Windows para iniciar su ejecución cada cierto tiempo.
Conficker.C crea las siguientes entradas en el Registro de Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
jwgkvsq = rundll32.exe RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx, ahaezedrn
Mediante esta entrada, Conficker.C consigue ejecutarse cada vez que Windows se inicia.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netsvcs
Image Path = %sysdir%\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netsvcs\Parameters
ServiceDll = C:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\ jwgkvsq.vmx
Mediante estas entradas, consigue registrarse como servicio.
Conficker.C modifica las siguientes entradas del Registro de Windows para ocultar su presencia y dificultar su detección:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
SuperHidden = 1
Cambia esta entrada por:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
SuperHidden = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 1
Cambia esta entrada por:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 0
Oculta los archivos y carpetas con atributo de oculto.
Método de Propagación
Conficker.C se propaga mediante la explotación de la vulnerabilidad denominada MS08-067, que se trata de una vulnerabilidad en el servicio de servidor de Windows. Para ello, envía peticiones de RPC especialmente diseñadas a otros ordenadores. Si alguno de ellos es vulnerable, descargará una copia de sí mismo en el sistema.
Ademas, Conficker.C también se propaga a través de las unidades del sistema, tanto compartidas como extraíbles, realizando copias de sí mismo en ellas. A su vez, crea un archivo AUTORUN.INF para conseguir ejecutarse cada vez que se accede a alguna de ellas.
Otros Detalles
Conficker.C tiene un tamaño de 167765 Bytes.
|
|
