Quando executado, o worm se auto copia usando nomes aleatórios para a pasta %SYSDIR%.
(Onde %SYSDIR% é a pasta de sistema do Windows, por exemplo, C:\Windows\System32)
Ele altera a seguinte chave do registro para criar aleatoriamente o nome de serviço:
* HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ (aleatória) \ Parameters \ "ServiceDLL" = "Caminho para verme"
* HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ (aleatória) \ "ImagePath" =% SystemRoot% \ system32 \ svchost.exe-k netsvcs
Tentativas ligações para um ou mais dos seguintes sites para obter o endereço IP público do computador afetado.
* Http: / / www.getmyip.org
* Http: / / getmyip.co.uk
* Http: / / checkip.dyndns.org
* Http: / / whatsmyipaddress.com
As tentativas para fazer download de um malware arquivo a partir do site remoto: (O site é russo, mas não existe mais)
* Http: / / trafficconverter.biz / [Removed] antispyware / [Removed]. Exe
Inicia um servidor HTTP em uma porta aleatória na máquina infectada para hospedar uma cópia do worm.
Pesquisa continuamente a sub-rede do anfitrião para vulneráveis máquinas infectadas e executa a explorar. Se a exploração for bem sucedido, o computador remoto irá então ligar de volta para o servidor http e baixar uma cópia do worm.
Posteriormente variantes de w32/Conficker.worm estão usando tarefas agendadas e arquivo Autorun.inf para replicar para os sistemas vulneráveis ou não para infectar novamente sistemas após terem sido limpos.
Sintomas
Os sintomas desta detecção são os arquivos, registro, comunicação e rede referenciada nas seguintes características.
Usuários sendo bloqueado
Bloqueio da determinadas pastas
Acesso negado ao administrador
As tarefas agendadas sendo criadas
Acesso a sites relacionados com segurança é bloqueado.
Método de Infecção
Este worm explora a vulnerabilidade MS08-067 do Microsoft Windows Server Service, a fim de propagar.
As máquinas devem ser corrigidos e reinicializada para proteger contra este worm.
Após a detecção de um ataque deste worm, o sistema deverá ser reiniciado para limpar memória corretamente. Pode exigir mais que uma reinicialização.
As tarefas agendadas cridas no sistemas sao usadas para reativar o worm.
Autorun.inf sao arquivos de incializao para reativar o worm.
Remoção
Utilize um bom antvirus e instale a atualização de Microsoft referente a este problema neste link: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Nenhum comentário:
Postar um comentário
Leia as regras:
Todos os comentários são lidos e moderados previamente.
São publicados aqueles que respeitam as regras abaixo:
- Seu comentário precisa ter relação com o assunto do post;
- Em hipótese alguma faça propaganda de outros blogs ou sites;
- Não inclua links desnecessários no conteúdo do seu comentário;
- Não inclua informações pessoais como e-mail, telefone, etc;
- Se quiser deixar sua URL, comente usando a opção OpenID;
- O espaço dos comentários não é lugar para pedir parceria;
- CAIXA ALTA, miguxês ou erros de ortografia não serão tolerados;
- Ofensas pessoais, ameaças e xingamentos não são permitidos;
OBS: Os comentários dos leitores não refletem as opiniões do blog.