Удаление конфикера из системы - 3 Июня 2009 - Сайт IT-специалистов г. Ипатово

» Наш опрос

» Статистика

Онлайн всего: 1

Гостей: 1

Пользователей: 0

» Форма входа

Главная » 2009 » Июнь » 3 » Удаление конфикера из системы

16:46:48 Удаление конфикера из системы
Здесь находится ДЕЙСТВЕННАЯ методика очистки компьютера от этой заразы. Просмотр материала доступен только зарегистрированным пользователям. Обращайтесь с вопросами к админам. Все что нашел ранее в инете - расчитано на ламеров, которые ничего не смыслят в компьютерах. А вот описание этого вируса: Win32Conficker.AA Другие названия Trojan.Win32.Agent.bbof (Kaspersky) W32.Downadup.B (Symantec) WW32/Conficker.worm.gen.a (McAfee) Тип проникновения Червь (Worm) Размер файла 157130 байт Подверженные заражению платформы Microsoft Windows Версия базы вирусных сигнатур 3730 (20090101) Для удаления вируса вам необходимо скачать утилиту и установить обновления Microsoft для вашей операционной системы. Описание Win32/Conficker.A - червь, использующий уязвимость в Server Service, распространяется через папки общего доступа и внешние носители. Инсталляция Во время исполнения вирус копирует себя в директории, используя следующее имя: %variable%.dll , где %variable% - произвольные символы. %system% %program files%\Internet Explorer %program files%\Movie Maker %appdata% %temp% Библиотека %variable%.dll загружается и внедряется в следующие процессы: services.exe explorer.exe svchost.exe Червь регистрируется в системе как системная служба, используя комбинации из следующих слов: Boot Center Config Driver Helper Image Installer Manager Microsoft Monitor Network Security Server Shell Support System Task Time Universal Update Для того чтобы загружаться при каждом запуске системы, вирус изменяет следующие ключи реестра: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "%variable_name%" = "rundll32.exe "%system%\%variable%.dll", %random_string%" Также создаются следующие ключи: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%\Parameters] "ServiceDll" = "%system%\%variable%.dll" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%] "Image Path" = "%System Root%\system32\svchost.exe -k netsvcs" "DisplayName" = "random service name%" "Type" = 32 "Start" = 2 "ErrorControl" = 0 "ObjectName" = "LocalSystem" "Description" = "%variable_name%" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "TcpNumConnections" = 16777214 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue" = 0 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets] "gip" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets] "gip" = 0A string with variable content is used instead of %random service name% . Следующие разделы реестра удаляются: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\ {FD6905CE-952F-41F1-9A6F-135D9C6622CC}] "wscsvc" = "%filepath%" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Defender" = "%filepath%" Эксплуатация уязвимости службы ServerService Вирус запускает HTTP сервер на случайном порту. Сервер соединяется с удаленными машинами через порт TCP 139, 445 и пытается проникнуть в систему, используя уязвимость в Server Service. Если проникновение проходит успешно, удаленный компьютер подключается к зараженному компьютеру и скачивает копию вируса.
1 2 3 4 5 Просмотров: 1363 \| Добавил: Forest_Ugly_Beast \| Рейтинг: 0.0/0

Всего комментариев: 2

2 Forest_Ugly_Beast (2009-06-03 16:48:04)

Червь устанавливает назначенное задание, чтобы выполняться каждый день:

rundll32.exe %variable%.dll, %random_string%

Распространение через внешние носители

Червь копирует себя на существующие внешние носители, при этом используются имена файлов:

%drive%\RECYCLER\S-%variable1%\%variable2%.%variable3%

Так же червь создает следующий файл:

%drive%\autorun.inf

Таким образом, вредоносная программа запускается каждый раз при подключении зараженного носителя.

Дополнительная информация

Список сервисов, которые отключаются при активации вируса:

Windows Security Center Service (wscsvc)

Windows Automatic Update Service (wuauserv)

Background Intelligent Transfer Service (BITS)

Windows Defender Service (WinDefend)

Windows Error Reporting Service (ERSvc)

Windows Error Reporting Service (WerSvc)

Червь внедряется в следующий процесс:

netsh interface tcp set global autotuning=disabled

Червь блокирует доступ к любым доменам, содержащим следующие символы:

ahnlab

arcabit

avast

avira

castlecops

centralcommand

clamav

comodo

computerassociates

cpsecure

defender

drweb

emsisoft

esafe

eset

etrust

ewido

fortinet

f-prot

f-secure

gdata

grisoft

hacksoft

hauri

ikarus

jotti

k7computing

kaspersky

malware

mcafee

microsoft

networkassociates

nod32

norman

norton

panda

pctools

prevx

quickheal

rising

rootkit

securecomputing

sophos

spamhaus

spyware

sunbelt

symantec

threatexpert

trendmicro

virus

wilderssecurity

windowsupdate

nai.

ca.

avp.

avg.

vet.

bit9.

sans.

Если системная дата будет соответствовать определенному условию, то вирус попробует скачать несколько файлов из интернета. Эти файлы будут запущены. Вирус содержит один адрес URL для скачивания файлов.

Червь запускает только в зашифрованные и корректно подписанные файлы.

Файлы хранятся в папке %temp%, при этом используется имя %variable%.tmp.

Так же червь может создать следующие ключи реестра, создающие исключения в программе Windows Firewall:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"%port number%:TCP" = "%port number%:TCP:*:Enabled:%variable%"

1 Forest_Ugly_Beast (2009-06-03 16:47:51)

Распространение через общий доступ

Червь пытается скопировать себя в общие папки на локальной машине, используя следующие логины и пароли:

Логин

%username%

Пароли

123

1234

12345

123456

1234567

12345678

123456789

1234567890

123123

12321

123321

123abc

123qwe

123asd

1234abcd

1234qwer

1q2w3e

a1b2c3

admin

Admin

administrator

nimda

qwewq

qweewq

qwerty

qweasd

asdsa

asddsa

asdzxc

asdfgh

qweasdzxc

q1w2e3

qazwsx

qazwsxedc

zxcxz

zxccxz

zxcvb

zxcvbn

passwd

password

Password

pass

mypass

mypassword

adminadmin

root

rootroot

test

testtest

temp

temptemp

foofoo

foobar

default

password1

password12

password123

admin1

admin12

admin123

pass1

pass12

pass123

root123

pw123

abc123

qwe123

test123

temp123

mypc123

home123

work123

boss123

love123

sample

example

internet

Internet

nopass

nopassword

nothing

ihavenopass

temporary

manager

business

oracle

lotus

database

backup

owner

computer

server

secret

super

superuser

supervisor

office

shadow

system

public

secure

security

desktop

changeme

codename

codeword

nobody

cluster

customer

exchange

explorer

campus

money

access

domain

letmein

letitbe

anything

unknown

monitor

windows

files

academia

account

student

freedom

forever

coffee

market

private

games

killer

controller

intranet

work

home

job

foo

web

file

sql

aaa

aaaa

aaaaa

qqq

qqqq

qqqqq

xxx

xxxx

xxxxx

zzz

zzzz

zzzzz

fuck

321

4321

54321

654321

7654321

87654321

987654321

0987654321

000

0000

00000

0000000

00000000

111

1111

11111

111111

1111111

11111111

222

2222

22222

222222

2222222

22222222

333

3333

33333

333333

3333333

33333333

444

4444

44444

444444

4444444

44444444

555

5555

55555

555555

5555555

55555555

666

6666

66666

666666

6666666

66666666

777

7777

77777

777777

7777777

77777777

888

8888

88888

888888

8888888

88888888

999

9999

99999

999999

9999999

99999999

При этом используется следующее имя файла:

\\%hostname%\ADMIN$\System32\%variable%.dll

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

» Корзина

Ваша корзина пуста

» Поиск

» Календарь

» Архив записей

» Друзья сайта

Win32Conficker.AA