Windows User Group - Slovak Republic
Windows User Group - Slovak Republic Windows User Group - Slovak Republic
RSS
mobilná verzia
Windows User Group - Slovak Republic
prihlásenie

meno login
heslo
Automaticky prihlásiť
zabudli ste heslo?
zaregistrujte sa

kalendár podujatí

jún 2014 júl 2014 august 2014
po ut st št pi so ne
30 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 1 2 3
dnes 30.07.2014 dnes 30.07.2014

kto je online?

počet anonymných užívateľov: 2
počet prihlásených užívateľov: 0

Top 10 najčítanejšie

1.Windows 7 download
2.Vytvorenie USB boot jed...
3.Oprava MBR sektoru bez ...
4.Windows 7 RC v slovenč...
5.HTPC alebo ako si posta...
6.Inštalujte Windows z U...
7.Platené vs Zadarmo
8.Panika menom Conficker
9.Windows 7 RC download -...
10.Konzole pro zotavení v...

Windows User Group - Slovak Republic

Panika menom Conficker
Windows User Group - Slovak Republic
Bezpečnosť > Virusy

Panika menom Conficker

Windows User Group - Slovak Republic

Zachytil som momentálne v médiach mierne panikársku informáciu o Confickeri. Takže uvediem niečo o ňom.


Win32/Conficker je červ, ktorý zamedzí prístup k security stránkam, deaktivuje system security services.

 

Spôsoby infekcie

Pri stiahnutí infektora sa uloží do adresára %System%, a svoje kopie uloží do nasledovných adresárov (respektíve do niektorých z nich:

%Program Files%\Windows NT
%Program Files%\Windows Media Player
%Program Files%\Internet Explorer
%Program Files%\Movie Maker

%document and settings%\user\windows


Win32/Conficker pre niektoré súbory upraví práva a urobí nasledovné veci:

Nastaví práva Read Only, Hidden a Systémovým súborom

Vygeneruje inú časovú pečiatku vytvorenia/prístupu ku "kernel32.dll"

vytvorý access control entries

uzamkne pristupy k svojim súborom

 

Svoj štart zabezpečí cez register Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\< náhodný string > = "rundll32.exe <worm exe>, <náhodný string>"

 

Conficker si zaregistruje nasledovné služby:

App
Audio
DM
ER
Event
help
Ias
Ir
Lanman
Net
Ntms
Ras
Remote
Sec
SR
Tapi
Trk
W32
win
Wmdm
Wmi
wsc
wuau
xml

access
agent
auto
logon
man
mgmt
mon
prov
serv
Server
Service
Srv
srv
svc
Svc
System
Time

 

Červ si zaregistruje nasledovne záznamy registrov:

HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\DisplayName = "Component Task"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Type = 00000020
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Start = 00000002
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ErrorControl = 00000000
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ImagePath = "%Root%\system32\svchost.exe -k netsvcs"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ObjectName = "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Description = "<
náhodne si vygeneruje meno na spustanie>"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Parameters\ServiceDll = "%System%\<
worm exe>"

 

Win32/Conficker infikuje (pokúsi sa infikovať) "svchost.exe -k NetworkService".

Win32/Conficker vymaže a deaktivuje Windows Security Center notifikácie:

HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}

 

Zablokuje spustenie Windows v Safe Mode:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot


Deaktivuje  "Windows Defender" pri štarte:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows Defender


Vymaže body obnovy.

Deaktivuje nasledovné služby:

wscsvc - Security Center
WinDefend - Windows Defender (available in Vista)
wuauserv - Automatic Updates
BITS - Background Intelligent Transfer Service
ERSvc - Error Reporting Service
WerSvc - Windows Error Reporting Service (available in Vista)

 

confickerc_services_090331.gif

Obr. Infikované služby

 

Deaktivuje a odmaže nasledovné služby:

autoruns
avenger
confick
downad
filemon
gmer
hotfix
kb890
kb958
kido
klwk
mbsa.
mrt.
mrtstub
ms08-06
procexp
procmon
regmon
scct_
sysclean
tcpview
unlocker
wireshark

 

Win32/Conficker hookne APIs a zablokuje nasledovné bezpečnostné stránky a nasledovné služby:

Query_Main
DnsQuery_W
DnsQuery_UTF8
DnsQuery_A
sendto

 

Zablokuje nasledovné stringy v URL:
avg.
avp.
bit9.
ca.
cert.
gmer.
kav.
llnw.
llnwd.
msdn.
msft.
nai.
sans.
vet.
agnitum
ahnlab
anti-
antivir
arcabit
avast
avgate
avira
bothunter
castlecops
ccollomb
centralcommand
clamav
comodo
computerassociates
conficker
cpsecure
cyber-ta
db networkassociates
defender
drweb
dslreports
emsisoft
esafe
eset
etrust
ewido
f-prot
f-secure
fortinet
free-av
freeav
gdata
grisoft
hackerwatch
hacksoft
hauri
ikarus
jotti
k7computing
kaspersky
malware
mcafee
microsoft
mirage
mitre
msftncsi
msmvps
mtc.sri
nod32
norman
norton
onecare
panda
pctools
prevx
ptsecurity
quickheal
removal
rising
rootkit
safety.live
securecomputing
secureworks
sophos
spamhaus
spyware
sunbelt
symantec
technet
threat
threatexpert
trendmicro
trojan
virscan
virus
wilderssecurity
windowsupdate

 

1. Apríla 2009, worm spraví pokus o prístup na domény s dolu uvedenými a stiahnutie a rozposlanie iného malware:

vn
vc
us
tw
to
tn
tl
tj
tc
su
sk
sh
sg
sc
ru
ro
ps
pl
pk
pe
no
nl
nf
my
mw
mu
ms
mn
me
md
ly
lv
lu
li
lc
la
kz
kn
is
ir
in
im
ie
hu
ht
hn
hk
gy
gs
gr
gd
fr
fm
es
ec
dm
dk
dj
cz
cx
com.ve
com.uy
com.ua
com.tw
com.tt
com.tr
com.sv
com.py
com.pt
com.pr
com.pe
com.pa
com.ni
com.ng
com.mx
com.mt
com.lc
com.ki
com.jm
com.hn
com.gt
com.gl
com.gh
com.fj
com.do
com.co
com.bs
com.br
com.bo
com.ar
com.ai
com.ag
co.za
co.vi
co.uk
co.ug
co.nz
co.kr
co.ke
co.il
co.id
co.cr
cn
cl
ch
cd
ca
bz
bo
be
at
as
am
ag
ae
ac

 

 

worm pristupuje k týmto stránkam čím si overí dostupnosť internetu:

ask.com
baidu.com
facebook.com
google.com
imageshack.us
rapidshare.com
w3.org
yahoo.com

 

Win32/Conficker si zabezpečí prístup k stránkam ktoré im umožňujú overiť si dátum a čas:

2ch.net
4shared.com
56.com
adobe.com
adsrevenue.net
adultadworld.com
adultfriendfinder.com
aim.com
alice.it
allegro.pl
ameba.jp
ameblo.jp
answers.com
apple.com
ask.com
aweber.com
awempire.com
badongo.com
badoo.com
baidu.com
bbc.co.uk
bebo.com
biglobe.ne.jp
bigpoint.com
blogfa.com
clicksor.com
co.cc
comcast.net
conduit.com
craigslist.org
cricinfo.com
dell.com
depositfiles.com
digg.com
disney.go.com
doubleclick.com
download.com
ebay.co.uk
ebay.com
ebay.de
ebay.it
espn.go.com
facebook.com
fastclick.com
fc2.com
files.wordpress.com
flickr.com
fotolog.net
foxnews.com
friendster.com
geocities.com
go.com
goo.ne.jp
google.com
googlesyndication.com
gougou.com
hi5.com
hyves.nl
icq.com
imageshack.us
imagevenue.com
imdb.com
imeem.com
kaixin001.com
kooora.com
linkbucks.com
linkedin.com
live.com
livedoor.com
livejasmin.com
livejournal.com
mail.ru
mapquest.com
mediafire.com
megaclick.com
megaporn.com
megaupload.com
metacafe.com
metroflog.com
miniclip.com
mininova.org
mixi.jp
msn.com
multiply.com
myspace.com
mywebsearch.com
narod.ru
naver.com
nba.com
netflix.com
netlog.com
nicovideo.jp
ning.com
odnoklassniki.ru
orange.fr
partypoker.com
paypopup.com
pconline.com.cn
pcpop.com
perfspot.com
photobucket.com
pogo.com
pornhub.com
rambler.ru
rapidshare.com
rediff.com
reference.com
sakura.ne.jp
seesaa.net
seznam.cz
skyrock.com
sonico.com
soso.com
sourceforge.net
studiverzeichnis.com
tagged.com
taringa.net
terra.com.br
thepiratebay.org
tianya.cn
tinypic.com
torrentz.com
tribalfusion.com
tube8.com
tudou.com
tuenti.com
typepad.com
ucoz.ru
veoh.com
verizon.net
vkontakte.ru
vnexpress.net
wikimedia.org
wikipedia.org
wordpress.com
xhamster.com
xiaonei.com
xnxx.com
xvideos.com
yahoo.co.jp
yahoo.com
yandex.ru
youporn.com
youtube.com
zedo.com
ziddu.com
zshare.net

 

Ochrana voči Confickeru je vcelku jednoduchá. Stačí mať aktualizovaný a legálny operačný systém, aktualizovaný antivírusový program,  zdravý rozum a rozumné správanie sa na internete.

Windows User Group - Slovak RepublicWindows User Group - Slovak Republic Redhawk | utorok 31. marca 2009 10:47 | Prečítané: 12200 x | neohodnotené |
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

 
Windows User Group - Slovak Republic
Šido Miroslav

Šido Miroslav
Windows User Group - Slovak Republicredhawk@mail.cz
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic
moje rubriky:
Windows User Group - Slovak Republic
vyhľadávanie v blogu autora

vyhľadávanie


Imagine Cup 2013


partneri

Computer Networks Laboratory

Počítačová škola GOPAS

OverLOOK Design

partnerské weby

secit

microsoft virtual academy


techNet okienko


sponzori

Microsoft

Počítačová škola GOPAS

Performance

facebook


Windows User Group - Slovak Republic
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

Copyright © 2008 WUG SK
podmienky používania prehlásenie o súkromí

Windows User Group - Slovak Republic domov Windows User Group - Slovak Republic o nás Windows User Group - Slovak Republic podujatia Windows User Group - Slovak Republic odkazy Windows User Group - Slovak Republic informačné kanály Windows User Group - Slovak Republic
Windows User Group - Slovak RepublicPageRank ikona zdarma Valid HTML 4.01 Transitional