Что такое о вирусах conficker worm

Сегодня столкнулся с вирусом Net-Worm.Win32.Kido или просто Kido.
Когда на одном из серверов остановилась служба Сетевой вход и Сервер и пропал доступ к его расшаренным папкам (такого не было никогда ранее). Мне сразу показалось что-то тут не чисто. Службы были перезапущены и все пошло своим путем. А позже я занялся изучением и поиском виновника. Итак, рассмотрим противника:

Net-Worm.Win32.Kido поражает Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.

I. На сайте Касперского предлагается решение по обнаружению и удалению вирусов семейства Net-Worm.Win32.Kido

Решение:
1. Скачать и установить патч от Microsoft, который закрывает уязвимость MS08-067 ( скачать ).

2. Скачать и запустить утилиту KidoKiller.exe из архива KidoKiller_v3.zip ( скачать )
3. Общая рекоммендация. Не забывать обновлять операционную систему высокоприоритетными обновлениями.

1. Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
MS08-067 ссылка ;
MS08-068 ссылка ;
MS09-001 ссылка ;
2. Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети.
3. Скачать текущую версию утилиты Dr.Web CureIt! ссылка на неинфицированном компьютере, перенести ее на инфицированный и просканировать все диски, тем самым произведя лечение системы.
4. Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.

При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.

Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.

Так же возможно отключение доступа к общим каталогам и прочим сетевым службам.

Добавлено 02.03.09 (для тех у кого не работают сайты касперского и микрософт, файлы для лечения с нашего сервера)
Обновленная утилита лечения от Касперского KidoKiller_v3.3.2.zip
Критическое обновление для Windows XP — WindowsXP-KB958644-x86-RUS.exe

Добавлено 11.03.09
По непроверенным данным kido не трогает машины, на которых установлена украинская раскладка клавиатуры.

Добавлено 01.04.09
Это не первоапрельский прикол, действительно уже появился KidoKiller версии 3.4.3 — KKiller_v3.4.3.zip

Добавлено 09.04.09
Обновилась утилита KidoKiller уже версия 3.4.4 — KKiller_v3.4.4.zip

Сегодня обнаружил такой факт — если запустить кидокиллера с пользовательскими правами (т.е. работая под учетной записью с правами Пользователь), то утилита работает секунд 5-10 и вылетает с ошибкой! (обратите на это внимание и не забывайте!)

Добавлено 14.04.09
Еще признаки kido
1. Создает на съемных носителях (также на сетевых дисках если доступно на запись) файл autorun.inf и файл RECYCLED\\random_name.vmx
2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\sfefs.dll
3. Прописывает себя в сервисах со случайным именем, состоящим из латинских букв, например gfjdsnk.
4. Атакует компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.

Добавлено 16.04.09
Новая версия — KidoKiller 3.4.5 скачать

Добавлено 20.04.09
Нашел утилиту скачать (утилита разработана компанией Positive Technologies)

С помощью этой утилиты системные администраторы смогут быстро и легко выявить уязвимые системы и установить соответствующие исправления. Для корректной работы утилиты на системе должен быть установлен .NET Framework.

Внимание! Утилита работает в режиме тестирования на проникновение, в связи с чем, не имеет возможности обнаружить узлы, зараженные червем Conficker.B, поскольку червь устраняет уязвимость MS08-067. Для проверки зараженных систем необходимо использовать механизмы аудита системы MaxPatrol или XSpider.

После последнего посещения вышеуказанных страниц с заплатками, мне показалось что у Микрософт, что-то наверчено и толком по тем ссылкам скачать не получается, вообщем я нашел у них все что нужно и добавляю информацию тут:

Критическое обновление для системы безопасности (заплатки от уязвимости MS09-001):

Критическое обновление для системы безопасности (заплатки от уязвимости MS08-068):

Критическое обновление для системы безопасности (заплатки от уязвимости MS08-067):

— Windows Server 2003 Rus (SP1, SP2) (KB958644) (MS08-067) — WindowsServer2003-KB958644-x86-RUS.exe

уязвимость описанная в MS08-065
Если у вас Microsoft Windows 2000 с пакетом обновления 4 (SP4), то обратите внимание!

Не подвержено уязвимости:
Windows XP с пакетом обновления 2 (SP2) или 3 (SP3)
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)
….

Была проблема (в самом начале эпопеи) — появилась на одном из сетевых дисков папка RECYCLER (типа корзина), но на самом деле не корзина, а создал ее кидо, сразу было видно кто создал (так как на сервере доступ был с паролями), пользователь был почищен и пропатчен, а вот папка не удалялась. Чтобы ее удалить нужно:

1. Войти в ту папку (лучше с коммандера FreeCommander, Total Commander, только не проводником, чтобы не вдруг не активизировать заразу) найти файл, который был не доступен к удалению даже администратору (там было что-то типа jwgkvsq.vmx), на него нужно добавить полный доступ Администратору, остальные можно удалить и можно сменить владельца на Администратор (это все если вы работаете под Администратором и тогда файл получится удалить.
2. Директории я удалил командами типа
rmdir /s /q «./S-5-3-

Добавлено 22.04.09
Новая версия — утилита для удаления вируса Kido — KidoKiller 3.4.6 скачать

Начиная с версии 3.4.6 в утилиту KK.exe добавлены коды возврата (%errorlevel%):

3 — Были найдены и удалены зловредные потоки (червь был в активном состоянии).
2 — Были найдены и удалены зловредные файлы (червь был в неактивном состоянии).
1 — Были найдены зловредные задания планировщика или перехваты функций (данная машина не заражена, но в этой сети могут находиться зараженные машины — администратору следует обратить на это внимание).
0 — Ничего не было найдено.

Добавлено 05.05.09
Новая версия утилиты для удаления вируса — KidoKiller 3.4.7 скачать

Добавлено 19.05.09

Ключи для запуска утилиты KK.exe из командной строки:

Добавлено 22.10.09
Новая версия утилиты для удаления вируса Kido — KidoKiller 3.4.13 скачать

Добавлено 01.02.2011
Оказывается тема кидо еще актуальна, добавляю последнюю версию
KidoKiller 3.4.14 скачать

Ключи использовании версии KidoKiller 3.4.14
запускаем cmd в каталоге где у нас лежит антикидо или прописываем к нему путь при запуске kk
и выполняем
kk -j -t -a -r -f

подробнее о ключах можно узнать выполнив kk --help

Вычислить не сложно: атрибуты - скрытый, системный, для чтения; безопасность - всем ничего

С атрибутом "скрытый" автор лоханулся. Я не встречал ранее таких в корне system32, глубже - да.

Достаточно упорядочитьпо размеру и в вилке 150-170 кб их сразу видно просто в проводнике.

161547 - именно такого размера файл со всеми включенными аттрибутами под именем eyhcyi.dll, сидел у меня в папочке system32. Удалить его можно, загрузившись с загрузочного диска. Касперский определял, что этот файл заражен вирусом Trojan.Win32.Agent.bcan, успешно его "вылечивал" от вируса (а файл оставался на месте). В итоге ни на один сайт сo словами в имени kaspersky, microsoft, virus, зайти было нельзя. Сам Каспер не обновлялся ,выдавая ошибку обновления DNS.
Удалив eyhcyi.dll, все стало на свои места, обновления проходят успешно. Интернет у меня так называемый "Домашний", vpn подключение и тд и тп. Так вот пока я не подключен - все чикипики, Каспер молчит, как только подключусь. за 1ч25 минут 26 попыток вторжения, Каспером уничтожен файл x, появляющийся в папочке system32, а в Temporary Internet Files постоянно создаются файлы с расширениями jpg, bmp, png, имена этих файлов слепой набор букв, все файлы Каспером определены как вирус Trojan.Win32.Agent.bcan. Пришлось отключить звук, а то Каспер визжал как резанный. Я не пойму откуда такая активность, из сети провайдера?

Буквально на момент написания поста:

10.01.2009 0:56:50 Файл: C:\WINDOWS\System32\x удален

10.01.2009 0:57:01 Файл: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GTQNSHAJ\puol[1].gif обнаружено: троянская программа 'Trojan.Win32.Agent.bcan'

10.01.2009 0:57:01 Файл: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GTQNSHAJ\puol[1].gif удален

10.01.2009 1:00:56 Файл: C:\WINDOWS\System32\x обнаружено: троянская программа 'Trojan.Win32.Agent.bcan'

10.01.2009 1:00:56 Файл: C:\WINDOWS\System32\x удален

10.01.2009 1:01:06 Файл: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\2XPOA6PA\upcrhkyv[1].gif обнаружено: троянская программа Trojan.Win32.Agent.bcan'

10.01.2009 1:01:06 Файл: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\2XPOA6PA\upcrhkyv[1].gif удален

Ну кажись все уже выяснил.
Проходит он в сеть по 445 порту, используя дыры в ОС.
На контролерах размещается в system32 и создает назначенные задания. На рабочих станциях размещается там же и создает ветку в реестре [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ . Сервис только для системы, по-этому поиск в реестре ничего не дает. Хорошо видно в regedt32 от Win2000 - служба отображена другим цветом. Если сам файл повредить то Гиена отображает службу желтым цветом со статусом Starting(!) (кажется так).
Клиенты вначале сканируют сеть, а потом бутят пароль пользователя "АДМИНИСТРАТОР" у других клиентов - видно по журналу событий. На одной из машин стояла родная англ. XP, а подбирался пароль все к той же записи "АДМИНИСТРАТОР" по русски. И о чем это говорит?
Касперский после обновления 8.01.2009 начал определять клиентские вирусы как Kido.ih и Agent.bcan

Цитата
Victor пишет:

Если знаеш что, то способ лечения каждый выберает сам. Но я советую начать с патчей:

и закрыть на вход порт 445.

Цитата
f_s_b_37 пишет: уважаемые товарищи по удаче, просьба поделиться инофрмацией, кто из антивирусников быстрее проснулся.

Первый раз столкнулся с данным червем в прошлом году, а в нынешнем слышу про него уже каждый день. Что честно говоря уже надоело. началась какая-то массовая истерия - всякий сбой в работе компьютера, зависание, запах в кабинете и сыпь на теле - считают проявлением этого червя

от себя добавлю:
SP3 установить религия не позволяет?

сенкс за рекоммендации, но сайт Мелкософта не хочет открываться.
SP3 счас поставлю, если это поможет

А еще говорят, что Windows - дырка для вредоносов. Это юзеры - дырки для них.

О, какая штука Без кавычек результатов больше. Можешь их убрать, еще лучше - больше литературы. Но минимум, в общем-то, там есть.

add
Движок форума обиделся все-таки. Запрос был "ОС в безопасности"

04.01.2009, 22:48

Благодарность от:

04.01.2009, 23:45

05.01.2009, 02:20

Не так давно появился интересный червь, проникающий на компьютер жертвы через уязвимость ОС Windows, которая позволяет злоумышленнику выполнить любой код на атакуемой системе. Интересным свойством является то, что он производит обновление системы, которое закрывает указанную уязвимость. Делается это для того, чтобы таким же способом на компьютер не попали другие вредоносные программы.

При запуске червь создаёт свою копию в директории %SYSTEM% с произвольным именем. После чего проверят, какую операционную систему использует заражённый компьютер. Если это Windows 2000, то внедряет свой код в процесс services.exe. Если же операционная система отлична от указанной, то создаёт службу со следующими характеристиками:

Имя службы: netsvcs
Путь к файлу: %SYSTEM%\svchost.exe -k netsvcs

Создаёт следующий ключ реестра, обеспечивая себе автозапуск при следующей загрузке:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Par ameters\ServiceDll = "%SYSTEM%\ .dll"

В случае успеха, загруженный файл запускается на выполнение.

Червь производит обновление системы, закрывая тем самым описанную выше уязвимость. Делается это для того, чтобы таким же способом в систему не попали другие вредоносные программы.

Рекомендации по удалению

Если ваш компьютер не был защищён антивирусом и оказался заражён данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. Удалить оригинальный файл червя (его расположение на заражённом компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл, созданный троянцем в каталоге:
%SYSTEM%\ .dll
Посмотреть имя файла можно в ключе:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Par ameters\ServiceDll
3. Удалить ветку реестра:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
4. Произвести полную проверку компьютера Антивирусом Касперского с обновлёнными антивирусными базами.

Другие названия: Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)

. НОД с последними обновлениями уже его отлавливает.

куки включены всегда, пользуюсь оперой, толку мало. причина походу в другом.

Добавлено через 5 минут

Иногда бывают причины, по которым приходится отказываться от автоообновления Виндов и надеятся только на антивирусы.
Да и форум у вас называется вроде как "Forum All about Nod32", а не "Forum All about Windows XP".

появился вирус Win32/Conficker.AE Никак немогу его обезвредить. что посоветуете. Нод32 2.7 не помог…

ну тут очень просто да поможет загрузка со ливе сиди, и проверка куриитом.
илиже грохать dgvrcma.dll
присем в систем волуме информейшен тоже

пришли мне копию вируса на почту поиграюсь с ним #

Он создает dll-файл с рандомным именем, так что именно dgvrcma.dll там вряд ли будет.

Перейти на Макинтоши - я серьезно

Цена: 600 руб.

NOD 32 меня подвел(((( - отказался.

Советую от Аваста отказаться ) опять подхватите ) Авира бьет бесплатных конкурентов (хотя я сторонник DrWeb)

боремся просто. отключаем зараженные машины от сети. в целях профилактики отключаем от сети все что можно. накатываем на винду критические обновления. пиши завтра в личку, скажу какие именно. в т.ч. и на серверы
никакие инструменты не помогли найти и обезвредить его на уже зараженной машине, так что снимаем винт и сканируем на чистой машине. говорят что kidokiller помогает - у меня не сработало. Каспер 6 WS находит супостата.

Цена: 1 800 руб.

Значит КидоКиллер не помог? А версия киллера имеет значение? Я версию 3.3.2 скачал что скажете?

ХЗ. kidokiller от Касперского, про свою версию он не сообщает.

Обратите внимание в окне DOS при запуске. Будет написано
Net.Warm.Win32.Kido removing tool, Kaspersky Lab 2009
version 3.*.* ДАТА ВРЕМЯ

Алексей, приветствую! Промолчал-бы, да я сейчас временно пока тоже к Газпрому отношусь - работаю на Волгоградоблгаз (на подчиненный ГРО). Прочтите, пожалуйста, мой ответ автору топика. У меня была Ваша ситуация.

Так странно слышать про проблемы с вирусами. Сижу на убунте )

Цена: 5 000 руб.

Еще бы, пользоваться такой устаревшем антивирусником! Я не удивлюсь если у вас там целый рассадник всяких негативных прог. Выход из положения, нод32 v 3.0. 665 и выше! Также для чистке посоветую cureit от DR.WEB.

Так значит если учетная запись имеет админ права то зараженный компьютер распространяет заразу быстрее? У нас почти все с админ правами работают, и в Интернет часто выходят. вот наверно откуда эта зараза. Спасибо за ответ!

Спасибо за советы! У знакомого услышал что какаието TCP и UDP порты закрыть надо, через которые этот вирус проникает. Есть фиксы выпущенные Майкрософт только для нашей системы None :) (Win XP 2003 SERVER)

P.S. система с Service Pack 2

Цена: 1 000 руб.

если быть кратким, то

включаем виндовский фаервол (делаем исключения на, например радмин или рдп и прочее), потом антикидо, патчим и снова антикидо

Досье на подлого червя!

Имя : Worm:W32/Downadup.AL
Возможные имена при определении : Net-Worm.Win32.Kido, Worm:W32/Downadup.AL
Алиасы : W32/Conficker.worm.gen (Symantec), Worm:Win32/Conficker (Microsoft), Mal/Conficker (Sophos)
Тип: Сетевой червь
Категория: Malware
Платформа: W32

Утилиты для удаления:

F-Downadup
Специальная утилита с эвристической проверкой для поиска различных вариантов червя Downadup:

FSMRT
Общая утилита для определения вируса (размер файла больше):

Внимание: Утилиты работают из командной строки. Пожалуйста, прочтите инструкцию, приложенную в ZIP-файле.

Обновления утилит:

Здесь находятся бета-версии различных дополнительных утилит:

* ftp://ftp.f-secure.com/anti-virus/tools/beta/

Настройки сканирования

Downadup использует множество различных имён, в том числе и случайно сгенерированных, поэтому обязательно используйте режим:

Microsoft Help and Support

В Базе знаний KB962007 содержит информацию для удаления вируса Conficker.B (Downadup) вручную.

Подробная информация о действиях червя:

Сразу после запуска Downadup (Kido, Conflicker) создаёт свои копии в следующих директориях:

* Внимание: [Random] — случайно сгенерированное имя.

Все атрибуты файла о времени создания копируются из файла %System%kernel32.dll. Затем червь создает ключики в реестре, чтобы абсолютно точно запуститься при следующем старте системы.

Червь может создать следующие файлы на жестких дисках, флэшках и картах памяти:

* %DriveLetter%RECYCLERS-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d[…].[3 случайных символа]
* %DriveLetter%autorun.inf

И подцепляется к следующим процессам:

* svchost.exe
* explorer.exe
* services.exe

Червь отключает некоторые системные утилиты и службы, которые могли бы предупредить его активность. В том числе следующие службы Windows:

* Windows Automatic Update Service (wuauserv)
* Background Intelligent Transfer Service (BITS)
* Windows Security Center Service (wscsvc)
* Windows Defender Service (WinDefend)
* Windows Error Reporting Service (ERSvc)
* Windows Error Reporting Service (WerSvc)

В дополнение к отключенным службам он проверяет ОС. Если это оказывается Windows Vista, то червь дополнительно отключает функцию автонастройки TCP/IP, запуская следующую команду:

* netsh interface tcp set global autotuning=disabled

Червь также проверяет использование следующих функций API, чтобы он смог заблокировать доступ к доменам (о них чуть ниже):

* DNS_Query_A
* DNS_Query_UTF8
* DNS_Query_W
* Query_Main
* sendto

Блокирует доступ к доменам, если в состав имени домена входят следующие словосочетания:

* virus
* spyware
* malware
* rootkit
* defender
* microsoft
* symantec
* norton
* mcafee
* trendmicro
* sophos
* panda
* etrust
* networkassociates
* computerassociates
* f-secure
* kaspersky
* jotti
* f-prot
* nod32
* eset
* grisoft
* drweb
* centralcommand
* ahnlab
* esafe
* avast
* avira
* quickheal
* comodo
* clamav
* ewido
* fortinet
* gdata
* hacksoft
* hauri
* ikarus
* k7computing
* norman
* pctools
* prevx
* rising
* securecomputing
* sunbelt
* emsisoft
* arcabit
* cpsecure
* spamhaus
* castlecops
* threatexpert
* wilderssecurity
* windowsupdate
* nai
* ca
* avp
* avg
* vet
* bit9
* sans
* cert

Распостранение (размножение):

Для возможности быстрого распостранения по сети, Downadup меняет некоторые ключи реестра:

Червь использует данный драйвер, чтобы ускорить свое размножение, меняя кол-во одновременных открытых соединений на 0x10000000(268435456) с помощью функции, которая находится в %System%driverstcpip.sys.

Далее Downadup проверяет наличие подходящего для заражения в сети компьютера с помощью NetServerEnum, а затем пытается войти на любой найденный компьютер следующими способами:

1. Используя настоящую учетную запись на зараженном ПК. Если данная запись не имеет достаточно прав, этот способ не проходит.
2. Получая имена пользователей с целевого компьютера через NetUserEnum API, Downadup пытается попасть на ПК используя данный перечень паролей:

o [username]
o [username][username]
o [reverse_of_username]
o 00000
o 0000000
o 00000000
o 0987654321
o 11111
o 111111
o 1111111
o 11111111
o 123123
o 12321
o 123321
o 12345
o 123456
o 1234567
o 12345678
o 123456789
o 1234567890
o 1234abcd
o 1234qwer
o 123abc
o 123asd
o 123qwe
o 1q2w3e
o 22222
o 222222
o 2222222
o 22222222
o 33333
o 333333
o 3333333
o 33333333
o 44444
o 444444
o 4444444
o 44444444
o 54321
o 55555
o 555555
o 5555555
o 55555555
o 654321
o 66666
o 666666
o 6666666
o 66666666
o 7654321
o 77777
o 777777
o 7777777
o 77777777
o 87654321
o 88888
o 888888
o 8888888
o 88888888
o 987654321
o 99999
o 999999
o 9999999
o 99999999
o a1b2c3
o aaaaa
o abc123
o academia
o access
o account
o Admin
o admin
o admin1
o admin12
o admin123
o adminadmin
o administrator
o anything
o asddsa
o asdfgh
o asdsa
o asdzxc
o backup
o boss123
o business
o campus
o changeme
o cluster
o codename
o codeword
o coffee
o computer
o controller
o cookie
o customer
o database
o default
o desktop
o domain
o example
o exchange
o explorer
o files
o foobar
o foofoo
o forever
o freedom
o games
o home123
o ihavenopass
o Internet
o internet
o intranet
o killer
o letitbe
o letmein
o Login
o login
o lotus
o love123
o manager
o market
o money
o monitor
o mypass
o mypassword
o mypc123
o nimda
o nobody
o nopass
o nopassword
o nothing
o office
o oracle
o owner
o pass1
o pass12
o pass123
o passwd
o Password
o password
o password1
o password12
o password123
o private
o public
o pw123
o q1w2e3
o qazwsx
o qazwsxedc
o qqqqq
o qwe123
o qweasd
o qweasdzxc
o qweewq
o qwerty
o qwewq
o root123
o rootroot
o sample
o secret
o secure
o security
o server
o shadow
o share
o student
o super
o superuser
o supervisor
o system
o temp123
o temporary
o temptemp
o test123
o testtest
o unknown
o windows
o work123
o xxxxx
o zxccxz
o zxcvb
o zxcvbn
o zxcxz
o zzzzz

Если червю удается проникнуть через сеть. он тут же создает свою копию в следующих папках:

* [Server Host Name]ADMIN$System32[random filename].[random extension]

Затем использует планировщик задач на удаленном сервере. чтобы запустить следующую команду:

* rundll32.exe [random filename].[random extension], [random]

Downadup также распостраняется, используя критическую уязвимость MS08-067. Для этого он подключается к одному из следующих серверов. чтобы получить %ExternalIPAddress%:

Затем он создает HTTP-сервер, используя рандомный порт:

Создание данного сервера позволяет червю посылать специальные пакеты данных (эксплоит) с инфицированной машины на другие. Если эксплоит успешно выполнился, целевая машина загрузит копию вируса с инфицированной.

Загруженный malware может иметь следующие типы расширений:

Затем он отключает NetpwPathCanonicalize API. чтобы предотвратить последующее использование уязвимости.

Самообновление

Downadup может загружать файлы на инфицированную систему с Интернета. Сначала он подключается к одному из следующих серверов для получения текущей системной даты:

Если дата, как минимум, 1 January 2009 он загружает файлы с:

Загруженные файлы имеют такой формат:

Downadup удаляет множество ключей реестра, чтобы отключить Security Center Notifications и предовратить возможный запуск из автозагрузки службы Windows Defender. В обход брандмауэра он создает следуюobt ключи, чтобы дать системе возможность загружать копии червя.

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue = dword:00000000
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, netsvcs = %Previous data% and %Random%

Во время заражения Downadup может создавать временные файлы (.TMP) системных директориях или в папках, специально предназначенных для хранения временных файлов.:

Как только ключ создан, временный файл %MalwarePath%[random].tmp будет удалён.

Также червь модифицирует параметры реестра, создавая липовые службы, следующим образом:

В этих записях, %ServiceName% состоит из комбинации двух слов, взятых с данного списка:

* Boot
* Center
* Config
* Driver
* Helper
* Image
* Installer
* Manager
* Microsoft
* Monitor
* Network
* Security
* Server
* Shell
* Support
* System
* Task
* Time
* Universal
* Update
* Windows

___
Информация взята с официального сайта F-Secure и переведена с английского автором блога..

Читайте также: