Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Conficker.A está diseñado para descargar un falso antimalware detectado como Adware/Antivirus2009 en el ordenador afectado. Para ello, aprovecha una vulnerabilidad en el servicio de servidor de Windows que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.
Metodo de Infección
Conficker.A crea una DLL (Librería de Enlace Dinámico) de nombre aleatorio en el directorio de sistema de Windows.
Conficker.A crea la siguiente entrada en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ netsvcs\ Parameters
ServiceDll = %sysdir%\%nombre aleatorio%.dll
dondee %sysdir% es el directorio de sistema de Windows.
Método de Propagación
Conficker.A se propaga mediante la explotación de la vulnerabilidad denominada MS08-067, que se trata de una vulnerabilidad en el servicio de servidor de Windows. Para ello, realiza el siguiente proceso:
- Se conecta a las siguientes páginas web para obtener direcciones IP:
http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org - Después, escanea las direcciones IP que ha recopilado en busca de ordenadores que tengan en puerto 445 abierto. Se trata del puerto del servicio RPC, que es el componente vulnerable.
- En caso de encontrar alguno, descarga en el ordenador atacado una copia de sí mismo.
Otros Detalles
Conficker.A tiene un tamaño de 62976 Bytes y está comprimido mediante UPX.
Además, intenta descargarse los archivos GEOIP.DAT.GZ y GEOIP.DAT de la siguiente página web:
http://www.maxmind.com
Estos archivos no son maliciosos, sino que se trata de un programa que localiza direcciones IP en el mundo. Conficker.A utiliza este programa para obtener información del punto geográfico de las direcciones IP a las que ataca.