Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Conficker.C

PeligrosidadPeligrosidad altaDañoDañinoPropagaciónMedianamente extendido

Efectos 

Conficker.C está diseñado para propagarse explotando una vulnerabilidad en el servicio de servidor de Windows que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08- 067.

Además, Conficker.C realiza las siguientes acciones:

  • Comprueba la fecha del sistema en las siguientes direcciones web:
    Ask.com
    Google.com
    Baidu.com
    Yahoo.com
    W3.org
    y si ésta es posterior al 1 de enero de 2009, intentará conectarse a una página web para descargar un archivo ejecutable malicioso. La página web a la que se conecta variará en función de la fecha del sistema.
  • Deshabilita los siguientes servicios:
    - Windows update, con lo que deshabilita las actualizaciones de Windows.
    - BITS (Background Intelligent Transfer Service), que es un servicio para transferir archivos de Windows.
    - Error reporting service, que permite enviar información a Microsoft sobre errores del sistema operativo, componentes de Windows y programas.
  • Impide que tanto el usuario como el ordenador puedan conectarse a las páginas web que contengan las siguientes cadenas de texto:
    ahnlab
    arcabit
    avast
    avg
    avira
    avp
    bit9
    ca
    castlecops
    centralcommand
    cert
    clamav
    comodo
    computerassociates
    cpsecure
    defender
    drweb
    emsisoft
    esafe
    eset
    etrust
    ewido
    fortinet
    f-prot
    f-secure
    gdata
    grisoft
    hacksoft
    hauri
    ikarus
    jotti
    k7computing
    kaspersky
    malware
    mcafee
    microsoft
    nai
    networkassociates
    nod32
    norman
    norton
    panda
    pctools
    prevx
    quickheal
    rising
    rootkit
    sans
    securecomputing
    sophos
    spamhaus
    spyware
    sunbelt
    symantec
    threatexpert
    trendmicro
    vet
    virus
    wilderssecurity
    windowsupdate
    Se trata de páginas web de seguridad, por lo que impediría tanto la actualización de los programas antivirus como el acceso a la información de dichas páginas.
  • Modifica las políticas de seguridad de las cuentas de usuario. Para conseguir acceder a las cuentas de usuario, emplea las siguientes contraseñas débiles:
    0123456789
    00000, 0000000, 00000000, 0987654321, 11111, 111111, 1111111, 11111111, 123123, 12321, 123321, 12345, 123456, 1234567, 12345678, 123456789, 1234567890, 1234abcd, 1234qwer, 123abc, 123asd, 123qwe, 1q2w3e, 22222, 222222, 2222222, 22222222, 33333, 333333, 3333333, 33333333, 44444, 444444, 4444444, 44444444, 54321, 55555, 555555, 5555555, 55555555, 654321, 66666, 666666, 6666666, 66666666, 7654321, 77777, 777777, 7777777, 77777777, 87654321, 88888, 888888, 8888888, 88888888, 987654321, 99999, 999999, 9999999, 99999999.
    A
    a1b2c3, aaaaa, abc123, academia, access, account, Admin, admin, admin1, admin12, admin123, adminadmin, administrator, anything, asddsa, asdfgh, asdsa, asdzxc.

    B
    backup, boss123, business.

    C
    campus, changeme, cluster, codename, codeword, coffee, computer, controller, cookie, customer.

    D
    database, default, desktop, domain.

    E
    example, exchange, explorer.

    F
    files, foobar, foofoo, forever, freedom.

    G
    games.

    H
    home123.

    I
    ihavenopass, Internet, internet, intranet.

    K
    killer.

    L
    letitbe, letmein, Login, login, lotus, love123.

    M
    manager, market, money, monitor, mypass, mypassword, mypc123.

    N
    nimda, nobody, nopass, nopassword, nothing.

    O
    office, oracle, owner.

    P
    pass1, pass12, pass123, passwd, Password, password, password1, password12, password123, private, public, pw123.

    Q
    q1w2e3, qazwsx, qazwsxedc, qqqqq, qwe123, qweasd, qweasdzxc, qweewq, qwerty, qwewq.

    R
    root123, rootroot.

    S
    sample, secret, secure, security, server, shadow, share, student, super, superuser, supervisor, system.

    T
    temp123, temporary, temptemp, test123, testtest.

    U
    unknown.

    W
    windows, work123.

    X
    xxxxx.

    Z
    zxccxz, zxcvb, zxcvbn, zxcxz, zzzzz.

Metodo de Infección 

Conficker.C crea una DLL de nombre aleatorio en el directorio de sistema de Windows. Este archivo lo crea con atributos de sistema, solo lectura y oculto.

También crea un archivo de nombre aleatorio y extensión VMX en la carpeta RECYCLER\%nombre aleatorio%de todas las unidades compartidas y extraíbles del ordenador. Este archivo lo crea con atributos de sistema, sólo lectura y oculto. Además, crea un archivo AUTORUN.INF en dichas unidades. De esta manera, consigue ejecutarse cada vez que se accede a alguna de ellas.

Por otra parte, crea una tarea programada en la carpeta Tasks del directorio de Windows para iniciar su ejecución cada cierto tiempo.

 

Conficker.C crea las siguientes entradas en el Registro de Windows:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    %nombre aleatorio% = rundll32.exe %letra unidad%\RECYCLER\%nombre aleatorio%\%nombre de archivo aleatorio.vmx
    Mediante esta entrada, Conficker.C consigue ejecutarse cada vez que Windows se inicia.
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    TcpNumConnections = 0x00FFFFFE
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
    Services\netsvcs
    Image Path = %sysdir%\svchost.exe -k netsvcs
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
    Services\netsvcs\Parameters
    ServiceDll = %letra unidad%\RECYCLER\%nombre aleatorio%\%nombre de archivo aleatorio%.vmx
    Mediante estas dos entradas, consigue registrarse como servicio.

 

Conficker.C modifica las siguientes entradas del Registro de Windows para ocultar su presencia y dificultar su detección:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
    CheckedValue = 1
    Cambia esta entrada por:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
    CheckedValue = 0
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    SuperHidden = 1
    Cambia esta entrada por:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    SuperHidden = 0
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    Hidden = 1
    Cambia esta entrada por:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    Hidden = 0
    Oculta los archivos y carpetas con atributo de oculto.

Método de Propagación 

Conficker.C se propaga mediante la explotación de la vulnerabilidad denominada MS08-067, que se trata de una vulnerabilidad en el servicio de servidor de Windows. Para ello, envía peticiones de RPC especialmente diseñadas a otros ordenadores. Si alguno de ellos es vulnerable, descargará una copia de sí mismo en el sistema.

Ademas, Conficker.C también se propaga a través de las unidades del sistema, tanto compartidas como extraíbles, realizando copias de sí mismo en ellas. A su vez, crea un archivo AUTORUN.INF para conseguir ejecutarse cada vez que se accede a alguna de ellas.

Otros Detalles  

Conficker.C tiene un tamaño de 167765 Bytes.