Hello!

You’re about to visit our web page in Español
Would you like to continue?

Yes, I want to visit the web page in Español No, I want to visit the web page in

If this is not what you’re looking for,

Visit our Welcome Page!

Panda Security

¡Feliz Navidad!

Esta oferta termina en:

0 0

Horas

0 0

Minutos

0 0

Segundos

-60%

Oferta Especial: Renueva con un 60% de descuento

¿Has olvidado tu identificador de cliente? Haz clic aquí

-60%
Panda Security

¡Feliz Navidad!

-50% en toda la gama Panda Dome

-50%
Comprar
Mi cuenta

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Conficker.C

PeligrosidadPeligrosidad alta
DañoDañino
PropagaciónMedianamente extendido

De un vistazo

Nombre común:Conficker.C
Nombre técnico:W32/Conficker.C.worm
Peligrosidad:Alta
Alias:WORM_DOWNAD.AD,W32.Downadup,Net-Worm.Win32.Kido.cn,
Tipo:Gusano
Efectos:  

Aprovecha la vulnerabilidad MS08-067 en el servicio de servidor de Windows para propagarse. También se propaga a través de unidades compartidas y extraíbles. Reduce notablemente el nivel de protección del ordenador, modifica las políticas de seguridad de las cuentas de usuario e intenta descargar más malware en el ordenador afectado.

Plataformas que infecta:

Windows 2003/XP/2000/NT/ME/98/95

Fecha de detección:31/12/2008
Detección actualizada:18/06/2010
EstadísticasNo
Protección proactiva:
Sí, mediante las Tecnologías TruPrevent

Descripción Breve 

    

Conficker.C es un gusano que aprovecha una vulnerabilidad en el servicio de servidor de Windows y que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.

Si la fecha del sistema es mayor que el 1 de enero de 2009, intenta conectarse a cierta página web para descargar y ejecutar otro tipo de malware en el ordenador afectado.

Por una parte, reduce considerablemente el nivel de protección del ordenador, ya que impide que tanto el usuario como el ordenador puedan conectarse a numerosas páginas web relacionadas con programas antivirus.

Por otra, utiliza contraseñas débiles para acceder a las cuentas de usuario del ordenador afectado y así modificar sus políticas de seguridad.

Conficker.C se propaga explotando la vulnerabilidad MS08-067. Para ello, envía peticiones RPC especialmente diseñadas a otros ordenadores en los que intenta introducir una copia de sí mismo. Además, se propaga a través de unidades compartidas y extraíbles.

 

Es recomendable descargar e instalar el parche de seguridad para la vulnerabilidad MS08-067. Acceda a la página web de descarga de este parche.

Síntomas Visibles

    

Conficker.C es difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que alerten sobre su presencia.

>

Detalles técnicos

Efectos

Conficker.C está diseñado para propagarse explotando una vulnerabilidad en el servicio de servidor de Windows que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08- 067.

Además, Conficker.C realiza las siguientes acciones:

  • Comprueba la fecha del sistema en las siguientes direcciones web:
    Ask.com
    Google.com
    Baidu.com
    Yahoo.com
    W3.org
    y si ésta es posterior al 1 de enero de 2009, intentará conectarse a una página web para descargar un archivo ejecutable malicioso. La página web a la que se conecta variará en función de la fecha del sistema.
  • Deshabilita los siguientes servicios:
    - Windows update, con lo que deshabilita las actualizaciones de Windows.
    - BITS (Background Intelligent Transfer Service), que es un servicio para transferir archivos de Windows.
    - Error reporting service, que permite enviar información a Microsoft sobre errores del sistema operativo, componentes de Windows y programas.
  • Impide que tanto el usuario como el ordenador puedan conectarse a las páginas web que contengan las siguientes cadenas de texto:
    ahnlab
    arcabit
    avast
    avg
    avira
    avp
    bit9
    ca
    castlecops
    centralcommand
    cert
    clamav
    comodo
    computerassociates
    cpsecure
    defender
    drweb
    emsisoft
    esafe
    eset
    etrust
    ewido
    fortinet
    f-prot
    f-secure
    gdata
    grisoft
    hacksoft
    hauri
    ikarus
    jotti
    k7computing
    kaspersky
    malware
    mcafee
    microsoft
    nai
    networkassociates
    nod32
    norman
    norton
    panda
    pctools
    prevx
    quickheal
    rising
    rootkit
    sans
    securecomputing
    sophos
    spamhaus
    spyware
    sunbelt
    symantec
    threatexpert
    trendmicro
    vet
    virus
    wilderssecurity
    windowsupdate
    Se trata de páginas web de seguridad, por lo que impediría tanto la actualización de los programas antivirus como el acceso a la información de dichas páginas.
  • Modifica las políticas de seguridad de las cuentas de usuario. Para conseguir acceder a las cuentas de usuario, emplea las siguientes contraseñas débiles:
    0123456789
    00000, 0000000, 00000000, 0987654321, 11111, 111111, 1111111, 11111111, 123123, 12321, 123321, 12345, 123456, 1234567, 12345678, 123456789, 1234567890, 1234abcd, 1234qwer, 123abc, 123asd, 123qwe, 1q2w3e, 22222, 222222, 2222222, 22222222, 33333, 333333, 3333333, 33333333, 44444, 444444, 4444444, 44444444, 54321, 55555, 555555, 5555555, 55555555, 654321, 66666, 666666, 6666666, 66666666, 7654321, 77777, 777777, 7777777, 77777777, 87654321, 88888, 888888, 8888888, 88888888, 987654321, 99999, 999999, 9999999, 99999999.
    A
    a1b2c3, aaaaa, abc123, academia, access, account, Admin, admin, admin1, admin12, admin123, adminadmin, administrator, anything, asddsa, asdfgh, asdsa, asdzxc.

    B
    backup, boss123, business.

    C
    campus, changeme, cluster, codename, codeword, coffee, computer, controller, cookie, customer.

    D
    database, default, desktop, domain.

    E
    example, exchange, explorer.

    F
    files, foobar, foofoo, forever, freedom.

    G
    games.

    H
    home123.

    I
    ihavenopass, Internet, internet, intranet.

    K
    killer.

    L
    letitbe, letmein, Login, login, lotus, love123.

    M
    manager, market, money, monitor, mypass, mypassword, mypc123.

    N
    nimda, nobody, nopass, nopassword, nothing.

    O
    office, oracle, owner.

    P
    pass1, pass12, pass123, passwd, Password, password, password1, password12, password123, private, public, pw123.

    Q
    q1w2e3, qazwsx, qazwsxedc, qqqqq, qwe123, qweasd, qweasdzxc, qweewq, qwerty, qwewq.

    R
    root123, rootroot.

    S
    sample, secret, secure, security, server, shadow, share, student, super, superuser, supervisor, system.

    T
    temp123, temporary, temptemp, test123, testtest.

    U
    unknown.

    W
    windows, work123.

    X
    xxxxx.

    Z
    zxccxz, zxcvb, zxcvbn, zxcxz, zzzzz.

Metodo de Infección

Conficker.C crea una DLL de nombre aleatorio en el directorio de sistema de Windows. Este archivo lo crea con atributos de sistema, solo lectura y oculto.

También crea un archivo de nombre aleatorio y extensión VMX en la carpeta RECYCLER\%nombre aleatorio%de todas las unidades compartidas y extraíbles del ordenador. Este archivo lo crea con atributos de sistema, sólo lectura y oculto. Además, crea un archivo AUTORUN.INF en dichas unidades. De esta manera, consigue ejecutarse cada vez que se accede a alguna de ellas.

Por otra parte, crea una tarea programada en la carpeta Tasks del directorio de Windows para iniciar su ejecución cada cierto tiempo.

 

Conficker.C crea las siguientes entradas en el Registro de Windows:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    %nombre aleatorio% = rundll32.exe %letra unidad%\RECYCLER\%nombre aleatorio%\%nombre de archivo aleatorio.vmx
    Mediante esta entrada, Conficker.C consigue ejecutarse cada vez que Windows se inicia.
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    TcpNumConnections = 0x00FFFFFE
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
    Services\netsvcs
    Image Path = %sysdir%\svchost.exe -k netsvcs
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
    Services\netsvcs\Parameters
    ServiceDll = %letra unidad%\RECYCLER\%nombre aleatorio%\%nombre de archivo aleatorio%.vmx
    Mediante estas dos entradas, consigue registrarse como servicio.

 

Conficker.C modifica las siguientes entradas del Registro de Windows para ocultar su presencia y dificultar su detección:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
    CheckedValue = 1
    Cambia esta entrada por:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
    CheckedValue = 0
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    SuperHidden = 1
    Cambia esta entrada por:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    SuperHidden = 0
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    Hidden = 1
    Cambia esta entrada por:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    Hidden = 0
    Oculta los archivos y carpetas con atributo de oculto.

Método de Propagación

Conficker.C se propaga mediante la explotación de la vulnerabilidad denominada MS08-067, que se trata de una vulnerabilidad en el servicio de servidor de Windows. Para ello, envía peticiones de RPC especialmente diseñadas a otros ordenadores. Si alguno de ellos es vulnerable, descargará una copia de sí mismo en el sistema.

Ademas, Conficker.C también se propaga a través de las unidades del sistema, tanto compartidas como extraíbles, realizando copias de sí mismo en ellas. A su vez, crea un archivo AUTORUN.INF para conseguir ejecutarse cada vez que se accede a alguna de ellas.

Otros Detalles

Conficker.C tiene un tamaño de 167765 Bytes.

Solución

Ver solución

Anytech logo

Llámanos las 24 horas del día y te haremos un diagnóstico gratuito

+1 (323) 395 2630

logo
Con Panda Security, parte de la familia WatchGuard, tienes lo más avanzado para proteger a tu familia y tu negocio. Panda Dome te ofrece la máxima seguridad contra virus, ransomware y espionaje informático para Windows, Mac, Android e iOS.
    Acerca de Panda
    Conócenos Opiniones Premios y Certificaciones Panda Security en el mundo Blog Security Info
    Particulares
    Gama de productos Panda Dome Página de Cliente Antivirus Online Descargas Free Antivirus Free VPN Ofertas
    Empresas - Watchguard Technologies
    Watchguard Endpoint Security Network Security Authpoint MFA Secure Wi-Fi Partners
    Visa Master Card Maestro Pay Pal Apple Pay
    Bank Transfer iDeal Klarna
    Política de privacidad Aviso legal Política de cookies Política de devolución