Worm:W32/Downadup.AL

Downadup là một loại mã độc rất nguy hiểm và là một trong những loại sâu có khả năng sinh sản mạnh mẽ nhất trong nhiều năm qua.

Mô tả
Downadup còn được biết đến với tên gọi là Conficker hay Kido là một chương trình độc hại nhắm tới các hệ điều hành Microsoft Windows. Chúng sử dụng máy tính và hệ thống mạng để thực hiện lây nhiễm.
Thông tin chi tiết
Khi thi hành W32/Downadup.AL tạo bản sao chính nó trong:

• %System%\[Random].dll

• %Program Files%\Internet Explorer\[Random].dll

• %Program Files%\Movie Maker\[Random].dll

• %All Users Application Data%\[Random].dll

• %Temp%\[Random].dll

• %System%\[Random].tmp

• %Temp%\[Random].tmp

Virus này sẽ tạo khóa Autorun trong registry, đảm bảo trong đó sẽ luôn có một bản sao được thực thi khi hệ thống khởi động tất cả các ứng dụng.

W32/Downadup.AL có thể tạo ra những file trên thiết bị cắm rời hoặc ổ map • %DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3 random characters]
• %DriveLetter%\autorun.inf

Và đinh nó vào các tiến trình:

• svchost.exe

• explorer.exe • explorer.exe

• services.exe • services.exe

Vô hiệu hóa một số dịch vụ tính năng trong windows:

• Windows Automatic Update Service (wuauserv)

• Background Intelligent Transfer Service (BITS)

• Windows Security Center Service (wscsvc)

• Windows Defender Service (WinDefend)

• Windows Error Reporting Service (ERSvc)

• Windows Error Reporting Service (WerSvc)

W32/Downadup.AL chặn không cho người dùng truy cập vào những trang web của các hãng bảo mật và gây nghẽn mạng nội bộ.

Cách thức lây nhiễm

- Bước đầu tiên chúng sửa đổi trong registry điều đó sẽ làm cho chúng có thể lây lan nhanh chóng qua mạng

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = dword:0x00FFFFFE

- Sử dụng trình điều khiển để tăng tốc độ lây nhiễm.

- Khai thác lỗ hỏng trong dịch vụ server của máy tính chạy Windows, các máy tính bị nhiễm sẽ gửi yêu cầu được che chắn thông tin qua gọi thủ tục từ xa để gây ra tràn bộ đệm và thực thi dòng mã lệnh trên máy tính đích.

Sử dụng các thông tin hiện tại của tài khoản bị nhiễm bệnh

Thu hút các danh sách tên người dùng từ các máy tính nạn nhân, sau đó cố gắng đăng nhập vào máy tính nạn nhân bằng cách sử dụng tài khoản người dùng hiện có.

Khi W32/Downadup.AL truy cập thành công vào mạng chia sẻ, nó sẽ tạo ra một bản sao của chính nó và thực hiện việc chia sẻ dữ liệu với quyền admin.

Virus này khai thác lỗ hổng MS08-067 để lây nhiễm vào các máy tính chưa được cập nhật bản vá lỗi.

Chúng tạo một máy chủ HTTP trên một cổng ngẫu nhiên, mã dòng lệnh đích sẽ kết nối ngược lại với máy chủ này để tải một bản sao của sâu này dưới dạng DLL.

[You must be registered and logged in to see this link.]

Tại đây chúng cho phép các phần mềm độc hại gửi các gói tin tặc biệt từ các máy tính bị nhiễm tới các máy khác.

Tải về

Downadup có khả năng tải lên các tập tin hệ thống bị nhiễm. Đầu tiên, chúng kết nối vào

• ask.com

• baidu.com

• google.com

• w3.org

• yahoo.com

Sau đó chúng tạo ra một loạt các danh sách mà các phần mềm mã độc có thể tải về các tập tin bổ sung

Registry

W32/Downadup.AL xóa một số key trong registry, tắt các thông báo từ trung tâm bảo mật, bỏ qua firewall.

Để ẩn bản thân trong hệ thống, chúng xáo bất cứ các hệ thống khôi phục được tạo ra bởi người dùng, sau đó chỉnh sửa

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue = dword:00000000

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, netsvcs = %Previous data% and %Random%

Chúng tạo ra những file tạm trong thư mục Temp.

Worm:W32/Downadup.AL

Worm:W32/Downadup.AL

Worm:W32/Downadup.AL :: Comments