http://www.bitdefender.com/site/Downloads/downloadFile/1584/FreeRemovalTool
El tiempo de espera de conexión al intentar acceder a varios sitios web relacionados con antivirus.
Windows Update se ha deshabilitado.
Presencia de los archivos autorun.inf en la raíz de una unidad asignada que apunta a un archivo. Dll dentro de la carpeta RECYCLER de la unidad.
DESCRIPCIÓN TÉCNICA:
Win32.Worm.Downadup es un gusano que se basa en el Servicio de Microsoft Windows Server RPC manipulación vulnerabilidad de ejecución remota de código (MS08-67) con el fin de difundir en otros ordenadores en la red local. Los autores tuvieron diferentes enfoques para hacer de este malware especialmente rápida propagación y difícil de eliminar.
Este malware siempre viene envuelto en una capa obfuscated que tiene por objeto disuadir a análisis. La capa puede estar en dos sabores, ya sea embalado con UPX o no envasados, pero siempre es ofuscado y usos diversos apis rara vez se utiliza para romper emuladores. La verdadera figura dentro de los programas maliciosos en una forma encriptada. Que está lleno de un UPX versión estándar, sino para disuadir a los desempaquetando nunca es escrito en el disco y no tiene el PE de cabecera que le hace aparecer como un inválido ejecutable. Esto tiene el efecto secundario de ser indetectable cuando se inyecta en otro proceso, sólo se ve como estándar memoria asignada página.
Un ordenador puede ser infectado por tres medios posibles:
* Si no parcheadas con las últimas actualizaciones de seguridad (en este caso, si la vulnerabilidad MS08-67 no es parcheado), ya por un equipo infectado en la red local
* Si la cuenta del administrador de la computadora tiene una contraseña débil (la fuerza bruta ataque de diccionario contra la contraseña del administrador se utiliza)
* Si el equipo tiene la función automática activada y asignada una infectados / unidad extraíble palo se adjunta.
Una vez adquirida la ejecución de este gusano hace las siguientes acciones:
* NtQueryInformationProcess ganchos de ntdll.dll dentro del proceso en ejecución
* Crea un objeto mutex llamado basado en el nombre del equipo
* Intself inyecta en uno de los siguientes procesos:
* Explorer.exe
* Svchost.exe
* Usa la siguiente clave de registro para ocultar los archivos ocultos con los atributos:
* HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ carpeta \ ocultos \ showall \ “CheckedValue” = “0″
* Ejecuta el siguiente comando, que desactiva automáticamente la sintonización (detallado) opción en Windows Vista:
* Netsh interface tcp conjunto mundial autotuninglevel = discapacitados
* Copias de sí mismo en uno o más de los siguientes lugares:
*%% Archivos de programa \ Internet Explorer \ [nombre al azar]. Dll
*%% Archivos de programa \ Movie Maker \ [nombre al azar]. Dll
*%% Documents and Settings \ All Users \ Datos de programa \ [nombre al azar]. Dll
*% Temp% \ [nombre al azar]. Dll
*%% System32 \ [nombre al azar]. Dll
* Si residen en services.exe aplicación (Win2K) que los ganchos en las siguientes apis:
* NetpwPathCanonicalize de NetApi32.DLL - esta API se utiliza para evitar la reinfección de la máquina local de otros equipos infectados
* SendTo de ws2_dll.dll
* Svchost.exe si residen en ella los siguientes ganchos apis
* NetpwPathCanonicalize de NetApi32.DLL - esta API se utiliza para evitar la reinfección de la máquina local de otros equipos infectados
* DnsQuery_A, DnsQuery_W, DnsQuery_UTF8, Query_Main de Dnsapi.dll - apis se esta conectado a restringir el acceso a diversos sitios relacionados con compañías antivirus.
* Establece el número máximo de conexiones simultáneas permitidas por una de las siguientes
* Parches Tcpip.sys conductor, utilizando un controlador que cae en sí misma (que figura en una forma no cifrada)
* Establecimiento de HKLM \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ “TcpNumConnections” a “00FFFFFE”
* Inyecta en services.exe (Win2K)
* Se establecen las siguientes claves del Registro (si no están ya establecidos), probablemente como un marcador de infección:
* HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Applets \ “dl” = “0″
* HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Applets \ “dl” = “0″
* HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Applets \ “ds” = “0″
* HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Applets \ “ds” = “0″
* Discapacitados los siguientes servicios de Windows:
* Servicio de transferencia inteligente en segundo plano (BITS)
* Automáticas de Windows Update Service (wuauserv)
* Establece la siguiente clave de registro para ocultar archivos con atributo oculto:
* HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ carpeta \ ocultos \ showall \ “CheckedValue” = “0″
* Enumera todos los ADMIN $ recursos compartidos de red e intenta conectarse como un usuario existente mediante una lista de contraseñas débiles (básicamente, hacer un ataque de diccionario en la contraseñas de usuario). Ejemplos de contraseñas de los disponibles:
* El mundo académico
* Acceso
* Cuenta
* Administración
* Administrador
* Admin1
* Admin12
* Admin123
* Adminadmin
* Administrador
* Nada
* Asddsa
* Asdfgh
* Asdsa
* Asdzxc
* Copia de seguridad
* Boss123
Si este ataque tiene éxito, se copia en el directorio compartido:
* Sharename \ ADMIN $ \ System32 \ [nombre al azar]. Dll
Para asegurarse de que el archivo se ejecuta crea un trabajo programado en el servidor atacado, que es ejecutar todos los días. El trabajo es así:
* Rundll32.exe [nombre al azar]. Dll, [cadena aleatoria]
* Se conecta a la siguiente URL para obtener la dirección de la máquina infectada
* Http://www.getmyip.org
* Http://www.whatsmyipaddress.com
* Http://getmyip.co.uk
* Http://checkip.dyndns.org
Esta dirección IP, junto con un número de puerto aleatorio, se utiliza para crear un servidor HTTP que es utilizado por el gusano para infectar utilizando la vulnerabilidad MS08-67. Los equipos infectados que conectan a esa ip y el puerto serán explotados y obligados a descargar una copia de los programas maliciosos ocultos con un nombre aleatorio y con una de las siguientes extensiones:
* Png
* Bmp
Jpg *
* Gif
* Supervisa remotas y unidades extraíbles para la infección mediante la función automática:
* Una copia del archivo se coloca dentro de una carpeta al azar (creado por el malware):: \ RECYCLER \ S-% d-% d-% d-% d% d% d-% d% d% d-% d % d% d-% d \ [nombre al azar]. dll
* Obfuscated un archivo autorun.inf se genera utilizado para poner en marcha el programa viral por encima de la ubicación. El archivo está ofuscado por la adición de comentarios al azar, aleatorio con extensión.
* Uso de la API de Dnsapi.dll enganchado niega (error el tiempo de espera) el acceso a sitios que contengan una de las siguientes cadenas:
* Virus
* Spyware
* Malware
* Rootkit
* Defensor
* Microsoft
* Symantec
* Norton
* Mcafee
* TrendMicro
* Sophos
* Panda
* ETrust
* Networkassociates
* Computerassociates
* F-Secure
* Kaspersky
* Jotti
* F-prot
* Nod32
* Eset
* Grisoft
* DrWeb
* Centralcommand
* AhnLab
* ESafe
* Avast
* Avira
* Quickheal
* Comodo
* Clamav
* Ewido
* Fortinet
* GData
* Hacksoft
* Hauri
* Ikarus
* K7computing
* Norman
* Pctools
* Prevx
* El aumento de
* Securecomputing
* Sunbelt
* Emsisoft
* Arcabit
* Cpsecure
* Spamhaus
* Castlecops
* Threatexpert
* Wilderssecurity
* WindowsUpdate
* Nai.
* Ca.
* Avp.
* Promedio.
* Veterinario.
* Bit9.
* Sans.
* Cert.
* Se conecta a uno de los siguientes sitios para obtener la fecha actual (día y mes) (HTTP_QUERY_DATE)
* W3.org
* Ask.com
* Yahoo.com
* Google.com
* Baidu.com
* Utilizar la información obtenida en el paso anterior genera una lista de posibles sitios de actualización con este formato:
* Http:// [Fecha Base Nombre]. [Aleatorio Dominio] / search? Q =% d
* Nombre de dominio puede ser:
*. Biz
*. Información
*. Org
*. Netos
*. Com
*. Se
*. Cn
*. Cc
* Ejemplos de dominios generados para el 9 de enero 2009
* Opphlfoak.info
* Mphtfrxs.net
* Hcweu.org
* Tpiesl.info
* Bmqyp.com
* Aqnjou.info
* Kxxprzab.net
* Gjbueqbdb.com
* Qkccgprsp.net
* Yjxraefn.org
* Civmakjl.net
* Ygmjyyzbj.info
* Ulptholvr.org
* Dqyusn.info
* Gsvfy.org
* Sjdvt.net
* Tizkywcd.com
* Bkqxwccwseo.org
* Bmrmgxv.com
* Xlkfp.org
* Pvfesejm.com
Estos dominios contienen probablemente la mayoría de las actualizaciones del gusano u otro software malicioso relacionado con ello.
* En los últimos variantes se ha añadido una funcionalidad que permite la actualización del gusano para ser descargados o de otra carga útil por medio de la conexión remota a otros equipos. El mecanismo se basa en un bi-direccional tubería con nombre (en cada equipo una tubería con nombre se crea con el nombre de “\ \. \ Pipe \ System_ [nombreDeEquipo] 7″) que se utiliza para la comunicación entre dos equipos infectados. Tras la recepción de una cadena terminada en nulo, se interpreta como una dirección URL e intenta descargarlo. Al terminar de descargar, el archivo se comprueba mediante un RC4 y un algoritmo criptográfico asimétrico y si se considera válido es ejecutado. Esto puede ser visto como una técnica empleada por los autores para garantizar que no carga exterior se inyecta en el proceso de descarga.
* Elimina todos los puntos de restauración del sistema anterior a la infección.
* El gusano se protege mediante la eliminación de la supresión de todos los permisos de archivos NTFS, excepto a ejecutar y el directorio transversal, de todos los usuarios.
El 7 de marzo de 2009 una nueva variante se ha visto en la wild.While modificaciones menores fueron vistos antes, esta variante es muy diferente y había claras indicaciones de la ruta tomada por los escritores a mantener los ordenadores ya están infectados y desactivar herramientas de extracción realizada por el AV empresas .
Esta versión tiene el siguiente comportamiento, una vez ejecutado:
* Los controles para detectar la presencia de sí mismo utilizando un mutex creado sobre la base de identificador de proceso. Si se crea mutex ya salir.
* Ganchos de NtQueryInformationProcess ntdll.dll
* Crea dos aleatoria mutexes longitud basado en nombre del equipo. Estos se utilizan para más adelante.
* Si se ejecuta utilizando rundll32.exe y sobre mutexes se han creado con éxito entonces se trata de inyectar en: svchost.exe y explorer.exe. A continuación, elimina la tarea programada para ejecutarse utilizados.
* Utiliza la siguiente clave del registro para ocultar los archivos ocultos con los atributos:
* HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ carpeta \ ocultos \ showall \ “CheckedValue” = “0″
* Si residen en services.exe aplicación (Win2K) que los ganchos en las siguientes apis:
* NetpwPathCanonicalize de NetApi32.DLL - esta API se utiliza para evitar la reinfección de la máquina local de otros equipos infectados
* SendTo de ws2_dll.dll
* Svchost.exe si residen en ella los siguientes ganchos apis
* NetpwPathCanonicalize de NetApi32.DLL - esta API se utiliza para evitar la reinfección de la máquina local de otros equipos infectados
* DnsQuery_A, DnsQuery_W, DnsQuery_UTF8, Query_Main de Dnsapi.dll - apis se esta conectado a restringir el acceso a diversos sitios relacionados con compañías antivirus.
* Modo de error es de tal manera que en caso de una excepción no se muestra ninguna información al usuario. Esto puede ser visto como un método de seguridad para mantener el malware sigiloso, incluso en caso de errores desconocidos.
* Ganchos InternetGetConnectedState función de wininet.dll.
* Copias de sí mismo en el directorio temporal y system32
* Desactiva los siguientes servicios
* Wscsvc (Centro de seguridad de Windows)
* WinDefender (Windows Defender Service)
* Wuauserv (automáticas de Windows Update Service)
* BITS (Servicio de transferencia inteligente en segundo plano)
* ERSvc (Servicio de informe de errores)
* WerSvc (Servicio de Informe de errores de Windows)
* Elimina la ventana de inicio de Defensor clave
* Eliminar HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot, por tanto, no permitiendo que la máquina infectada A efectos del seguro de arranque
* Crea un hilo que cada segundo, mata los procesos que tengan nombres que contienen una de las siguientes cadenas
* Autoruns
* Vengador
* Confick
* Downad
* Filemon
* Gmer
* Revisión
* Kb890
* Kb958
* Kido
* Klwk
* MBSA
* Mrt.
* Mrtstub
* MS08-06
* Procexp
* Procmon
* Regmon
* Scct_
* Sysclean
* Tcpview
* Unlocker
* Wireshark
Alguien con experiencia en el análisis de malware de inmediato que el gusano intenta cerrar cualquier herramienta que podría utilizarse en el análisis de su comportamiento, así como cualquier herramienta que podría utilizarse para la desinfección de un equipo infectado
* Si una conexión a Internet está disponible intenta que se actualice. Este proceso ha cambiado, que genera 50.000 el número de dominios azar e intenta conectarse a 500 de ellas al azar. Otro cambio es el hecho de que en la actualidad hay 116 posibles extensiones de dominio que se pueden utilizar.
Sitios que contengan una de las siguientes cadenas están bloqueados:
* Agnitum
* AhnLab
* Lucha contra la
* Antivir
* Arcabit
* Avast
* Avgate
* Avira
* Bothunter
* Castlecops
* Ccollomb
* Centralcommand
* Clamav
* Comodo
* Computerassociates
* Conficker
* Cpsecure
* Ciber-ta
* Defensor
* Downad
* DrWeb
* Dslreports
* Emsisoft
* ESafe
* Eset
* ETrust
* Ewido
* F-prot
* F-Secure
* Fortinet
* Free-av
* Freeav
* GData
* Grisoft
* Hackerwatch
* Hacksoft
* Haur
* Ikarus
* Jotti
* K7computing
* Kaspersky
* Kido
* Malware
* Mcafee
* Microsoft
* Espejismo
* Msftncsi
* Msmvps
* Mtc.sri
* Networkassociates
* Nod32
* Norman
* Norton
* OneCare
* Panda
* Pctools
* Prevx
* Ptsecurity
* Quickheal
* Eliminación
* El aumento de
* Rootkit
* Safety.live
* Securecomputing
* Secureworks
* Sophos
* Spamhaus
* Spyware
* Sunbelt
* Symantec
* Technet
* Amenaza
* Threatexpert
* TrendMicro
* Troyano
* Virscan
* Virus
* Wilderssecurity
* WindowsUpdate
* Promedio
* Avp
* Bit9
* Ca
* CERT
* Gmer
* Kav
* Llnw
* Llnwd
* MSDN
* Msft
* Nai
* Sin
* Si un sitio se encuentra en ejecución, el gusano descarga el archivo y comprueba si es válida una carga útil: esto se hace utilizando la criptografía asimétrica para probar el origen y la integridad. Si todo está bien, el ejecutable de la carga útil se descifra y ejecutado.
Instrucciones de eliminación:
Para eliminar Win32.Worm.Downadup.Gen por favor, siga las siguientes instrucciones:
* Desactivar Restaurar sistema
* Desconecte el cable de red de máquinas infectadas
* MS08-67 descargar arreglar la vulnerabilidad, de acuerdo a su versión del sistema operativo de la siguiente dirección: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
* Ejecutar adjunto herramienta de eliminación
Reiniciar el ordenador *
* Conectar su cable de red
* Actualización de definiciones de virus de BitDefender
* Realizar análisis completo del sistema de BitDefender.
0 comentarios:
Publicar un comentario