Conficker.A

Сетевой червь, эксплуатирующий уязвимость, описанную в бюллетене MS08-067

Сетевой червь, эксплуатирующий уязвимость, описанную в бюллетене MS08-067. Червь может также загружать и выполнять произвольные файлы.

Другие названия:
Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)


При запуске, червь Win32/Conficker.A создает копию в директории %System%  с произвольным именем. Win32/Conficker.A c проверяет использует ли зараженная машина Windows 2000. Если да, то червь внедряет свой код в процесс services.exe.

Если операционная система отлична от Windows 2000, червь создает службу со следующими характеристиками:


Имя службы: netsvcs
Путь к файлу: %System%\svchost.exe -k netsvcs

Также создает следующий ключ реестра:

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\<worm executable filename>.dll"

Win32/Conficker.A  подключается к домену trafficconverter.biz  и пытается загрузить и выполнить следующие файлы:

http://trafficconverter.biz/<censored>/loadadv.exe