Conficker.A
Conficker.A
Alexander Antipov
Сетевой червь, эксплуатирующий уязвимость, описанную в бюллетене MS08-067
Сетевой червь, эксплуатирующий уязвимость, описанную в бюллетене MS08-067. Червь может также загружать и выполнять произвольные файлы.
Другие названия:
Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)
При запуске, червь Win32/Conficker.A создает копию в директории %System% с произвольным именем. Win32/Conficker.A c проверяет использует ли зараженная машина Windows 2000. Если да, то червь внедряет свой код в процесс services.exe.
Если операционная система отлична от Windows 2000, червь создает службу со следующими характеристиками:
Имя службы: netsvcs
Путь к файлу: %System%\svchost.exe -k netsvcs
Также создает следующий ключ реестра:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\<worm executable filename>.dll"
Win32/Conficker.A подключается к домену trafficconverter.biz и пытается загрузить и выполнить следующие файлы:
http://trafficconverter.biz/ <censored>/loadadv.exe
Другие названия:
Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)
При запуске, червь Win32/Conficker.A создает копию в директории %System% с произвольным именем. Win32/Conficker.A c проверяет использует ли зараженная машина Windows 2000. Если да, то червь внедряет свой код в процесс services.exe.
Если операционная система отлична от Windows 2000, червь создает службу со следующими характеристиками:
Имя службы: netsvcs
Путь к файлу: %System%\svchost.exe -k netsvcs
Также создает следующий ключ реестра:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\<worm executable filename>.dll"
Win32/Conficker.A подключается к домену trafficconverter.biz и пытается загрузить и выполнить следующие файлы:
http://trafficconverter.biz/ <censored>/loadadv.exe
Цифровые следы - ваша слабость, и хакеры это знают.