Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Un programa independiente malicioso que utiliza los recursos de la red o equipo para hacer
copias completas de sí mismo. Pueden incluir código o de otro tipo de malware a los daños
tanto al sistema y la red.
Desinfección
• ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip ftp://ftp.f-secure.com/anti-
virus/tools/beta/f-downadup.zip
FSMRT
No específica herramienta de detección, mayor tamaño de archivo:
• ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip ftp://ftp.f-secure.com/anti-
virus/tools/beta/fsmrt.zip
Nota: estas son herramientas de línea de comandos, por favor lea el archivo de texto
incluido en el ZIP para detalles adicionales.
Actualizaciones
Estas herramientas son beta. Utilice el siguiente ubicación FTP para determinar el archivo de
fechas:
• ftp://ftp.f-secure.com/anti-virus/tools/beta/ ftp://ftp.f-secure.com/anti-virus/tools/beta/
Opciones de exploración
Downadup hace uso de nombres aleatorios de extensión con el fin de evitar la detección.
• http://support.microsoft.com/kb/962007 http://support.microsoft.com/kb/962007
Detalles adicionales
Tras la ejecución, el Downadup (Kido, Conflicker) el gusano crea copias de sí mismo en:
Cada archivo se modifica la fecha para que coincida con la fecha y hora de la% system% \
Kernel32.dll archivo. El gusano crea entonces autorun entradas en el registro, que asegurarse
de que una copia del gusano se ejecuta en cada inicio del sistema.
El gusano puede crear los siguientes archivos en las unidades extraíbles y mapeadas:
• %DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3
random characters] LetraDeUnidad%% \ RECYCLER \ S-% d-% d-% d-% d% d% d-%
d% d% d-% d% d% d-% d \ [...].[ 3 azar caracteres]
• %DriveLetter%\autorun.inf LetraDeUnidad%% \ autorun.inf
• svchost.exe
• explorer.exe
• services.exe
El gusano desactiva una serie de características del sistema, a fin de facilitar sus actividades.
Deshabilita los siguientes servicios de Windows:
El gusano también ganchos de las siguientes API's, a fin de impedir el acceso cuando el
usuario intenta acceder a una larga lista de dominios:
• DNS_Query_A
• DNS_Query_UTF8
• DNS_Query_W
• Query_Main
• sendto SendTo
Si el usuario intenta acceder a los siguientes aspectos, principalmente relacionados con la
seguridad de dominios, su acceso está bloqueado:
• virus
• spyware el software espía
• malware
• rootkit
• defender defensor
• microsoft
• symantec
• norton
• mcafee
• trendmicro TrendMicro
• sophos Sophos
• panda
• etrust eTrust
• networkassociates
• computerassociates
• f-secure F-Secure
• kaspersky
• jotti
• f-prot
• nod32
• eset Eset
• grisoft Grisoft
• drweb DrWeb
• centralcommand
• ahnlab AhnLab
• esafe eSafe
• avast
• avira Avira
• quickheal
• comodo
• clamav
• ewido
• fortinet Fortinet
• gdata GData
• hacksoft
• hauri Hauri
• ikarus
• k7computing
• norman
• pctools
• prevx
• rising el aumento de
• securecomputing
• sunbelt Sunbelt
• emsisoft Emsisoft
• arcabit
• cpsecure
• spamhaus Spamhaus
• castlecops
• threatexpert
• wilderssecurity
• windowsupdate WindowsUpdate
• nai
• ca
• avp
• avg AVG
• vet veterinario
• bit9
• sans
• cert CERT
Propagación
Para propagarse, el gusano primero modifica la siguiente entrada del Registro para que se
puede propagar con mayor rapidez a través de una red:
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \
Parameters
"TcpNumConnections" = dword:0x00FFFFFE
El gusano utiliza este controlador para acelerar su capacidad de propagación, ya que modifica
el número de conexiones medio-abiertas a un 0x10000000 (268435456) en la memoria, una
función aplicado en% system% \ drivers \ Tcpip.sys.
1. Uso de las credenciales de la cuenta del usuario infectado, y si esta cuenta no tiene
privilegios de administrador en la máquina objetivo, esta operación no tendrá éxito.
2. La adquisición de la lista de nombres de usuario de ordenador con el objetivo
NetUserEnum la API, a continuación, intentar iniciar sesión en el ordenador mediante
dirigidas las cuentas de usuario y una de las siguientes contraseñas:
El gusano también puede propagarse por la descarga de una copia de sí mismo a otras
máquinas vulnerables a una explotación de la crítica MS08-067 de vulnerabilidad. Para ello,
primero el gusano se conecta a los sitios siguientes para recuperar el sistema
ExternalIPAddress%%:
• http://checkip.dyndns.org
• http://getmyip.co.uk
• http://www.getmyip.org
• http://www.whatsmyipaddress.com
Crear el servidor HTTP permite que el malware para enviar paquetes especialmente
preparados (explotar el código) de la máquina infectada a otras máquinas. Si la explotación es
satisfactoria, la máquina específica se ve obligado a descargar una copia de los programas
maliciosos a partir de la primera máquina infectada.
• bmp
• gif
• jpeg
• png
Descargas
• ask.com Ask.com
• baidu.com
• google.com
• w3.org
• yahoo.com
El sistema obtiene la fecha se utiliza para generar una lista de ámbitos en los que el malware
puede descargar archivos adicionales.
• http://%PredictableDomainsIPAddress%/search?q=%d http://%
PredictableDomainsIPAddress% / search? q =% d
• [random]. tmp
Registro
El gusano borra una serie de claves del registro, a fin de desactivar el Centro de seguridad y
evitar notificaciones de inicio de Windows Defender. También ignora el Firewall de Windows
mediante la creación de la siguiente entrada del Registro, a fin de que el sistema puede
descargar una copia del gusano:
Durante la infección, el gusano puede crear una de carácter temporal (PGT) en el archivo del
sistema o carpetas Temp. El PGT archivo creado se registra como un servicio del núcleo
conductor mediante la siguiente entrada del Registro:
Un interesante cambio hace que el gusano en el registro implica las siguientes entradas del
Registro:
• Boot Arranque
• Center Centro
• Config
• Driver Conductor
• Helper Ayudante
• Image Imagen
• Installer Instalador
• Manager Director
• Microsoft
• Monitor Monitor de
• Network Red
• Security Seguridad
• Server Servidor
• Shell
• Support Apoyar
• System Sistema
• Task Tarea
• Time Tiempo
• Universal
• Update Actualizar
• Windows De Windows