Resumen

Un programa independiente malicioso que utiliza los recursos de la red o equipo para hacer
copias completas de sí mismo. Pueden incluir código o de otro tipo de malware a los daños
tanto al sistema y la red.

Desinfección

Herramientas de eliminación de F-Downadup

Herramienta específica para Downadup heurística con variantes del gusano:

• ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip ftp://ftp.f-secure.com/anti-
virus/tools/beta/f-downadup.zip

FSMRT
No específica herramienta de detección, mayor tamaño de archivo:

• ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip ftp://ftp.f-secure.com/anti-
virus/tools/beta/fsmrt.zip

Nota: estas son herramientas de línea de comandos, por favor lea el archivo de texto
incluido en el ZIP para detalles adicionales.

Actualizaciones

Estas herramientas son beta. Utilice el siguiente ubicación FTP para determinar el archivo de
fechas:

• ftp://ftp.f-secure.com/anti-virus/tools/beta/ ftp://ftp.f-secure.com/anti-virus/tools/beta/

Opciones de exploración

Downadup hace uso de nombres aleatorios de extensión con el fin de evitar la detección.

Durante la desinfección opciones de análisis debería fijarse en:

• Digitalizar todos los archivos

Microsoft Help and Support

Artículo de Knowledge Base 962007 ofrece numerosos detalles de desinfección manual de

Conficker.B (alias Downadup).

• http://support.microsoft.com/kb/962007 http://support.microsoft.com/kb/962007

Detalles adicionales
Tras la ejecución, el Downadup (Kido, Conflicker) el gusano crea copias de sí mismo en:

• %System%\[Random].dll % System% \ [Aleatorio]. Dll

• %Program Files%\Internet Explorer\[Random].dll %% Archivos de programa \ Internet
Explorer \ [Aleatorio]. Dll
• %Program Files%\Movie Maker\[Random].dll %% Archivos de programa \ Movie Maker
\ [Aleatorio]. Dll
 • %All Users Application Data%\[Random].dll % Todos los usuarios de aplicaciones de
datos% \ [Aleatorio]. Dll
• %Temp%\[Random].dll % Temp% \ [Aleatorio]. Dll
• %System%\[Random].tmp % System% \ [Aleatorio]. Tmp
• %Temp%\[Random].tmp % Temp% \ [Aleatorio]. Tmp

* Nota: [Aleatorio] representa un nombre generado aleatoriamente.

Cada archivo se modifica la fecha para que coincida con la fecha y hora de la% system% \
Kernel32.dll archivo. El gusano crea entonces autorun entradas en el registro, que asegurarse
de que una copia del gusano se ejecuta en cada inicio del sistema.

El gusano puede crear los siguientes archivos en las unidades extraíbles y mapeadas:

• %DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3
random characters] LetraDeUnidad%% \ RECYCLER \ S-% d-% d-% d-% d% d% d-%
d% d% d-% d% d% d-% d \ [...].[ 3 azar caracteres]
• %DriveLetter%\autorun.inf LetraDeUnidad%% \ autorun.inf

Y adherirse a los siguientes procesos:

• svchost.exe
• explorer.exe
• services.exe

El gusano desactiva una serie de características del sistema, a fin de facilitar sus actividades.
Deshabilita los siguientes servicios de Windows:

• Automáticas de Windows Update Service (wuauserv)

• Servicio de transferencia inteligente en segundo plano (BITS)
• Centro de seguridad de Windows Service (wscsvc)
• Windows Defender Service (WinDefend)
• Informe de errores de Windows Service (ERSvc)
• Informe de errores de Windows Service (WerSvc)

Además de la desactivación de estos servicios, se comprueba si se está ejecutando sobre una

máquina con Windows Vista, si es así, también ejecuta el comando siguiente para desactivar
Windows Vista TCP / IP automático de ajuste:

• netsh interface tcp = automático del conjunto global de los discapacitados

El gusano también ganchos de las siguientes API's, a fin de impedir el acceso cuando el
usuario intenta acceder a una larga lista de dominios:

• DNS_Query_A
• DNS_Query_UTF8
• DNS_Query_W
• Query_Main
• sendto SendTo
Si el usuario intenta acceder a los siguientes aspectos, principalmente relacionados con la
seguridad de dominios, su acceso está bloqueado:

• virus
• spyware el software espía
• malware
• rootkit
• defender defensor
• microsoft
• symantec
• norton
• mcafee
• trendmicro TrendMicro
• sophos Sophos
• panda
• etrust eTrust
• networkassociates
• computerassociates
• f-secure F-Secure
• kaspersky
• jotti
• f-prot
• nod32
• eset Eset
• grisoft Grisoft
• drweb DrWeb
• centralcommand
• ahnlab AhnLab
• esafe eSafe
• avast
• avira Avira
• quickheal
• comodo
• clamav
• ewido
• fortinet Fortinet
• gdata GData
• hacksoft
• hauri Hauri
• ikarus
• k7computing
• norman
• pctools
• prevx
• rising el aumento de
• securecomputing
• sunbelt Sunbelt
• emsisoft Emsisoft
• arcabit
• cpsecure
• spamhaus Spamhaus
• castlecops
 • threatexpert
• wilderssecurity
• windowsupdate WindowsUpdate
• nai
• ca
• avp
• avg AVG
• vet veterinario
• bit9
• sans
• cert CERT

Propagación

Para propagarse, el gusano primero modifica la siguiente entrada del Registro para que se
puede propagar con mayor rapidez a través de una red:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \
Parameters
"TcpNumConnections" = dword:0x00FFFFFE

El gusano utiliza este controlador para acelerar su capacidad de propagación, ya que modifica
el número de conexiones medio-abiertas a un 0x10000000 (268435456) en la memoria, una
función aplicado en% system% \ drivers \ Tcpip.sys.

Que los controles de un equipo en torno a la red usando NetServerEnum y, a continuación,

intenta iniciar sesión en cualquier equipo encontró con una de las siguientes credenciales de
acceso:

1. Uso de las credenciales de la cuenta del usuario infectado, y si esta cuenta no tiene
privilegios de administrador en la máquina objetivo, esta operación no tendrá éxito.
2. La adquisición de la lista de nombres de usuario de ordenador con el objetivo
NetUserEnum la API, a continuación, intentar iniciar sesión en el ordenador mediante
dirigidas las cuentas de usuario y una de las siguientes contraseñas:

o [username] [nombre de usuario]

o [username][username] [nombre de usuario] [nombre de usuario]
o [reverse_of_username]
o 00000
o 0000000
o 00000000
o 0987654321
o 11111
o 111111
o 1111111
o 11111111
o 123123
o 12321
o 123321
o 12345
o 123456
o 1234567
o 12345678
o 123456789
o 1234567890
o 1234abcd
o 1234qwer
o 123abc
o 123asd
o 123qwe
o 1q2w3e
o 22222
o 222222
o 2222222
o 22222222
o 33333
o 333333
o 3333333
o 33333333
o 44444
o 444444
o 4444444
o 44444444
o 54321
o 55555
o 555555
o 5555555
o 55555555
o 654321
o 66666
o 666666
o 6666666
o 66666666
o 7654321
o 77777
o 777777
o 7777777
o 77777777
o 87654321
o 88888
o 888888
o 8888888
o 88888888
o 987654321
o 99999
o 999999
o 9999999
o 99999999
o a1b2c3
o aaaaa
o abc123
o academia el mundo académico
o access acceso
o account cuenta
o Admin
o admin administrador
o admin1
o admin12
o admin123
o adminadmin
o administrator administrador
o anything cualquier cosa
o asddsa
o asdfgh
o asdsa
o asdzxc
o backup copia de seguridad
o boss123
o business negocio
o campus
o changeme
o cluster grupo
o codename en clave
o codeword código
o coffee café
o computer ordenador
o controller controlador
o cookie
o customer cliente
o database base de datos
o default predeterminado
o desktop escritorio
o domain dominio
o example ejemplo
o exchange intercambio
o explorer explorador
o files archivos
o foobar
o foofoo
o forever para siempre
o freedom libertad
o games juegos
o home123
o ihavenopass
o Internet
o internet Internet
o intranet Intranet
o killer asesino
o letitbe
o letmein
o Login Inicio de sesión
o login inicio de sesión
o lotus loto
o love123
o manager director
o market mercado
o money dinero
o monitor vigilar
o mypass
o mypassword micontraseña
o mypc123
o nimda Nimda
o nobody nadie
o nopass
o nopassword
o nothing nada
o office oficina
o oracle oráculo
o owner propietario
o pass1
o pass12
o pass123
o passwd
o Password Contraseña
o password contraseña
o password1 Password1
o password12
o password123
o private privado
o public público
o pw123
o q1w2e3
o qazwsx
o qazwsxedc
o qqqqq QQQQQ
o qwe123
o qweasd
o qweasdzxc
o qweewq
o qwerty QWERTY
o qwewq
o root123
o rootroot
o sample muestra
o secret secreto
o secure seguro
o security seguridad
o server servidor
o shadow sombra
o share compartir
o student estudiante
o super
o superuser superusuario
o supervisor
o system sistema
o temp123
o temporary temporal
o temptemp
o test123
o testtest
o unknown desconocido
o windows ventanas
o work123
o xxxxx
o zxccxz
o zxcvb
o zxcvbn
o zxcxz
o zzzzz ZZZZZ
Si el éxito del gusano accede al recurso compartido de red, se creará una copia de sí mismo a
la "ADMIN $" cuota de la siguiente manera:

• \\[Server Host Name]\ADMIN$\System32\[random filename].[random extension] \ \

[Nombre de host del servidor] \ ADMIN $ \ System32 \ [nombre de archivo aleatorio].
[Random extensión]

A continuación, crea un diario de trabajo previsto en el servidor remoto, a fin de ejecutar el

siguiente comando:

• rundll32.exe [random filename].[random extension], [random]

El gusano también puede propagarse por la descarga de una copia de sí mismo a otras
máquinas vulnerables a una explotación de la crítica MS08-067 de vulnerabilidad. Para ello,
primero el gusano se conecta a los sitios siguientes para recuperar el sistema
ExternalIPAddress%%:

• http://checkip.dyndns.org
• http://getmyip.co.uk
• http://www.getmyip.org
• http://www.whatsmyipaddress.com

A continuación, el gusano crea un servidor HTTP en un puerto aleatorio:

• http://%ExternalIPAddress%:%RandomPort% http:// ExternalIPAddress%%%%

RandomPort

Crear el servidor HTTP permite que el malware para enviar paquetes especialmente
preparados (explotar el código) de la máquina infectada a otras máquinas. Si la explotación es
satisfactoria, la máquina específica se ve obligado a descargar una copia de los programas
maliciosos a partir de la primera máquina infectada.

El malware ha descargado una de las siguientes extensiones:

• bmp
• gif
• jpeg
• png

A continuación, ganchos NetpwPathCanonicalize API a fin de evitar la explotación de la

vulnerabilidad más.

Descargas

Downadup es capaz de descargar archivos en el sistema infectado. En primer lugar, el gusano

se conecta a uno de los siguientes dominios para obtener la fecha actual del sistema:

• ask.com Ask.com
 • baidu.com
• google.com
• w3.org
• yahoo.com

El sistema obtiene la fecha se utiliza para generar una lista de ámbitos en los que el malware
puede descargar archivos adicionales.

A continuación, verifica si la fecha actual es de al menos 1 de enero de 2009. En caso

afirmativo, se descarga y ejecuta archivos desde:

• http://%PredictableDomainsIPAddress%/search?q=%d http://%
PredictableDomainsIPAddress% / search? q =% d

Nota:%% PredictableDomainsIPAddress generado es el dominio sobre la base de la fecha del

sistema.

El archivo descargado tiene el formato:

• [random]. tmp

Registro

El gusano borra una serie de claves del registro, a fin de desactivar el Centro de seguridad y
evitar notificaciones de inicio de Windows Defender. También ignora el Firewall de Windows
mediante la creación de la siguiente entrada del Registro, a fin de que el sistema puede
descargar una copia del gusano:

• HKLM \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \

FirewallPolicy \ StandardProfile \ GloballyOpenPorts \ Lista, [PortNumber]: TCP =
"[PortNumber]: TCP: * Enabled: [random]"

Para ocultar su presencia en el sistema, el gusano borra cualquier sistema de puntos de

restauración creados por el usuario y, a continuación, modifica las siguientes claves del
Registro:

• HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \

Explorer \ Advanced \ carpeta \ ocultos \ SHO WALLCheckedValue = dword: 00000000
• HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \
SvcHost, netsvcs Anterior datos =%% y%% aleatoria

Durante la infección, el gusano puede crear una de carácter temporal (PGT) en el archivo del
sistema o carpetas Temp. El PGT archivo creado se registra como un servicio del núcleo
conductor mediante la siguiente entrada del Registro:

• HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ [random]

Type = dword: 00000001
Start = dword: 00000003
ErrorControl = dword: 00000000
ImagePath = "\ ... \% MalwarePath% \ [random]. Tmp"
DisplayName = [Aleatorio]
Una vez que la clave es creado, el archivo% MalwarePath% \ [random]. Tmp es eliminado.

Un interesante cambio hace que el gusano en el registro implica las siguientes entradas del
Registro:

• HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \

DisplayName =% ServiceName%
Type = dword: 00000020
Start = dword: 00000002
ErrorControl = dword: 00000000
ImagePath = "% SystemRoot% \ system32 \ svchost.exe-k netsvcs"
ObjectName = "LocalSystem"
Descripción descripción =%%
• HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ [random] \
Parameters
ServiceDll =% MalwarePath%

En estas entradas,% ServiceName% representa una combinación de dos palabras tomadas de

la siguiente lista:

• Boot Arranque
• Center Centro
• Config
• Driver Conductor
• Helper Ayudante
• Image Imagen
• Installer Instalador
• Manager Director
• Microsoft
• Monitor Monitor de
• Network Red
• Security Seguridad
• Server Servidor
• Shell
• Support Apoyar
• System Sistema
• Task Tarea
• Time Tiempo
• Universal
• Update Actualizar
• Windows De Windows