همه آنچه در مورد Conficker بايد بدانيد

همه آنچه در مورد Conficker بايد بدانيد

تاریخ ایجاد

IRCRE200902002

  • اسامي پيشنهاد شده
  • معرفي مختصر
  • آلوده سازي
  • راه هاي انتشار
    • اتصال به شبكه با رمز عبور ضعيف
    • ساختن كار زمان بندي شده از راه دور
    • درايوهاي قابل حمل و نگاشت شده
  • تغيير در تنظيمات سيستم
  • تغيير در خدمات سيستم
  • پيشگيري
  • ترميم
  • اخبار مرتبط

اين روزها همه جا بحث از كرم Downadup يا Conficker و آلودگي هاي ايجاد شده توسط آن است. طبق اظهارات متخصصان امنيت رايانه، حمله اين كرم بزرگترين حمله يك كرم اينترنتي در طي سالهاي اخير بوده است و همچنان خبرهاي زيادي در مورد آن در وب سايت هاي مرتبط با امنيت رايانه منتشر مي شود. در اين گزارش برآنيم تا مشخصات كرم مذكور، آلودگيهايي كه ايجاد مي كند، راههاي گسترش آن و هم چنين روش مقابله با آن را بررسي كنيم.

اسامي پيشنهاد شده
براي اين كرم اسامي متعددي پيشنهاد شده است:

CA : Win32/Conficker.A
Sophos : Mal/Conficker-A
Kaspersky : Trojan.Win32.Agent.bccs
Symantec : W32.Downadup.B
other : Confickr
other : TA08-297A
other : CVE-2008-4250
other : VU827267

در اين گزارش از نام Conficker كه رايج تر از بقيه است، استفاده مي كنيم.
كرم Win32/Conficker.B از طريق شبكه و با سوءاستفاده از يك آسيب­پذيري كه در خدمت ويندوز سرور (Windows Server Service) وجود دارد، (SVCHOST.EXE) گسترش پيدا مي كند. اگر سوءاستفاده از آسيب­پذيري مذكور با موفقيت انجام شود، كرم مذكور رايانه هدف را مجبور مي سازد تا نسخه اي از آن را از رايانه ميزبان، با استفاده از يك پورت تصادفي بين 1024تا 10000 كه توسط كرم باز شده است، بر روي رايانه قرباني قرار دهد. اين كرم هم چنين مي تواند از طريق حافظه هاي قابل حمل يا رمز عبورهاي ضعيف مديران شبكه راه خود را به رايانه هاي ديگر باز كند. اين كرم زرنگ زماني كه به رايانه­اي وارد مي­­شود، محصولات امنيتي و خدمات سيستمي مهم را غير فعال مي سازد و حسابي دست و پاي رايانه قرباني را مي بندد. به همين علت قوياً به همه كاربران ويندوز توصيه مي كنيم تا به روز رساني امنيتي MS08-067 را هر چه سريعتر دريافت و نصب كنند. هم چنين پيشنهاد مي­كنيم كاربران از به كار بردن رمزهاي عبور ضعيف خودداري كنند تا آلودگي از اين طريق گسترش پيدا نكند.

آلوده سازي
اين كرم در وهله اول سعي مي كند خود را در فولدر ويندوز به عنوان يك DLL مخفي با نامي تصادفي، كپي كند. اگر در اين مرحله موفق نشود، سعي مي كند خود را با همان پارامترها در فولدرهاي زير كپي كند:

%ProgramFiles%Internet Explorer
%ProgramFiles%Movie Maker

اين كرم رشته زير را در رجيستري وارد مي كند تا مطمئن شود هر بار كه ويندوز بالا مي آيد، كپي مذكور اجرا مي شود:

Adds value: "<random string>"
With data: "rundll32.exe <system folder><malware file name>.dll,<malware parameters>"
To subkey: HKCUSoftwareMicrosoftWindowsCurrentVersionRun

هم چنين ممكن است خود را به عنوان يك خدمت بارگذاري كند كه در زمان بار شدن گروه netsvcs توسط فايل سيستمي svchost.exe، بالا بيايد، يا خود را به صورت يك خدمت جعلي با استفاده از كليد رجيستري زير بار گذاري كند:

HKLMSYSTEMCurrentControlSetServices

اين كرم نام خود را از تركيب دو واژه از ليست واژگان زير يا به شكل تصادفي برمي­گزيند.

Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Windows

راه هاي انتشار
اتصال به شبكه با رمز عبور ضعيف
همان طور كه گفتيم يكي از راه هاي انتشار اين كرم از طريق شبكه است. به همين علت در وهله اول كرم Conficker سعي مي كند تا با استفاده از اعتبار قانوني كاربري كه در حال حاضر به شبكه متصل است يك كپي از خودش را درshare ADMIN$ ماشين هدف قرار دهد. اگر به هر دليلي، مثلاً نداشتن دسترسي هاي ضروري كاربر فعلي، در اين گام موفق نشود، ليستي از حسابهاي كاربري ماشين هدف را به دست مي آورد. سپس سعي مي كند تا با استفاده از نام هاي كاربري فوق و يكي از رمزهاي عبور ضعيف زير به رايانه هدف راه پيدا كند. به همين دليل به كاربران توصيه مي كنيم از انتخاب رمزهاي ضعيف خودداري كنند.

123
1234
12345
123456
1234567
12345678
123456789
1234567890
123123
12321
123321
123abc
123qwe
123asd
1234abcd
1234qwer
1q2w3e
a1b2c3
admin
Admin
administrator
nimda
qwewq
qweewq
qwerty
qweasd
asdsa
asddsa
asdzxc
asdfgh
qweasdzxc
q1w2e3
qazwsx
qazwsxedc
zxcxz
zxccxz
zxcvb
zxcvbn
passwd
password
Password
login
Login
pass
mypass
mypassword
adminadmin
root
rootroot
test
testtest
temp
temptemp
foofoo
foobar
default
password1
password12
password123
admin1
admin12
admin123
pass1
pass12
pass123
root123
pw123
abc123
qwe123
test123
temp123
mypc123
home123
work123
boss123
love123
sample
example
internet
Internet
nopass
nopassword
nothing
ihavenopass
temporary
manager
business
oracle
lotus
database
backup
owner
computer
server
secret
super
share
superuser
supervisor
office
shadow
system
public
secure
security
desktop
changeme
codename
codeword
nobody
cluster
customer
exchange
explorer
campus
money
access
domain
letmein
letitbe
anything
unknown
monitor
windows
files
academia
account
student
freedom
forever
cookie
coffee
market
private
games
killer
controller
intranet
work
home
job
foo
web
file
sql
aaa
aaaa
aaaaa
qqq
qqqq
qqqqq
xxx
xxxx
xxxxx
zzz
zzzz
zzzzz
fuck
12
21
321
4321
54321
654321
7654321
87654321
987654321
0987654321
0
00
000
0000
00000
00000
0000000
00000000
1
11
111
1111
11111
111111
1111111
11111111
2
22
222
2222
22222
222222
2222222
22222222
3
33
333
3333
33333
333333
3333333
33333333
4
44
444
4444
44444
444444
4444444
44444444
5
55
555
5555
55555
555555
5555555
55555555
6
66
666
6666
66666
666666
6666666
66666666
7
77
777
7777
77777
777777
7777777
77777777
8
88
888
8888
88888
888888
8888888
88888888
9
99
999
9999
99999
999999
9999999
99999999

اگر win32/Conficker.B در دسترسي به رايانه هدف موفق شود، براي مثال تركيب يكي از نام هاي كاربري با يكي از رمزهاي عبور فوق درست از آب درآيد و كاربر اجازه نوشتن بر روي رايانه هدف را داشته باشد، آنگاه يك نسخه از خودش را بر روي ADMIN$System32<random letters>.dl قرار مي دهد.

ساختن كار زمان بندي شده از راه دور
بعد از دسترسي از راه دور به يك ماشين ، كرم فوق يك كار زمان بندي شده از راه دور (remote schedule job) را با استفاده از دستور زير براي فعال سازي كپي خود ايجاد مي كند:

“rundll32.exe<malware file name>.dll, <malware parameters>”

درايوهاي قابل حمل و نگاشت شده
كرم Win32/Conficker.B مي تواند خود را بر روي همه درايوهاي قابل حمل و نگاشت شده با استفاده از يك نام فايل تصادفي، كپي كند. كرم مذكور يك فولدر به نام RECYCLER ايجاد مي كند و سپس يك نسخه از خودش را در مسير زير قرار مي دهد:

<drive:>RECYCLERS-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d<random letters>.dll

در مسير فوق %d يك كاراكتر حرفي تصادفي است. هم چنين اين كرم يك نسخه از فايل autorun.inf را در همان محل قرار مي دهد تا هر زمان كه دسترسي به درايو از طريق AutoRun انجام شد، فايل مذكور اجرا شود. شكل زير نشان مي دهد كه چگونه كاربران ممكن است كرم را با دسترسي به يك فايل مشترك آلوده، فعال كنند.
دقت كنيد كه متن انتخاب اول "open folder to view files" مي باشد در حالي كه زير گزينه "Install or run program" آمده است، كه نشان مي دهد باز كردن فولدر از اين طريق منجر به اجراي برنامه اي مي شود. استفاده از انتخاب پايين كه زير گزينه "General Options" آمده و در شكل پررنگ شده است، ربطي به كرم مذكور نداشته و منجر به نصب كرم نمي شود.

تغيير در تنظيمات سيستم
كرم مزبور تنظيمات سيستم را به گونه اي تغيير مي دهد تا كاربران قادر به ديدن فايلهاي مخفي نباشند و اين كار را از طريق تغيير در مدخل رجيستري زير انجام مي دهد:

Adds value: "CheckedValue"
With data: "0"
To subkey: HKLMSOFTWAREMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL

هم چنين تنظيمات TCP را براي ايجاد سيلي از اتصالات به شبكه، به صورت زير تغيير مي دهد، كه در آن 0x00FFFFFE يك عدد شانزده – شانزدهي است و در دستگاه دهدهي معادل 16777214 مي شود.

Adds value: "TcpNumConnections"
With data: "0x00FFFFFE"
To subkey: HKLMSYSTEMCurrentControlSetServicesTcpipParameters

كرم مذكور يك فايل موقتي را براي تنظيم مجدد خدمت TCP/IP بعد از تغييرات، بر روي رايانه كپي مي كند. اين فايل به عنوان يك تروجان شناخته مي شود و نامش WinNT/Conficker.B مي باشد.

تغيير در خدمات سيستم
اين بدافزار ممكن است تغييراتي را در سيستم قرباني اعمال كند كه به شرح زير مي باشند:

  • خدمات زير غير فعال شده يا از كار مي افتند:
    • خدمت به روز رساني ويندوز يا Windows Update Service
    • خدمت انتقال هوشمند پس زمينه يا Background Intelligent Transfer Service
    • پدافند ويندوز يا Windows Defender
    • خدمت گزارش خطاهاي ويندوز يا (Windows Error Reporting Service
  • برخي از حساب هاي كاربري به علت دستكاري رجيستري كه منجر به سيلي از اتصالات به شبكه مي شود، غير فعال مي شوند. در بالا ذكر شد كه رجيستري به شكل زير تغيير مي كند:
HKLMSYSTEMCurrentControlSetServicesTcpipParameters "TcpNumConnections" = "0x00FFFFFE
  • كاربران نمي توانند به خدمات آنلاين يا وب سايت هايي كه شامل واژه هاي زير باشند، دسترسي پيدا كنند:

virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate

پيشگيري
براي پيشگيري از آلودگي با كرم Conficker.B توصيه هاي زير را جدي بگيريد:

  • نصب فايروال بر روي سيستم
  • نصب تمام به روز رساني هاي امنيتي براي نرم افزارهاي روي سيستم و در اين مورد نصب Security Bulletin MS08-067.
  • استفاده از نسخه هاي به روز آنتي ويروس.
  • در باز كردن پيوست ها و يا قبول كردن انتقال فايل بسيار دقت كنيد.
  • در كليك بر روي لينكهايي كه به وب سايتهاي مشكوك اشاره مي كنند دقت كنيد.
  • در مورد حمله هاي مهندسي اجتماعي (فريب كاربران از طرق مختلف) مراقب باشيد و از خود محافظت نماييد.

ترميم
رايانه هاي آلوده شده با اين كرم نمي توانند به وب سايتهايي كه براي بازبيني و ترميم ويروسها به كار مي روند، مراجعه كنند و هم چنين توانايي دسترسي به اصلاحيه هاي امنيتي و به روز رساني ها را نيز ندارند. بنابراين بايد از طريق يك رايانه غير آلوده ديگر به مقاله زير كه در آن روش دستي براي از بين بردن اين بدافزار توضيح داده شده است، مراجعه كنند و دستورات داده شده را خط به خط اجرا كنند.

http://support.microsoft.com/kb/962007


اخبار مرتبط
هشدار: افزايش حمله كرمها به رايانه هايي كه اصلاحيه ويندوز را نصب نكرده اند
ناتواني ويندوز در مقابله با AutoRun عامل انتشار كرم مشهور
خبر تكميلي: اپيدمي آلودگي با كرم اينترنتي جديد
آسيا و آمريكاي لاتين هدف حمله كرم اينترنتي

برچسب‌ها
گزارشات تحلیلی
  • 14