Cách diệt Virus W32.Conficker.x

I) Mô Tả
Tên: Net-Worm.Win32.Kido.iq (Kaspersky), W32.Downadup.C (Symantec), W32/Conficker.worm.gen.c (McAfee)
Kiểu : Worm (Sâu)
Kích thước: 87040 B
Nền tảng bị ảnh hưởng: Microsoft Windows
Phiên bản trong cơ sở dữ liệu: 3676 (20081209) 3676 (20081209)
Cách diệt W32.Conficker.x là một worm mà nó cố gắng kết nối các trang web khác nhau. Nó cố gắng tải các tập tin về từ các địa chỉ
để có thể kiểm soát được máy tính từ xa
Bạn có thể download toll fix virus ở địa chỉ sau

II) Cài đặt
Khi thực hiện nó tạo ra các bản sao chính nó ở các nơi sau
%system%\%variable%.dll
%program files%\Internet Explorer\%variable%.dll
%program files%\Movie Maker\%variable%.dll
%program files%\Windows NT\%variable%.dll
%appdata%\%variable%.dll
%temp%\%variable%.dll

Một chuỗi biến với nội dung được sử dụng thay thế biến %variable%.dll thư viện vào các quá trình sau
explorer.exe
services.exe
svchost.exe
Khi thâm nhập sâu này tự đăng ký như là một hệ thống dịch vụ với tên kết hợp từ các chuỗi sau
App
Audio
DM
ER
Event
help
Ias
Ir
Lanman
Net
Ntms
Ras
Remote
Sec
SR
Tapi
Trk
W32
win
Wmdm
Wmi
wsc
wuau
xml
access
agent
auto
logon
man
mgmt
mon
prov
serv
Server
Service
Srv
srv
Svc
svc
System
Time
Các dịch vụ với tên hiển thị bao gồm những chuỗi sau
64
Adobe
Agent
App
Assemblies
assembly
Boot
Build
Calendar
Collaboration
Common
Components
Cursors
Debug
Defender
Definitions
Digital
Distribution
Documents
Downloaded
en
Explorer
Files
Fonts
Gallery
Games
Globalization
Google
Help
IME
inf
Installer
Intel
Inter
Internet
Java
Journal
Kernel
L2S
Live
Logs
Mail
Maker
Media
Microsoft
Mobile
Modem
Movie
MS
msdownld
NET
New
Office
Offline
Options
Packages
Pages
Patch
Performance
Photo
PLA
Player
Policy
Prefetch
Profiles
Program
Publish
Reference
Registered
registration
Reports
Resources
schemas
Security
Service
Setup
Shell
Software
Speech
System
Tasks
Temp
tmp
tracing
twain
US
Video
Visual
Web
winsxs
Works
Zx
Để có thể chạy trên mọi hệ thống worm này đăng ký các mục sau vào registry
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]”%random1%” = “rundll32.exe “%variable%.dll”,%random2%”
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]”%random1%” = “rundll32.exe “%variable%.dll”,%random2%”.
Worm này sẽ xoá các mục sau trong Registry
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]”wscsvc” = “%filepath%”
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]”Windows Defender” = “%filepath%”

III) Thông tin khác
Nó chấm dứt quá trình sau với các tên sau
autoruns
avenger
confick
downad
filemon
gmer
hotfix
kb890
kb958
kido
klwk
mbsa.
mrt.
mrtstub
ms08-06
procexp
procmon
regmon
scct_
sysclean
tcpview
unlocker
wireshark
Nó tắt bỏ các dịch vụ sau
Windows Security Center Service (wscsvc)
Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Defender Service (WinDefend)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)
Các worm này kết nối vào các địa chỉ sau
2ch.net
4shared.com
56.com
adobe.com
adsrevenue.net
adultadworld.com
adultfriendfinder.com
aim.com
alice.it
allegro.pl
ameba.jp
ameblo.jp
answers.com
apple.com
ask.com
aweber.com
badongo.com
badoo.com
baidu.com
bbc.co.uk
bebo.com
biglobe.ne.jp
bigpoint.com
blogfa.com
clicksor.com
co.cc
comcast.net
conduit.com
craigslist.org
cricinfo.com
dell.com
depositfiles.com
digg.com
disney.go.com
doubleclick.com
download.com
ebay.co.uk
ebay.com
ebay.de
ebay.it
espn.go.com
facebook.com
fastclick.com
fc2.com
files.wordpress.com
flickr.com
fotolog.net
foxnews.com
friendster.com
geocities.com
go.com
goo.ne.jp
google.com
googlesyndication.com
gougou.com
hi5.com
hyves.nl
icq.com
imageshack.us
imagevenue.com
imdb.com
imeem.com
kaixin001.com
kooora.com
linkbucks.com
linkedin.com
live.com
livedoor.com
livejasmin.com
livejournal.com
mail.ru
mapquest.com
mediafire.com
megaclick.com
megaporn.com
megaupload.com
metacafe.com
metroflog.com
miniclip.com
mininova.org
mixi.jp
msn.com
multiply.com
myspace.com
mywebsearch.com
narod.ru
naver.com
nba.com
netflix.com
netlog.com
nicovideo.jp
ning.com
odnoklassniki.ru
orange.fr
partypoker.com
paypopup.com
tagged.com
taringa.net
terra.com.br
thepiratebay.org
tianya.cn
tinypic.com
torrentz.com
tribalfusion.com
tube8.com
tudou.com
tuenti.com
typepad.com
ucoz.ru
veoh.com
verizon.net
vkontakte.ru
vnexpress.net
wikimedia.org
wikipedia.org
wordpress.com
xhamster.com
xiaonei.com
xnxx.com
xvideos.com
yahoo.co.jp
yahoo.com
pconline.com.cn
pcpop.comperfspot.com
photobucket.com
pogo.com
pornhub.com
rambler.ru
rapidshare.com
rediff.com
reference.com
sakura.ne.jp
seesaa.net
seznam.cz
skyrock.com
sonico.com
soso.com
sourceforge.net
studiverzeichnis.com
yandex.ru
youporn.com
youtube.com
zedo.com
ziddu.com
zshare.net
Nó kết nối đến cá máy chủ sau đây để có được những ngày và thời gian hiện tại
ask.com
baidu.com
facebook.com
google.com
imageshack.us
rapidshare.com
w3.org
yahoo.com
Nếu ngày hiện tại hệ thống và thời gian phù hợp với các điều kiện các worm này sẽ cố gắng
tải các tập tin về từ Internet
Các URL được tạo ra ngẫu nhiên. Các tên miền cấp được chọn từ danh sách sau
agnitum
ahnlab
anti-
antivir
arcabit
avast
avgate
avira
bothunter
castlecops
ccollomb
centralcommand
clamav
comodo
computerassociates
conficker
cpsecure
cyber-ta
defender
downad
drweb
dslreports
emsisoft
esafe
eset
etrust
ewido
f-prot
f-secure
fortinet
free-av
freeav
gdata
grisoft
hackerwatch
hacksoft
hauri
ikarus
jotti
k7computing
kaspersky
kido
malware
mcafee
microsoft
mirage
msftncsi
msmvps
mtc.srine
tworkassociates
nod32
norman
norton
onecare
panda
pctools
prevx
ptsecurity
quickheal
removal
rising
rootkit
safety.live
securecomputing
secureworks
sophos
spamhaus
spyware
sunbelt
symantec
technet
threat
threatexpert
trendmicro
trojan
virscan
virus
wilderssecurity
windowsupdate
Các sâu chỉ chạy đúng mật mã và các tập tin. Các tập tin được lưu chữ vào các thư mục sau
%temp%
Nếu thành công thì sau đây là tập tin được sử dụng
%variable%.tmp
Một chuỗi và biến được sử dụng thay thế biến %Varial%
Các worm chứa một danh sách đen các địa chỉ IP
Mở một cổng ngẫu nhiên TCP, UDP
Worm này nhận được dữ liệu và hưỡng dẫn để có thêm hành động từ Internet hoặc từ máy tính từ xa máy tín khác trọng mạng riêng của mình (Botnet)

Bình luận đã được đóng.

%d bloggers like this: