Detalles técnicos

• Nombre completo del virus: Worm.W32/Downadup.C
• Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
• Plataformas afectadas: Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 : XP Microsoft Windows XP / 2003 Microsoft Windows Server 2003 / 2000 Microsoft Windows 2000 / NT Microsoft Windows NT / Me Microsoft Windows Millennium / 98 Microsoft Windows 98 / 95 Microsoft Windows 95
• Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
• Alias:
  • W32.Downadup.C (Symantec)
  • Win32/Conficker.C (Computer Associates)
  • Win32.Worm.Downadup.C (Bit Defender)
  • W32/Conficker.C (Norman)
  • WIN32/CONFICKER.X (Enciclopedia Virus)
  • Worm.Downadup.IW (K7 Computing)
  • W32/Conficker.C!worm (Fortinet)
  • Worm:Win32/Conficker.D (Microsoft)

Arriba

Propagación

Capacidad de autopropagación: Sí

Carece de rutina propia de propagación.

Arriba

Infección/Efectos

Cuando Downadup.C se ejecuta, realiza las siguientes acciones:

Resto de acciones

Método de infección

Una vez ejecutado, deshabilita los siguientes servicios:

• BITS
• ERSvc
• WerSvc
• WinDefend
• wscsvc
• wuauserv

Baja la configuración de seguridad del ordenador comprometido borrando la siguiente entrada del registro para evitar el incio automático de "Windows Defender":

  Clave:  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 
  Valor:  "Windows Defender" 

Deshabilita las notificaciones de Windows Security Alert borrando la siguiente subclave del registro:

  Clave:  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} 

Borra la siguiente entrada en el registro para evitar que el ordenador comprometido reinicie en modo seguro:

  Clave:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot 

Detiene procesos que contienen alguna de las siguientes cadenas en el nombre:

• autoruns
• avenger
• confick
• downad
• filemon
• gmer
• hotfix
• kb890
• kb958
• kido
• klwk
• mbsa.
• mrt.
• mrtstub
• ms08-06
• procexp
• procmon
• regmon
• scct_
• sysclean
• tcpview
• unlocker
• wireshark

Se copia así mismo en una de los siguientes ficheros:

• %Program Files% \Internet Explorer\[Nombre de fichero aleatorio].dll
• %Program Files% \Movie Maker\[Nombre de fichero aleatorio].dll
• %Program Files% \Windows Media Player\[Nombre de fichero aleatorio].dll
• %System% \Windows NT\[Nombre de fichero aleatorio].dll

Nota: %Program Files% es una variable que hace referencia al directorio de Archivos de programa.
Por defecto es C:\Archivos de programa.

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Crea la siguiente entrada en el registro, para ejecutarse en cada inicio de sesión:

  Clave:  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ 
  Valor:  "[Caracteres aleatorios]" = "rundll32.exe "[Ficheros DLL aleatorios]", [Cadenas aletorias]" 

Crea un servicio con las siguientes características:

• Nombre: [Nombre del Servicio]
• Tipo de inicio: Automático

El [Nombre del Servicio] es una combinación de dos palabras tomadas de las siguientes dos listas:

Lista 1:

• DM
• ER
• Event
• help
• Ias
• Ir
• Lanman
• Net
• Ntms
• Ras
• Remote
• Sec
• SR
• Tapi
• Trk
• W32
• win
• Wmdm
• Wmi
• wsc
• wuau
• xml

Lista 2:

• access
• agent
• auto
• logon
• man
• mgmt
• mon
• prov
• serv
• Server
• Service
• Srv
• srv
• svc
• Svc
• System
• Time

Registra el servicio creando las siguientes entradas en el registro:

  Clave:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ [Caracteres aleatorios]\ 
  Valor:  "ImagePath" =  %System%  \svchost.exe -k netsvcs 

  Clave:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ [Caracateres aleatorios]\Parameters\ 
  Valor:  "ServiceDll" = "[PATH TO SECURITY RISK]" 

Parchea las siguientes APIs que son utilizadas por Windows para hacer peticiones DNS o peticiones de URLs:

• DNS_Query_A
• DNS_Query_UTF8
• DNS_Query_W
• Query_Main
• sendto

Monitoriza peticiones DNS a dominios que contienen alguna de las siguientes cadenas y bloquea el acseso de esos dominos para parece que las peticiones DNS han agotado el tiempo de espera:

• agnitum
• ahnlab
• anti-
• antivir
• arcabit
• avast
• avg.
• avgate
• avira
• avp.
• bit9.
• bothunter
• ca.
• castlecops
• ccollomb
• centralcommand
• cert.
• clamav
• comodo
• computerassociate
• conficker
• cpsecure
• cyber-ta
• defender
• drweb
• dslreports
• emsisoft
• esafe
• eset
• etrust
• ewido
• f-prot
• f-secure
• fortinet
• free-av
• freeav
• gdata
• gmer.
• grisoft
• hackerwatch
• hacksoft
• hauri
• ikarus
• jotti
• k7computing
• kaspersky
• kav.
• llnw.
• llnwd.
• malware
• mcafee
• microsoft
• mirage
• msdn.
• msft.
• msftncsi
• msmvps
• mtc.sri
• nai.
• networkassociates
• nod32
• norman
• norton
• onecare
• panda
• pctools
• prevx
• ptsecurity
• quickheal
• removal
• rising
• rootkit
• safety.live
• sans.
• securecomputing
• secureworks
• sophos
• spamhaus
• spyware
• sunbelt
• symantec
• technet
• threat
• threatexpert
• trendmicro
• trojan
• vet.
• virscan
• virus
• wilderssecurity
• windowsupdate

Se conecta a los siguientes sitios web para obtener la fecha y hora actuales:

• ask.com
• baidu.com
• facebook.com
• google.com
• imageshack.us
• rapidshare.com
• w3.org
• yahoo.com

Si la fecha y la hora es a partir del 1 de Abril de 2009, utiliza la información de la fecha para generar una lista de nombres de dominio. Entonces contacta con esos dominios para intentar descargar ficheros dentro del ordenador comprometido.

Arriba

Contramedidas