W32.Downadup.B
ميزان خطرآفريني (Risk Level): كم
تاريخ كشف: 30 دسامبر 2008
تاريخ به روز شدن: 31 دسامبر 2008 ساعت 9:58:37 صبح
ديگر نامها:
Worm:W32/Downadup.AL [F-Secure], Win32/Conficker.B [Computer Associates], W32/Confick-D [Sophos], WORM_DOWNAD.AD [Trend]
نوع: كرم اينترنتي (Worm)
سيستمهاي تاثيرپذير:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
مرجع: CVE-2008-4250
خلاصه:
W32.Downadup.B نوعي كرم اينترنتي است كه با سوء استفاده از حفره امنيتي Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability خود را منتشر مي كند (BID 31874). همچنين تلاش مي كند كه با بهره گيري از گذرواژه هاي ضعيف و ساده خود را در منابع مشترك شبكه نيز بگستراند و همچنين دسترسي به سايتهاي مرتبط با امنيت شبكه را قطع مي نمايد.
ارزيابي تهديد:
آسيب رساني: متوسط
گستردگي جغرافيايي: متوسط
كنترل خطر: متوسط
انجام پاكسازي: متوسط
ميزان تخريب: متوسط
فايلهايي كه تغيير مي دهد: فايل tcpip.sys
ميزان گسترش: متوسط
روش گسترش: با استفاده از گذرواژه هاي ساده و ضعيف مي كوشد در منابع مشترك شبكه خود را توزيع نمايد.
هدف براي آلوده سازي: با سوء استفاده از حفره امنيتي Microsoft Windows Server Service RPC Handling Remote Code Execution منتشر مي شود.
جزئيات فني:
پس از اجرا، اين كرم در رجيستري به دنبال كليدهاي زير مي گردد و در صورت عدم وجود، آنها را ايجاد مي كند:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
سپس خود را با يكي از نامهاي زير كپي مي كند:
%ProgramFiles%\Internet Explorer\[RANDOM FILE NAME].dll
%ProgramFiles%\Movie Maker\[RANDOM FILE NAME].dll
%System%\[RANDOM FILE NAME].dll
%Temp%\[RANDOM FILE NAME].dll
C:\Documents and Settings\All Users\Application Data \[RANDOM FILE NAME].dll
سرويس جديدي با خصوصيات زير ايجاد مي كند:
نام سرويس: ارجاع دهنده به كرم [PATH TO WORM]
نام نمايش داده شده: سرويس به نامي توليد شده توسط كرم [WORM GENERATED SERVICE NAME]
نوع شروع: Automatic
سپس با ايجاد اطلاعات رجيستري زير، به عنوان يك سرويس ثبت مي شود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Parameters\"ServiceDll" = "[PATH TO WORM]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Type" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ErrorControl" = "4"
[WORM GENERATED SERVICE NAME] يا سرويس به نامي توليد شده توسط كرم، عبارتي دوكلمه اي است كه اين دو كلمه از بين كلمات زير انتخاب مي شوند:
Boot ,Center , Config , Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows
در نتيجه عبارت زير كه در رجيستري ايجاد مي كند با هربار اجراي ويندوز اين كرم نيز اجرا مي شود:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM NAME]" = "rundll32.exe "[RANDOM FILE NAME].dll", ydmmgvos"
در مرحله بعدي كرم تمام System Restore Point هايي كه كاربر ايجاد كرده را پاك مي كند.
سپس براي افزايش سرعت دسترسي به شبكه، با اجراي دستوري تنظيم خودكار TCP/IP ويندوز ويستا را غير فعال مي كند تا بدينوسيله سرعت انتشار خود را افزايش دهد.
همچنين اين كرم با ايجاد تغييرات زير در رجيستري بازهم سرعت گسترش خود را در شبكه اضافه مي نمايد:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections" = "00FFFFFE"
بعد از آن كرم دو سرويس زير را متوقف (Stop) مي كند:
Background Intelligent Transfer Service (BITS)
Windows Automatic Update Service (wuauserv)
سپس براي غير فعال كردن حد half-open connections در ويندوز XP، فايل زير را تغيير مي دهد:
%System%\drivers\tcpip.sys
همچنين مي كوشد با ايجاد تغيير داده زير در رجيستري خود را مخفي سازد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
در مرحله بعد كليه پوشه هاي اشتراكي ADMIN$ را جستجو مي كند. سپس تلاش مي كند كه با نام كاربر فعال در سيستم آلوده شده و بكار گيري يكي از گذرواژه هاي زير با پوشه هاي اشتراكي فوق ارتباط ايجاد نمايد:
000, 0000, 00000, 0000000, 00000000, 0987654321, 111, 1111, 11111, 111111, 1111111, 11111111, 123, 123123, 12321, 123321, 1234, 12345, 123456, 1234567, 12345678, 123456789, 1234567890, 1234abcd, 1234qwer, 123abc, 123asd, 123qwe, 1q2w3e, 222, 2222, 22222, 222222, 2222222, 22222222, 321, 333, 3333, 33333, 333333, 3333333, 33333333, 4321, 444, 4444, 44444, 444444, 4444444, 44444444, 54321, 555, 5555, 55555, 555555, 5555555, 55555555, 654321, 666, 6666, 66666, 666666, 6666666, 66666666, 7654321, 777, 7777, 77777, 777777, 7777777, 77777777, 87654321, 888, 8888, 88888, 888888, 8888888, 88888888, 987654321, 999, 9999, 99999, 999999, 9999999, 99999999, a1b2c3, aaa, aaaa, aaaaa, abc123, academia, access, account, Admin, admin, admin1, admin12, admin123, adminadmin, administrator, anything, asddsa, asdfgh, asdsa, asdzxc, backup, boss123, business, campus, changeme, cluster, codename, codeword, coffee, computer, controller, cookie, customer, database, default, desktop, domain, example, exchange, explorer, file, files, foo, foobar, foofoo, forever, freedom, fuck, games, home, home123, ihavenopass, Internet, internet, intranet, job, killer, letitbe, letmein, login, Login, lotus, love123, manager, market, money, monitor, mypass, mypassword, mypc123, nimda, nobody, nopass, nopassword, nothing, office, oracle, owner, pass, pass1, pass12, pass123, passwd, password, Password, password1, password12, password123, private, public, pw123, q1w2e3, qazwsx, qazwsxedc, qqq, qqqq, qqqqq, qwe123, qweasd, qweasdzxc, qweewq, qwerty, qwewq, root, root123, rootroot, sample, secret, secure, security, server, shadow, share, sql, student, super, superuser, supervisor, system, temp, temp123, temporary, temptemp, test, test123, testtest, unknown, web, windows, work, work123, xxx, xxxx, xxxxx, zxccxz, zxcvb, zxcvbn, zxcxz, zzz, zzzz, zzzzz
بر اساس سياست Account Lockout، تلاشهاي مكرر اين كرم براي احراز هويت باعث قفل شدن account كاربر مي شود.
در صورت موفقيت، كرم خودش را با نام زير در پوشه اشتراكي كپي مي كند:
[SHARE NAME]\ADMIN$\System32\[RANDOM FILE NAME].dll
سپس يك برنامه زمانبندي شده بر روي سرور ريموت ايجاد مي كند تا با دستور زير روزانه به اجرا درآيد :
"rundll32.exe [RANDOM FILE NAME].dll, [RANDOM PARAMETER STRING]"
و بعد جهت به دست آوردن IP دستگاه آلوده شده به آدرسهاي زير متصل مي شود:
http://www.getmyip.org
http://www.whatsmyipaddress.com
http://getmyip.co.uk
http://checkip.dyndns.org
كرم بر روي فايروال موجود در gateway شبكه، اقدام به ايجاد يك rule مي كند كه به مهاجمين از راه دور، اتصال و دانلود از كامپيوتر آلوده از طريق IP بيروني (external) آن و يك پورت تصادفي را مجاز مي نمايد.
سپس بر روي سيستم آلوده يك HTTTP server با پورتي تصادفي با ساختار زير ايجاد مي كند:
http://[COMPROMISED COMPUTER EXTERNAL IP ADDRESS]:[RANDOM PORT]
كرم سپس اين URL را براي كامپيوترهاي ريموت ارسال مي كند.
سپس كرم از حفره امنيتي زير سوء استفاده كرده و نتيجتاً سيستمهاي ريموت به URL فوق متصل شده و كرم را دانلود مي كنند:
و بعد، كرم خود را در تمام Map Network Drive هاي در دسترس با نام زير كپي مي كند:
%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[RANDOM FILE NAME].dll
همچنين فايل زير را در تمام Mapped Network Drive ها ايجاد مي كند و هر زمان كه به اين درايو دسترسي ايجاد شود، به اجرا در مي آيد:
%DriveLetter%\autorun.inf
ضمناً سيستم قرباني را تحت نظر قرار مي دهد تا هرزمان كه درايو جديدي ايجاد شد آن را به روش فوق آلوده سازد.
همچنين NetpwPathCanonicalize API را بكار مي گيرد و با اجراي آن، PathName را كنترل مي كند تا از سوءاستفاده مجدد از حفره امنيتي ذكر شده اجتناب كند.
كرم API هاي زير را در حافظه Patch مي كند:
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
Sendto
كرم تمام درخواستهاي DNS به دامين ها را واررسي مي كند و در صورتي كه يكي از رشته هاي زير در آن باشد، دسترسي به آن دامين را بلوكه مي كند و نتيجتاً به نظر Network Request Time Out به نظر مي رسد:
ahnlab, arcabit, avast, avg., avira, avp., bit9., ca., castlecops, centralcommand, cert., clamav, comodo, computerassociates, cpsecure, defender, drweb, emsisoft, esafe, eset, etrust, ewido, f-,rot, f-secure, fortinet, gdata, grisoft, hacksoft, hauri, ikarus, jotti, k7computing, kaspersky, malware, mcafee, microsoft, nai., networkassociates, nod32, norman, norton, panda, pctools, prevx, quickheal, rising, rootkit, sans., securecomputing, sophos, spamhaus, spyware, sunbelt, symantec, threatexpert, trendmicro, vet., virus, wilderssecurity, windowsupdate
و به سايتهاي زير متصل مي شود تا تاريخ روز را بدست آورد:
baidu.com, google.com, yahoo.com, msn.com, ask.com, w3.org, aol.com, cnn.com, ebay.com, msn.com, myspace.com
و بررسي مي كند كه تاريخ سيستم آلوده حداقل يكم ژانويه 2009 باشد.
سپس كرم ليستي از اسامي دامين بر اساس تاريخ و ساختار زير توليد مي كند:
[GENERATED DOMAIN NAME].[TOP LEVEL DOMAIN]
[TOP LEVEL DOMAIN] يكي از دامين هاي Top Level زير مي باشد:
.biz, .info, .org, .net, .com, .ws, .cn, .cc
و [GENERATED DOMAIN NAME] توسط كرم ايجاد مي شود كه ليست زير نمونه هايي هستند كه تا تاريخ اول ژانويه 2009 ايجاد نموده:
aaidhe.net, aamkn.cn, abivbwbea.info, aiiflkgcw.cc, alfglesj.info, amcfussyags.net, amzohx.ws, apaix.ws, argvss.info, arolseqnu.ws, asoidakm.cn, atnsoiuf.cc, avweqdcr.cn, axaxmhzndcq.cc, barhkuuu.com, bbuftxpskw.cc, bdykhlnhak.cc, bdzpfiu.biz, bijkyilaugs.cn, bjpmhuk.ws, bmmjbsjidmt.com, bzagbiwes.cc, carse.cn, cauksxf.biz, cfhlglxofyz.biz, cinsns.cc, ciynbjwm.com, cljivsb.biz, cpeadyepcis.biz, cqnxku.ws, ctmchiae.ws, cxjsy.net, czkdu.net, dbffky.cn, dgbdjsb.com, drpifjfxlyl.ws, dtosuhc.org, duahpzq.org, dwrtwgsm.cn, dyjomzyz.com, earuldx.cn, egqoab.net, egxbsppn.cn, ehkvku.cn, elivvks.net, emxmg.info, eobvidij.org, erwojl.org, evqvmwgw.cn, ewioygq.biz, exxkvcz.cc, ffaqk.info, fhlwov.net, fitjg.net, fkhbumne.info, fknacmvowib.cn, fmdsqasqm.net, fmgcjv.cn, fpljpuqp.info, fsrljjeemkr.info, fthil.cc, ftphtsfuv.net, gbgklrka.cc, gbmkghqcqy.net, gbxyu.ws, gezjwr.biz, gjbwolesl.info, glkzckadwu.biz, gmvhjp.ws, gsvrglz.cc, gutvjbektzq.com, gwtqx.cn, hbyzvpeadkb.net, hewdw.ws, hjcxnhtroh.cn, hltowx.com, hqjazhyd.com, hrmirvid.com, hudphigb.org, hvagbqmtxp.info, idvgqlr.ws, ihnvoeprql.biz, iidqkzselpr.com, ijthszjlb.com, iklzskqoz.cn, iqgnqt.org, iqrzamxo.ws, isjjlnv.org, iudqzypn.cn, iyfcmcaj.cn, jayrocykoj.ws, jffhkvhweds.cn, jfxcvnnawk.org, jgrftgunh.org, jguxjs.net, jhanljqti.cc, jhvlfdoiyn.biz, jjhajbfcdmk.net, jkisptknsov.biz, jknxcxyg.net, jlouqrgb.org, jpppffeywn.cc, jradvwa.biz, juqsiucfrmi.net, jvnzbsyhv.org, jxnyyjyo.net, kaonwzkc.info, kdcqtamjhdx.ws, kgeoaxznfms.biz, kihbccvqrz.net, kimonrvh.org, kjsxwpq.ws, kkrxwcjusgu.cn, knqwdcgow.ws, koaqe.cc, kodzhq.org, kqjvmbst.net, kufvkkdtpf.net, kxujboszjnz.ws, lagcrxz.cc, lawwb.com, lbdfwrbz.net, ljizrzxu.cc, lmswntmc.biz, lotvecu.com, lplsebah.cn, lxhmwparzc.ws, lyamwnhh.info, mciuomjrsmn.cn, mdntwxhj.cn, meqyeyggu.cc, mfigu.cn, mimdezm.biz, mkdsine.cn, mmtdsgwfa.net, mouvmlhz.cc, mozsj.biz, mpqzwlsx.ws, msvhmlcmkmh.biz, mtruba.ws, myrmifyuqo.biz, naucgxjtu.ws, ncwjlti.cn, nertthl.net, nnxqqmdl.info, nuxtzd.cn, nxvmztmryie.ws, nybxvgb.net, nzsrgzmhay.net, oadscrk.org, oezepyh.info, ojrswlg.net, olgjkxih.org, omqxqptc.ws, ooudifyw.cn, opkawiqb.cn, oqsfz.ws, orvfkx.cc, otoajxfn.net, oxeeuikd.net, oyezli.com, pfath.info, plsexbnytn.com, poplie.cc, psbdfflh.cn, qfmbqxom.ws, qjvtczqu.com, qpcizvlvio.biz, qslhoks.cn, qtcnfvf.biz, qtsnk.cn, qzktamrsgu.cn, rbhixtifxk.cc, rccoq.net, rgievita.ws, rlrbqpxv.org, rozhtnmoudg.cc, rpsctacalyd.cn, rrmkv.com, rtpuqxp.net, rtztoupc.net, satmxnz.ws, sbtalilx.com, sdjnaeoh.cc, sirkqq.org, sjkkfjcx.biz, sjkxyjqsx.net, stmsoxiguz.net, tdeghkjm.biz, tkhnvhmh.biz, tmdoxfcc.org, torhobdfzit.cc, trdfcxclp.org, tscmbj.net, tuwcuuuj.com, txeixqeh.biz, uazwqaxlpq.info, ubxxtnzdbij.com, ucnfehj.org, uekmqqedtfm.com, uhtmou.ws, uhveiguagm.biz, uoieg.ws, uttcx.net, uyhgoiwswn.cc, uyvtuutxm.cn, vfxifizf.info, vupnwmw.biz, vzqpqlpk.ws, waeqoxlrprp.org, wdrvyudhg.cc, wediscbpi.org, whgtdhqg.net, wkstxvzr.org, wmrgzac.info, wnwqphzao.info, wsajx.com, wskzbakqfvk.org, wtngipaynh.info, wumvjpbbmse.cc, wuzunxevor.info, wwftlwlvm.org, xcncp.info, xeeuat.com, xhazhbir.biz, xjnyfwt.org, xlrqvoqmsxz.info, xqgbn.cn, xwrrxwmo.cc, xxabrkhb.cc, xxmgkcw.cc, xxxxgvtaa.com, xzoycphicpk.com, ybbfrznr.info, ycceqdmm.cc, ydxnochqn.org, ygmwharv.info, ylnytttckyc.com, yuvudlsdop.cc, ywhaunsyez.cc, ywxdggnaaad.org, zindtsqq.ws, zkywmqx.com, zoosmv.info, zqekqyq.cn, zqked.org, zsatn.ws, ztgsd.info, ztioydng.com, zzczpujz.biz
سپس كرم بر مبناي اسم دامينهايي كه ايجاد كرده است با آدرس ريموت زير تماس برقرار مي كند:
http://[GENERATED DOMAIN NAME].[TOP LEVEL DOMAIN]/search?q=%d
و بعد از محل ريموت فوق خود را دانلود و كپي مي كند.
اين كرم همچنين با بكارگيري مكانيزم peer-to-peer با كامپيوترهاي آلوده ديگر مبادله اطلاعاتي كرده و فايلهايي را دريافت و اجرا مي كند. احتمالاً هدف نويسنده اين كرم اين است كه اين فايلها نيز به شبكه كرمها اضافه شوند.
