Questo periodo di vacanze è uno dei periodi più critici per gli attacchi alla sicurezza delle infrastrutture informatiche, perché il livello di attenzione è solitamente più basso e i tempi di reazione sono molto più estesi.

È il caso del Worm.Conficker, che da un mese a questa parte si sta diffondendo nelle reti aziendali e su internet sfruttando principalmente la vulnerabilità pubblicata da Microsoft con il bollettino di sicurezza MS08-067.

Una nuova variante è stata isolata a fine anno, interessante perché tenta più vie di diffusione e blocca l’accesso ai siti internet delle società di sicurezza.

La dll che viene creata all’interno della directory di sistema, dalle dimensioni di 157.816 bytes e dal nome casuale, è compressa con UPX e con un packer proprietario, utilizzato per offuscare il codice. Infatti, decompresso il primo livello di compressione, ci si trova davanti a dello spaghetti-code, una serie continua e interminabile di redirezioni di codice, inserite con lo scopo di rallentare tentativi di decompressione del codice malevolo.

La libreria di sistema viene configurata con gli attributi di file nascosto, file di sistema e sola lettura. Inoltre vengono modificati diritti di accesso al file, settando le ACL in modo tale che nessuno possa accedervi.

Il malware disabilita alcuni servizi di Windows, tra cui Windows Defender, BITS e Windows Update.

Disabled services

Per autoavviarsi, la libreria di sistema crea una voce all’interno del registro di sistema, alla chiave:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices{NOME CASUALE} con valore %SystemRoot%system32svchost.exe -k netsvcs

e come parametro ServiceDll il percorso alla dll infetta. Facendo ciò, il malware ha modo di avviarsi tra i servizi di sistema, iniettato all’interno del processo svchost.exe.

Modifica le impostazioni di Windows in modo da velocizzare la diffusione di sé stesso all’interno di lan aziendali. Per far ciò modifica il parametro autotuning attraverso il comando:

netsh interface tcp set global autotuning=disabled

Modifica la voce di registro SYSTEMCurrentControlSetServicesTcpipParameters [TcpNumConnections]

Carica un driver per patchare in memoria il driver tcpip.sys e sbloccare il limite delle connessioni che Microsoft ha inserito in Windows XP SP2.

Crea inoltre la seguente chiave di registro:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun [VALORE CASUALE] = “rundll32 [NOME DLL INFETTA],{stringa casuale}”

Modifica la seguente chiave di registro per evitare di mostrare i file nascosti:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL [CheckedValue] = “0”

Per evitare il ripristino di sistema, utilizza l’API ResetSR esportata dalla libreria del sistema operativo srclient.dll in modo da cancellare tutti i punti di ripristino esistenti.

Le ACL delle chiavi di registro create per autoeseguire l’infezione vengono modificate in modo tale da renderne più difficile l’accesso e la rimozione.

Il worm, modifica il firewall di Windows, aprendo una porta TCP casuale e mettendosi poi in ascolto come server HTTP. Il server verrà utilizzato per diffondere l’infezione via lan.

Per bloccare l’accesso ai siti web dedicati alla sicurezza informatica il worm intercetta e blocca le richieste DNS contenenti una delle seguenti stringhe:


cert.
sans.
bit9.
vet.
avg.
avp.
ca.
nai.
windowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus

Blocked Websites

Una volta fatto ciò, il worm inizia la routine di replicazione. Per fare ciò, tenta di diffondersi attraverso la lan sfruttando attacchi dizionario e un exploit per la falla MS08-067, già sistemata da Microsoft con gli aggiornamenti di Windows.

Per l’attacco dizionario, il worm cerca tutti i PC in rete con condivisione ADMIN$ e tenta l’accesso utilizzando una delle seguenti password:

0
00
000
0000
00000
0000000
00000000
1
11
111
1111
11111
111111
1111111
11111111
2
22
222
2222
22222
222222
2222222
22222222
3
33
333
3333
33333
333333
3333333
33333333
4
44
444
4444
44444
444444
4444444
44444444
5
55
555
5555
55555
555555
5555555
55555555
6
66
666
6666
66666
666666
6666666
66666666
7
77
777
7777
77777
777777
7777777
77777777
8
88
888
8888
88888
888888
8888888
88888888
9
99
999
9999
99999
999999
9999999
99999999
123
123123
12321
123321
1234
12345
123456
1234567
12345678
123456789
1234567890
1234abcd
1234qwer
123abc
123asd
123qwe
1q2w3e
12
21
321
4321
54321
654321
7654321
87654321
987654321
a1b2c3
aaa
aaaa
aaaaa
abc123
academia
access
account
Admin
admin
admin1
admin12
admin123
adminadmin
administrator
anything
asddsa
asdfgh
asdsa
asdzxc
backup
boss123
business
campus
changeme
cluster
codename
codeword
coffee
computer
controller
cookie
customer
database
default
desktop
domain
example
exchange
explorer
file
files
foo
foobar
foofoo
forever
freedom
fuck
games
home
home123
ihavenopass
Internet
internet
intranet
job
killer
letitbe
letmein
login
Login
lotus
love123
manager
market
money
monitor
mypass
mypassword
mypc123
nimda
nobody
nopass
nopassword
nothing
office
oracle
owner
pass
pass1
pass12
pass123
passwd
password
Password
password1
password12
password123
private
public
pw123
q1w2e3
qazwsx
qazwsxedc
qqq
qqqq
qqqqq
qwe123
qweasd
qweasdzxc
qweewq
qwerty
qwewq
root
root123
rootroot
sample
secret
secure
security
server
shadow
share
sql
student
super
superuser
supervisor
system
temp
temp123
temporary
temptemp
test
test123
testtest
unknown
web
windows
work
work123
xxx
xxxx
xxxxx
zxccxz
zxcvb
zxcvbn
zxcxz
zzz
zzzz
zzzzz

Se l’attacco ha successo, la dll infetta viene copiata all’interno di [indirizzo pc]ADMIN$System32[NOME CASUALE].dll e ne viene programmata l’esecuzione come job attraverso l’API NetScheduleJobAdd.

Il worm si diffonde anche attraverso dispositivi removibili, quali pen drive usb. Una volta connesso il dispositivo, il malware crea il file autorun.inf e copia la dll all’interno della cartella RECYCLER. Sia la cartella che il file vengono configurati con attributo di sola lettura.

Se la data del sistema è il 1 Gennaio 2009, il worm tenterà di scaricare una versione aggiornata di sé stesso – con possibili nuove funzionalità – da una serie di siti Internet.

È dunque importante per tutte le aziende e gli utenti rimasti infetti di controllare i PC e di rimuovere l’infezione.

Prevx CSI ed Edge sono in grado di individuare, intercettare e rimuovere l’infezione.