Согласно Microsoft, вирус Worm:Win32/Conficker.A распространяется в основном только внутри корпораций, но уже отмечены случаи нападений на компьютеры обычных пользователей. Вирус открывает случайный порт между 1024 и 10000, и выступает в роли Web сервера. Как только удаленный компьютер подвергается атаке, Web сервер загружает на компьютер копию червя, используя случайно открытый порт. При копировании червь использует расширение .jpg, и затем записывает себя в системную папку как dll файл с произвольным именем.
Причём что самое интересное, после копирования червь устанавливает в систему патч, так что она становиться защищённой от подобных атак. Некоторые могут подумать: "Какой заботливый червь," – но на самом деле причина этого действия другая – он просто закрывает дорогу конкурентам.
Как сообщает Microsoft, большинство нападений обнаружено в США. Но также отмечены случаи нападений на компьютеры пользователей в Германии, Испании, Франции, Италии, Тайване, Японии, Бразилии, Турции, Китае, Мексике, Канады, Аргентины и Чили. Червь также избегает заражать компьютеры, расположенные на территории Украины, для этого он использует базу стран загружаемых отсюда ttp://www.maxmind.com/
Сетевой червь, эксплуатирующий уязвимость, описанную в бюллетене MS08-067. Червь может также загружать и выполнять произвольные файлы.
Другие названия:
Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)
При запуске, червь Win32/Conficker.A создает копию в директории %System% с произвольным именем. Win32/Conficker.A c проверяет использует ли зараженная машина Windows 2000. Если да, то червь внедряет свой код в процесс services.exe.
Если операционная система отлична от Windows 2000, червь создает службу со следующими характеристиками:
Имя службы: netsvcs
Путь к файлу: %System%\\svchost.exe -k netsvcs
Также создает следующий ключ реестра:
HKLM\\SYSTEM\\CurrentControlSet\\Services\\netsvcs\\Parameters\\ServiceDll = "%System%\\<worm executable filename>.dll"
Win32/Conficker.A подключается к домену trafficconverter.biz и пытается загрузить и выполнить следующие файлы:
