Win32.Worm.Downadup.Gen
( W32.Downadup, W32/Worm.AHGV, Net-Worm.Win32.Kido.bg )| Spreading: | high | |
| Damage: | medium | |
| Size: | varies | |
| Discovered: | 2008 Dec 31 |
SYMPTOMS:
Connection times out while trying to access various antivirus-related websites.Windows Update has been disabled.
Presence of autorun.inf files in the root of mapped drives pointing to a .dll file inside the RECYCLER folder of the drive.
TECHNICAL DESCRIPTION:
Win32.Worm.Downadup is a worm that relies on the Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (MS08-67) in order to spread on other computers in the local network. The authors took various approaches to make this malware especially fast spreading and hard to remove.This malware always comes wrapped in an obfuscated layer which aims at deterring analysis. The layer can be in two flavors, either packed with UPX or not packed, but it is always obfuscated and uses various rarely used apis to break emulators. The real malware is contained inside in an encrypted form. It is packed with a standard upx version, but to deter unpacking it is never written on disk and it doesn't have the PE header which makes it appear as an invalid executable. This has the side effect of being undetectable when injected into another process, it just looks as standard memory allocated page.
A computer can be infected by possible three means:
* if not patched with the latest security updates (in this case if MS08-67 vulnerability is not patched), by an already infected computer in the local network
* if the administrator account of the computer has a weak password (brute force dictionary attack against administrator password is used)
* if the computer has the Autoplay feature enabled and an infected mapped/removable drive stick is attached.
Once gained execution this worm does the following actions:
* hooks NtQueryInformationProcess from ntdll.dll inside the running process
* creates a named Mutex based on the computer name
* injects intself into one of the following processes:
* explorer.exe
* svchost.exe
* uses the following registry key to hide the files with hidden attributes:
* HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
* executes the following command, which disables auto-tuning (details) option under Windows Vista :
*
netsh interface tcp set global autotuninglevel=disabled* copies itself into one or more of the following locations:
* %Program Files%\Internet Explorer\[Random Name].dll
* %Program Files%\Movie Maker\[Random Name].dll
* %Documents and Settings%\All Users\Application Data\[Random Name].dll
* %Temp%\[Random Name].dll
* %System32%\[Random Name].dll
* if residing into services.exe application (Win2K) it hooks on the following apis:
* NetpwPathCanonicalize from netapi32.dll - this api is used to avoid reinfection of the local machine from other infected computers
* sendto from ws2_dll.dll
* if residing into svchost.exe it hooks the following apis
* NetpwPathCanonicalize from netapi32.dll - this api is used to avoid reinfection of the local machine from other infected computers
* DnsQuery_A, DnsQuery_W, DnsQuery_UTF8, Query_Main from dnsapi.dll - this apis are hooked to restrict access to various sites related to antivirus companies.
* it sets maximum number of simultaneous connections allowed by doing one of the following
* patching tcpip.sys driver, using a driver it drops itself (contained in an unencrypted form)
* setting HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections" to "00FFFFFE"
* injects itself into services.exe (Win2K)
* it sets the following registry keys (if they are not set already), probably as an infection marker:
* HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
* HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
* HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
* HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
* Disabled the following Windows services:
* Background Intelligent Transfer Service (BITS)
* Windows Automatic Update Service (wuauserv)
* sets the following registry key to hide files with hidden attribute:
* HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
* enumerates all the available ADMIN$ network shares and tries to connect as an existing user using a list of weak passwords (essentially doing a dictionary attack on the user passwords). Examples of passwords from the available ones:
* academia
* access
* account
* Admin
* admin
* admin1
* admin12
* admin123
* adminadmin
* administrator
* anything
* asddsa
* asdfgh
* asdsa
* asdzxc
* backup
* boss123
If this attack is successful it copies itself into the share directory:
* ShareName\ADMIN$\System32\[Random Name].dll
To be sure the file is launched it creates a scheduled job on the attacked server, which is to run every day. The job looks like this:
* rundll32.exe [Random Name].dll, [Random String]
* it connects to the following URL's to get the address of the infected machine
* http://www.getmyip.org
* http://www.whatsmyipaddress.com
* http://getmyip.co.uk
* http://checkip.dyndns.org
This ip address, along with a random port number, is used to create a HTTP server which is used by the worm to infect using the MS08-67 vulnerability. The infected computers which connect to that ip and port will be exploited and forced to download a copy of the malware hidden with a random name and with one of the following extensions:
* png
* bmp
* jpg
* gif
* it monitors remote and removable drives for infection using the Autoplay feature:
* a copy of the file is placed inside a random folder (created by the malware) :
* an obfuscated autorun.inf file is generated used to launch the malware from the above location. The file is obfuscated by adding random commentaries, with random length.
* Using the apis hooked from dnsapi.dll it denies (error timed out) access to sites containing one of the following strings:
* virus
* spyware
* malware
* rootkit
* defender
* microsoft
* symantec
* norton
* mcafee
* trendmicro
* sophos
* panda
* etrust
* networkassociates
* computerassociates
* f-secure
* kaspersky
* jotti
* f-prot
* nod32
* eset
* grisoft
* drweb
* centralcommand
* ahnlab
* esafe
* avast
* avira
* quickheal
* comodo
* clamav
* ewido
* fortinet
* gdata
* hacksoft
* hauri
* ikarus
* k7computing
* norman
* pctools
* prevx
* rising
* securecomputing
* sunbelt
* emsisoft
* arcabit
* cpsecure
* spamhaus
* castlecops
* threatexpert
* wilderssecurity
* windowsupdate
* nai.
* ca.
* avp.
* avg.
* vet.
* bit9.
* sans.
* cert.
* connects to one of the following sites to get the current date (day and month) (HTTP_QUERY_DATE)
* w3.org
* ask.com
* yahoo.com
* google.com
* baidu.com
* using the information gathered in the previous step it generates a list of possible update sites with this format:
* http://[Date Base Name].[Random Domain]/search?q=%d
* domain name can be:
* .biz
* .info
* .org
* .net
* .com
* .ws
* .cn
* .cc
* examples of domains generated for 9 January 2009
* opphlfoak.info
* mphtfrxs.net
* hcweu.org
* tpiesl.info
* bmqyp.com
* aqnjou.info
* kxxprzab.net
* gjbueqbdb.com
* qkccgprsp.net
* yjxraefn.org
* civmakjl.net
* ygmjyyzbj.info
* ulptholvr.org
* dqyusn.info
* gsvfy.org
* sjdvt.net
* tizkywcd.com
* bkqxwccwseo.org
* bmrmgxv.com
* xlkfp.org
* pvfesejm.com
These domains most probably contain updates of the worm or other malware related to it.
* In recent variants there has been an added functionality which permits the worm to be update or another payload downloaded by means of remote connection to other computers. The mechanism is based on a bi-directional named pipe (on each computer a named pipe is created with the name "\\.\pipe\System_[COMPUTER_NAME]7") which is used for communication between two infected computers. Upon receiving a null terminated string, it interprets it as an URL and tries to download it. Upon completion of download, the file is checked using an RC4 and an asymmetric cryptographic algorithm and if it's considered valid is executed. This can be seen as a technique employed by the authors to ensure that no foreign payload is injected in the download process.
* deletes all the System Restore points prior to infection.
* The worm protects itself from deletion by removing all NTFS file permissions,except execute and directory traversal, from all users.
On 7 March 2009 a new variant was seen in the wild.While minor modifications were seen before, this variant is very different and had clear indications of the path taken by the writers towards keeping already infected computers and disabling removal tools done by the AV companies.
This version has the following behavior once executed:
- * Checks for presence of itself using a mutex created based on process id. If mutex is created already it exits.
- * Hooks NtQueryInformationProcess from ntdll.dll
- * Creates two random length mutexes based on computer name. These are used to later on.
- * If run using rundll32.exe and above mutexes have been created succesfully then it tries to inject in either : svchost.exe or explorer.exe. It then deletes the scheduled task used to execute itself.
- *Uses the following registry key to hide the files with hidden attributes:
* HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0" - * if residing into services.exe application (Win2K) it hooks on the following apis:
* NetpwPathCanonicalize from netapi32.dll - this api is used to avoid reinfection of the local machine from other infected computers
* sendto from ws2_dll.dll - * if residing into svchost.exe it hooks the following apis
* NetpwPathCanonicalize from netapi32.dll - this api is used to avoid reinfection of the local machine from other infected computers
* DnsQuery_A, DnsQuery_W, DnsQuery_UTF8, Query_Main from dnsapi.dll - this apis are hooked to restrict access to various sites related to antivirus companies. - * error mode is set so that in case of an unhandled exception no information is shown to the user. This can be seen as a safety method to keep the malware stealthy even in case of unknown bugs.
- * hooks InternetGetConnectedState function from wininet.dll.
- * copies itself into system32 and temp directory
- * disables the following services
* wscsvc (Windows Security Center)
* WinDefender (Windows Defender Service)
* wuauserv (Windows Automatic Update Service)
* BITS (Background Intelligent Transfer Service)
* ERSvc (Error Reporting Service)
* WerSvc (Windows Error Reporting Service) - * deletes Window Defender startup key
- * delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot thus not allowing infected machine to perfom a safe boot
- * creates a thread that every second kills processes having names containing one of the following string
* autoruns
* avenger
* confick
* downad
* filemon
* gmer
* hotfix
* kb890
* kb958
* kido
* klwk
* mbsa
* mrt.
* mrtstub
* ms08-06
* procexp
* procmon
* regmon
* scct_
* sysclean
* tcpview
* unlocker
* wireshark
Someone with experience in analyzing malware will immediately see that the worm tries to close any tool which could be used in analyzing its behaviour and also any tool which could be used to disinfect an infected machine - * if an internet connection is available it tries to update itself. This process has changed, it generates 50000 number of random domains and tries to connect to 500 of them randomly. Another change is the fact that there are now 116 possible domain extensions that can be used.
- Sites containing one of the following strings are blocked:
* agnitum
* ahnlab
* anti-
* antivir
* arcabit
* avast
* avgate
* avira
* bothunter
* castlecops
* ccollomb
* centralcommand
* clamav
* comodo
* computerassociates
* conficker
* cpsecure
* cyber-ta
* defender
* downad
* drweb
* dslreports
* emsisoft
* esafe
* eset
* etrust
* ewido
* f-prot
* f-secure
* fortinet
* free-av
* freeav
* gdata
* grisoft
* hackerwatch
* hacksoft
* haur
* ikarus
* jotti
* k7computing
* kaspersky
* kido
* malware
* mcafee
* microsoft
* mirage
* msftncsi
* msmvps
* mtc.sri
* networkassociates
* nod32
* norman
* norton
* onecare
* panda
* pctools
* prevx
* ptsecurity
* quickheal
* removal
* rising
* rootkit
* safety.live
* securecomputing
* secureworks
* sophos
* spamhaus
* spyware
* sunbelt
* symantec
* technet
* threat
* threatexpert
* trendmicro
* trojan
* virscan
* virus
* wilderssecurity
* windowsupdate
* avg
* avp
* bit9
* ca
* cert
* gmer
* kav
* llnw
* llnwd
* msdn
* msft
* nai
* sans - * if a site was found running, the worm downloads the file and checks if it's a valid payload: this is done using asymetric cryptography to test the origin and integrity. If everything is ok, the executable payload is decrypted and executed.
A new variant of the worm has been recently detected in the wild. One of the first issues the update worm addressed was restricting access to the http://bdtools.net resource repository used by BitDefender to supply removal tools for the worm. Also, the removal tools used for the previous variants of the worm have been rendered useless, as the malware would block any file named bd_rem_tool.exe.
- The following keywords are used to deny access to website domains and applications that may remove the malware:
* precisesecurity
* ms-mvp
* mitre
* enigma
* bdtools
* av-sc
* adware
* activescan
* stinger
* kill
* cfremo
* bd_rem
Removal instructions:
To remove Win32.Worm.Downadup.Gen please follow the instructions below:* disable System Restore
* unplug network cable from infected machine
* download MS08-67 vulnerability fix, according to your operating system version from the following url: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
* run attached removal tool
* restart computer
* plug in your network cable
* update BitDefender virus definitions
* perform BitDefender Full System Scan.
Given the fact that the malware blocks the removal tool by name, simply renaming our previous removal tool to anything else except bd_rem_tool would bypass the blocking algorithm.
ANALYZED BY:
Daniel Radu - Virus Researcher, Mihai Cimpoesu - Virus Researcher
e-Guides de Bitdefender
La série des e-Guides Bitdefender est une initiative didactique qui vise à fournir à la communauté des lecteurs et utilisateurs de Bitdefender des informations utiles sur les e-menaces et les problèmes de sécurité de l’univers informatique, tout en leur offrant également des conseils pratiques et des solutions viables répondant à leurs besoins de protection en ligne. Les analystes sécurité de Bitdefender partagent leurs connaissances sur la prévention, l’identification et la suppression des malwares, et en particulier sur la question de la vie privée en ligne et les différentes technologies, les défenses, et les méthodes de prévention contre la cybercriminalité.
Couvrant des sujets allant de la protection en ligne des enfants et de leur famille à la sécurisation des environnements professionnels, en passant par la sécurité sur les réseaux sociaux et à la prévention des pertes de données, la série des e-Guides s’adresse à une audience large de petites organisations et d’utilisateurs individuels préoccupés par la sécurité et la protection de leurs réseaux et de leurs systèmes. Les e-Guides traitent également des problèmes relatifs à l’activité quotidienne des responsables de la sécurité des systèmes informatiques, des administrateurs systèmes et réseaux, des développeurs de technologies de sécurité, des analystes et des chercheurs.
Comment bloguer en toute sécurité
Trucs et astuces sur comment sécuriser votre blog et votre identité
Le blog est un des moyens les plus populaires dexpression écrite sur le web, avec plus de 150 millions de blogs répertoriés dans le monde. Alors que des lecteurs réguliers cherchent des informations et articles, les escrocs y trouvent un intérêt tout différent. Ils sont à la recherche dinformations privées et despace de stockage à moindre coût pour leurs attaques. Ce ne sont que 2 exemples parmi tant dautres dintérêt pour les cyber-pirates.
Ce guide couvre les grandes lignes du « blogging » en toute sécurité et se concentre sur les blogs personnels, quils soient eux-mêmes hébergés ou via des fournisseurs spécialisés.
Guide de sécurisation des réseaux sans fils
Trucs et astuces sur comment protéger votre réseau personnel des intrusions
Ce guide vous expliquera les meilleures pratiques quand on utilise des réseaux sans fil, mais aussi à configurer efficacement votre routeur ou point daccès, pour prévenir de toute intrusion.
Ce document vise les utilisateurs dordinateurs qui ont déployé ou prévoient de déployer un réseau sans fil à la maison. Actuellement les moyens de communication sans fil deviennent de plus en plus importants dans nos vies, et les cybercriminels tentent dexploiter toutes les failles de sécurité dans nos réseaux sans fil, afin dintercepter le trafic et des informations ou utiliser notre connexion internet à des fins illégales.
Guide de protection des enfants en ligne
Comment sécuriser et protéger les activités numériques de vos enfants
Ce document est destiné aux familles, parents et enseignants, et son but est d’aider à sécuriser les activités numériques des enfants et adolescents. A une époque où la production de masse et l’accessibilité des ordinateurs ont répandu l’usage domestique de ces matériels, les enfants sont familiarisés avec les ordinateurs et Internet à un âge très précoce. En dépit des avantages indéniables qu’il présente en termes de communication, le Web peut aussi être un lieu dangereux, où des menaces visent directement leur classe d’âge et leurs ordinateurs, à la maison comme en classe.
Cet e-Guide traite des principaux risques et dangers auxquels sont exposés les enfants sur Internet : cyber-agression, exposition à des contenus déplacés, dépendance au web, et autres activités nocives, tout en mettant également l’accent sur des sujets comme le malware, le phishing, le vol d’identité et le spam, auxquels les adolescents, exactement comme les autres utilisateurs d’Internet, sont exposés aujourd’hui. La section Conseils de sécurité est destinée à aider parents et enseignants à mieux comprendre et faire face à ces problèmes concernant les enfants.
Guide de sécurité en ligne pour les internautes aux tempes grisonnantes
Comment protéger la propriété intellectuelle et financière des cyber-pirates
Ce document est destiné aux familles et aux seniors et son but est de les aider à naviguer sur le web en toute sécurité et à bien profiter de leurs activités en ligne.
Au premier abord, on pourrait avoir tendance à penser que les seniors sont exposés au cybercrime comme n’importe quels autres utilisateurs inexpérimentés d’Internet, quel que soit leur âge. Cependant, comme cet e-Guide le montre à travers plusieurs études de cas, les internautes aux tempes grisonnantes sont la cible de dangers spécifiques, concernant par exemple le paiement de leur pension, de fallacieuses méthodes de paiement des impôts ou des escroqueries financières. Des exemples, des astuces et des conseils complètent les situations décrites et fournissent aux lecteurs des recommandations utiles pour l’exercice de leurs occupations quotidiennes en ligne.
Guide de prévention de l’accès non autorisé aux données
Comment protéger la propriété intellectuelle et financière des cyber-pirates
Cet e-guide a été conçu pour répertorier les nombreux points sensibles de la sécurité des données de l’entreprise, de l’intégrité physique d’un réseau jusqu’aux mécanismes complexes du cybercrime qui prend les entreprises pour cible (chevaux de Troie visant les données bancaires, phishing, par exemple). Ces informations ont également pour objectif d’expliquer – bien que d’une manière moins détaillée que dans une documentation technique complète – en quoi les caractéristiques des différentes solutions Bitdefender pour particuliers et entreprises peuvent intéresser les administrateurs informatiques.
La consultation de ce document peut se révéler utile dans une démarche visant à décider de la meilleure solution de sécurité pour des réseaux de taille réduite ou moyenne. Son contenu constitue également une base solide pour des recherches comparatives ultérieures sur ce sujet.
Livres Blancs
- Phishing and fraud: the make-believe industry - April 2013, Virus Bulletin
- Aggressive Advertisers Pose Privacy Risks
- Bitdefender Case Study: Kids and Online Threats
- FRIENDS, FIENDS and FACEBOOK: The new battlefield against scammers
- Bitdefender Antivirus Technology (.pdf)
- B-HAVE, la route vers le succès (.pdf)
- Le véhicule ou le message ? Comment faire face au spam image, décembre 2006,Bulletin d’information sur les virus
- Lutter contre le Spam Image
- Technologie antispam NeuNet de Bitdefender
- Proactive security I body armor against business attacks
- Livre blanc des menaces émergentes contre la sécurité des entreprises
- Sécurisation contre l’inconnu - Technologie proactive B-HAVE de défense contre les menaces polyvalentes
- Sécurisation de e-mail - La première ligne de défense stratégique
- Nomenclature des virus. Le dilemme du « Qui est qui ? » (en anglais)
- Facebook – Une autre brèche dans le mur
- Bitdefender Active Virus Control : protection proactive contre les menaces nouvelles et en germe
Rapports Bitdefender sur l'état des e-menaces
L’objectif de ce rapport est de fournir les résultats d'une enquête détaillée sur les menaces informatiques actuelles. Les experts en sécurité de Bitdefender® ont analysé et examiné en détail les menaces de chaque semestre, en se concentrant sur les vulnérabilités et exploits des logiciels, les différents types de malwares, mais aussi sur les mesures prises pour les combattre, la prévention contre le cybercrime, et l’application des lois. Ce rapport sur les e-menaces est principalement axé sur les dernières tendances, mais contient aussi des faits et données concernant les périodes d’investigation précédentes, ainsi que quelques prévisions concernant les prochains semestres. Ce document est surtout destiné aux responsables de la sécurité des systèmes d'information, aux administrateurs réseaux, aux développeurs de technologies de sécurité, aux analystes et chercheurs, mais il aborde également des problèmes intéressant une audience plus large, comme les petites entreprises et les particuliers soucieux de la sécurité et de l’intégrité de leurs réseaux et systèmes.
Rapport sur les e-menaces du 1er semestre 2012 - Introduction
Au cours du premier semestre, les vulnérabilités de type « zero-day » ont joué un rôle essentiel dans la diffusion de malwares, les packs d’exploits étant le vecteur d’infections le plus utilisé. Le dangereux exploit de type « zero-day » de l’environnement Java Runtime (CVE-2012-4681) a fait parler de lui et une preuve de concept a été ajoutée à Metasploit, qui a été rendue publique avant la publication d’un correctif.
En conséquence, trois milliards d’appareils fonctionnant avec Java ont été vulnérables à l’exploitation de code à distance pendant environ 48 heures. Un second exploit ciblant Internet Explorer 9 a frappé en septembre. Son utilisation réussie permettait de corrompre un système à distance avec l’installation du backdoor Poison Ivy. Ces deux exploits de type « zero-day » ont été utilisés dans des attaques incessantes de pointe.
2012 a connu des fluctuations quant à la proportion du spam présent dans les e-mails. L’année a débuté par une légère baisse des e-mails de spam, mais le spam a progressé de manière constante vers la mi-2012. Selon les données recueillies par le laboratoire Antispam Bitdefender, le second semestre a enregistré de nouveau une hausse, avec de petites variations vers la fin 2012. L’augmentation du nombre d’e-mails de spam a cependant diminué, de seulement 5%, atteignant environ 73% de l’ensemble des e-mails envoyés dans le monde.
Télécharger Rapport sur les e-menaces au 1er semestre 2012 (pdf)
Télécharger l'aperçu Résumé sur l'état des e-menaces au second semestre 2012 (pdf)
Archive
2012
Télécharger Rapport sur les e-menaces au 1er semestre 2012 (pdf)
2011
Télécharger Résumé du rapport sur les e-menaces au 1er semestre 2011 (pdf)
Télécharger Rapport sur les e-menaces au 2nd semestre 2011 (pdf)
Télécharger Résumé du rapport sur les e-menaces au second semestre 2011 (pdf)
2010
Télécharger Résumé du rapport sur les e-menaces au 2ème semestre 2010 (pdf)
Télécharger Rapport sur les e-menaces au 2ème semestre 2010 (pdf)
Télécharger Résumé du rapport sur les e-menaces au 1er semestre 2010 (pdf)
Télécharger Rapport sur les e-menaces au 1er semestre 2010 (pdf)
2009
Télécharger Résumé du rapport sur le malware et le spam au 1er semestre 2009 (pdf)
Télécharger Rapport sur les e-menaces au 1er semestre 2009 (pdf)
Télécharger Rapport sur le malware et le spam au 2ème semestre 2009 (pdf)
Télécharger Résumé du rapport sur les e-menaces au 2ème semestre 2009 (pdf)
2008
Télécharger Rapport sur les e-menaces au 1er semestre 2008 (pdf)
Télécharger Rapport sur les e-menaces au 2ème semestre 2008 (pdf)
A qui s’adresser ? Vous trouverez ci-dessous la liste de tous nos porte-parole prêts à répondre à chacune de vos questions.
Catalin Cosoi
Chief Security Strategist
Head of Communications
+40 212 063 470
publicrelations[at]bitdefender[dot]com
Andrei Taflan
Global PR Manager
+40 212 063 470
publicrelations[at]bitdefender[dot]com