・W32/Conficker.worm.gen.bが実行されると、ランダムな名前を使って、%Sysdir%フォルダに自身をコピーします。
(%Sysdir%はWindowsのシステムフォルダ。例:C:\Windows\System32)
・以下のレジストリキーを改変し、感染したシステムにランダムな名前のサービスを作成します。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{ランダム}\Parameters\
ServiceDll = "Path to worm"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{ランダム}\
ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs
・以下のWebサイトに接続し、感染したコンピュータのパブリックIPアドレスを入手しようとします。
- hxxp://www.getmyip.org
- hxxp://getmyip.co.uk
- hxxp://checkip.dyndns.org
- hxxp://whatsmyipaddress.com
・リモートサイトからマルウェアファイルをダウンロードしようとします。(問題のロシア語のサイトは現在も公開されていますが、ファイルはなくなっています。)
- hxxp://trafficconverter.biz/[削除]antispyware/[削除].exe
・システム起動時にロードするため、RUNキーに項目を追加します。
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
rundll32.exe "%Malware Path%"/[ランダム]
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
rundll32.exe "%Malware Path%"[ランダム]
・感染したホストのサブネットを絶えずスキャンして、脆弱なマシンを探し、エクスプロイトを実行します。成功すると、リモートコンピュータがHTTPサーバに接続し、W32/Conficker.worm.gen.bのコピーをダウンロードします。
・さまざまなセキュリティ関連のWebサイトへのアクセスをブロックしようとします。プライマリドメインの一例は以下のとおりです。
- ahnlab
- arcabit
- avas
- avg
- avira
- avp
- bit9
- ca
- castlecops
- centralcommand
- cert
- clamav
- comodo
- computerassociates
- cpsecure
- drweb
- emsisoft
- esafe
- eset
- etrust
- ewido
- fortinet
- f-prot
- f-secure
- gdata
- grisoft
- hacksoft
- hauri
- ikarus
- jotti
- k7computing
- kaspersky
- mcafee
- microsoft
- nai
- networkassociates
- nod32
- norman
- norton
- panda
- pctools
- prevx
- quickheal
- rising
- sans
- securecomputing
- sophos
- spamhaus
- sunbelt
- symantec
- threatexpert
- trendmicro
- vet
- wilderssecurity
- windowsupdate
・Windowsでスケジュールされたタスクを作成し、rundll32を使って自身をロードします。
・感染マシンのランダムなポートでHTTPサーバを開設し、W32/Conficker.worm.gen.bのコピーをホストします。
