Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 2 из 2

Тема: Net-Worm.Win32.Kido.ih

Понравилась статья? Поделись с друзьями!
  1. #1
    Аватар для Мирный Атом
    Мирный Атом
    Мирный Атом вне форума

    Местный
    Регистрация
    22.03.2011
    Адрес
    Россия, Каменск-Уральский
    Сообщений
    126
    Поблагодарил(а)
    138
    Благодарностей
    79
    Записей в дневнике
    3

    Net-Worm.Win32.Kido.ih

    Технические детали

    Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов варьируется в пределах от 155 до 165 КБ. Упакован при помощи UPX.

    Инсталляция

    Червь копирует свой исполняемый файл в следующие папки со случайным именем:

    Скрытый текст

    %System%\<rnd>
    %Program Files%\Internet Explorer\<rnd>.dll
    %Program Files%\Movie Maker\<rnd>.dll
    %All Users Application Data%\<rnd>.dll
    %Temp%\<rnd>.dll
    %Temp%\<rnd>.tmp

    где <rnd> - случайная последовательность символов.

    Для автоматического запуска при следующем старте системы червь создает службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:

    [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

    Также червь изменяет значение следующего ключа реестра:
    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
    "netsvcs" = "<оригинальное значение> %System%\<rnd>.dll"


    Распространение по сети

    При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

    Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: http://www.microsoft.com/technet/sec.../MS08-067.mspx). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

    Для того, чтобы воспользоваться вышеуказанной уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора. Для этого червь последовательно перебирает следующие пароли:

    Щелкните что бы развернуть:

    99999999
    9999999
    999999
    99999
    88888888
    8888888
    888888
    88888
    8888
    888
    88
    8
    77777777
    7777777
    777777
    77777
    7777
    777
    77
    7
    66666666
    6666666
    666666
    66666
    6666
    666
    66
    6
    55555555
    5555555
    555555
    55555
    5555
    555
    55
    5
    44444444
    4444444
    444444
    44444
    4444
    444
    44
    4
    33333333
    3333333
    333333
    33333
    3333
    333
    33
    3
    22222222
    2222222
    222222
    22222
    2222
    222
    22
    2
    11111111
    1111111
    111111
    11111
    1111
    111
    explorer
    exchange
    customer
    cluster
    nobody
    codeword
    codename
    changeme
    desktop
    security
    secure
    public
    system
    shadow
    office
    supervisor
    superuser
    share
    super
    secret
    server
    computer
    owner
    backup
    database
    lotus
    oracle
    business
    manager
    temporary
    ihavenopass
    nothing
    nopassword
    nopass
    Internet
    internet
    example
    sample
    love123
    boss123
    work123
    home123
    mypc123
    temp123
    test123
    qwe123
    abc123
    pw123
    root123
    pass123
    pass12
    pass1
    admin123
    admin12
    admin1
    password123
    password12
    password1
    9999
    999
    99
    9
    11
    1
    00000000
    0000000
    00000
    0000
    000
    00
    0987654321
    987654321
    87654321
    7654321
    654321
    54321
    4321
    321
    21
    12
    fuck
    zzzzz
    zzzz
    zzz
    xxxxx
    xxxx
    xxx
    qqqqq
    qqqq
    qqq
    aaaaa
    aaaa
    aaa
    sql
    file
    web
    foo
    job
    home
    work
    intranet
    controller
    killer
    games
    private
    market
    coffee
    cookie
    forever
    freedom
    student
    account
    academia
    files
    windows
    monitor
    unknown
    anything
    letitbe
    letmein
    domain
    access
    money
    campus
    default
    foobar
    foofoo
    temptemp
    temp
    testtest
    test
    rootroot
    root
    adminadmin
    mypassword
    mypass
    pass
    Login
    login
    Password
    password
    passwd
    zxcvbn
    zxcvb
    zxccxz
    zxcxz
    qazwsxedc
    qazwsx
    q1w2e3
    qweasdzxc
    asdfgh
    asdzxc
    asddsa
    asdsa
    qweasd
    qwerty
    qweewq
    qwewq
    nimda
    administrator
    Admin
    admin
    a1b2c3
    1q2w3e
    1234qwer
    1234abcd
    123asd
    123qwe
    123abc
    123321
    12321
    123123
    1234567890
    123456789
    12345678
    1234567
    123456
    12345
    1234
    123


    Распространение при помощи сменных носителей

    Червь копирует свой исполняемый файл на все съемные диски со следующим именем:

    <X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx
    где <rnd> – случайная последовательность строчных букв, d – произвольное число, X – буква съемного диска.

    Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:

    <X>:\autorun.inf
    Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".


    Деструктивная активность

    При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов "svchost.exe". Внедренный код выполняет основной деструктивный функционал червя:

    отключает следующие службы:
    wuauserv
    BITS
    блокирует доступ к адресам, содержащим следующие строки:

    Щелкните чтобы развернуть:

    windowsupdate
    wilderssecurity
    threatexpert
    castlecops
    spamhaus
    cpsecure
    arcabit
    emsisoft
    sunbelt
    securecomputing
    rising
    prevx
    pctools
    norman
    k7computing
    ikarus
    hauri
    hacksoft
    gdata
    fortinet
    ewido
    clamav
    comodo
    quickheal
    avira
    avast
    esafe
    ahnlab
    centralcommand
    drweb
    grisoft
    eset
    nod32
    f-prot
    jotti
    kaspersky
    f-secure
    computerassociates
    networkassociates
    etrust
    panda
    sophos
    trendmicro
    mcafee
    norton
    symantec
    microsoft
    defender
    rootkit
    malware
    spyware
    virus

    Также червь может скачивать файлы по ссылкам вида:

    http://<URL>/search?q=<%rnd2%>
    где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов:

    http://www.w3.org
    http://www.ask.com
    http://www.msn.com
    http://www.yahoo.com
    http://www.google.com
    http://www.baidu.com

    Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.


    Рекомендации по удалению

    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления воспользуйтесь специальной утилитой и рекомендациями по удалению, которые можно скачать по следующей ссылке:

    http://<font color="seagreen">http:/...8636215</font>
    либо выполните следующие действия:



    1. Удалить ключ системного реестра:
    [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
    2. Удалить строку "%System%\<rnd>.dll" из значения следующего параметра ключа реестра:
    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
    "netsvcs"

    3. Перезагрузить компьютер
    4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
    5. Удалить копию червя:
    %System%\<rnd>
    %Program Files%\Internet Explorer\<rnd>.dll
    %Program Files%\Movie Maker\<rnd>.dll
    %All Users Application Data%\<rnd>.dll
    %Temp%\<rnd>.dll
    %Temp%\<rnd>.tmp

    где <rnd> - случайная последовательность символов.

    6. Удалить следующие файлы со всех съемных носителей:
    <X>:\autorun.inf
    <X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx,

    где rnd – случайная последовательность строчных букв, d – произвольное число, X – буква съемного диска.

    7. Скачать и установить обновление операционной системы по следующей ссылке:
    http://<font color="blue">http://www...67.mspx</font>


    Комментарий модератора

    1. Bern
    2. Красный цвет разрешён к использованию только администраторами и модераторами
    Последний раз редактировалось Bern; 23.03.2011 в 15:41.

  2. #2
    Аватар для Bern
    Bern
    Bern вне форума

    Супер-модератор
    Регистрация
    22.03.2011
    Сообщений
    288
    Поблагодарил(а)
    122
    Благодарностей
    84
    Добавлю:
    Чтобы дополнительно обезопасить свой компьютер необходимо:
    1. установить критическое обновление для операционной системы, закрывающие уязвимости: MS08-067, MS08-068, MS09-001;
    2. установить надежный пароль учетной записи Администратор;
    3. отключить автозапуск исполняемых файлов со съемных носителей.

    Для Microsoft Windows XP Service Pack 2 критические обновления размещены по адресам:
    http://www.microsoft.com/downloads/d...displaylang=ru
    http://www.microsoft.com/downloads/d...displaylang=ru
    http://www.microsoft.com/downloads/d...displaylang=ru
    Последний раз редактировалось Bern; 23.03.2011 в 14:41.

  3. 1 пользователь сказал cпасибо Bern за это полезное сообщение:

    Мирный Атом (23.03.2011)

 

 

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 23.07.2016, 04:25
  2. Net-Worm.Win32.Kido.ir
    от Мирный Атом в разделе Описание вирусов
    Ответов: 0
    Последнее сообщение: 22.03.2011, 19:08

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •