Информационная безопасность компьютерных систем и защита конфиденциальных данных
Вредоносные программы

Net-Worm.Win32.Kido.bt

автор: Administrator | 23 марта 2009, 23:24 | Просмотров: 10608
теги: Вредоносные, программы, червь, NetWorm, Kido, Windows, Conficker, Downadup, AutoRun



Описание:
Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов варьируется в пределах от 155 до 165 КБ. Упакован при помощи UPX.


Инсталляция:
Червь копирует свой исполняемый файл в системный каталог Windows со случайным именем вида:
%System%\<rnd>.dll
где, rnd - случайная последовательность символов.

Для автоматического запуска при следующем старте системы червь создает службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

Также червь изменяет значение следующего ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" = "<оригинальное значение> %System%\<rnd>.dll"


Распространение при помощи сменных носителей:
Червь копирует свой исполняемый файл на все съемные диски со следующим именем:
<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\<rnd>.vmx
где rnd – случайная последовательность строчных букв, X – буква съемного диска.

Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
<X>:\autorun.inf

Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".


Симптомы заражения:
1. Отключены и/или не можете включить службы:
Windows Update Service
Background Intelligent Transfer Service
Windows Defender
Windows Error Reporting Services

2. ПК не имеет доступ к адресам, содержащим следующие строки:


Краткое описание семейства Net-Worm.Win32.Kido:
»» Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx

»» В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll

»» Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.

»» Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.

»» Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):


Распространение по сети:
При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер»
подробнее об уязвимости:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx


Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Для того, чтобы воспользоваться вышеуказанной уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора. Для этого червь последовательно перебирает следующие пароли:


Деструктивная активность:
При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов "svchost.exe". Внедренный код выполняет основной деструктивный функционал червя:
>> отключает службу восстановления системы
>> блокирует доступ к адресам, содержащим следующие строки:


Рекомендации по удалению:
1. Удалить ключ системного реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

2. Удалить строку "%System%\.dll" из значения следующего параметра ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"

3. Перезагрузить компьютер

4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

5. Удалить файл:
%System%\<rnd>.dll
где rnd - случайная последовательность символов

6. Удалить следующие файлы со всех съемных носителей:
<X>:\autorun.inf
<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\.vmx
где rnd – случайная последовательность строчных букв, X – буква съемного диска

7. Скачать и установить обновление операционной системы по следующей ссылке:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

8. Произвести полную проверку компьютера с антивирусом, с обновленными антивирусными базами



Технология Rootkit:
Вредоносное ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя, используя методы:
Внедряется в следующие API-функции:
• DNS_Query_A
• DNS_Query_UTF8
• DNS_Query_W
• Query_Main
• sendto


Язык программирования:
Вредоносная программа была написана на MS Visual C++. Для осложнения, определения и сокращения размера файла он был упакован одним из runtime packer'ов.


источник:
symantec.com
viruslist.com


Также, рекомендуем прочитать следующие статьи:
1. Как удалить червя Conficker (aka Downadup и Kido) вручную?
2. Как остановить распространение червя Kido (aka Downadup и Conficker)?


Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.

Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.