Информационная безопасность компьютерных систем и защита конфиденциальных данных
Вредоносные программы

Net-Worm.Win32.Kido.bt

автор: Administrator | 23 марта 2009, 23:24 | Просмотров: 12033
теги: Вредоносные, программы, червь, NetWorm, Kido, Windows, Conficker, Downadup, AutoRun

Описание:
Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов варьируется в пределах от 155 до 165 КБ. Упакован при помощи UPX.

Инсталляция:
Червь копирует свой исполняемый файл в системный каталог Windows со случайным именем вида:
%System%\<rnd>.dll
где, rnd - случайная последовательность символов.

Для автоматического запуска при следующем старте системы червь создает службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

Также червь изменяет значение следующего ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" = "<оригинальное значение> %System%\<rnd>.dll"


Распространение при помощи сменных носителей:
Червь копирует свой исполняемый файл на все съемные диски со следующим именем:
<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\<rnd>.vmx
где rnd – случайная последовательность строчных букв, X – буква съемного диска.

Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
<X>:\autorun.inf

Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".