сайт ALPANF( www.alpanf.ucoz.ru ) Воскресенье, 24.09.2017, 00:45
Приветствую Вас Гость | RSS
Меню сайта


Категории раздела
Мои статьи [346]
Мини-чат
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0
Форма входа
Главная » Статьи » Мои статьи

Net-Worm.Win32.Kido.ih
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.

Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).

Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.

Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.

Другие модификации
Net-Worm.Win32.Kido.bt
Net-Worm.Win32.Kido.dv
Net-Worm.Win32.Kido.fx
Net-Worm.Win32.Kido.ir
Net-Worm.Win32.Kido.jq

Другие названия

Net-Worm.Win32.Kido.ih («Лаборатория Касперского») также известен как:
Worm.Win32.AutoRun.zfe («Лаборатория Касперского»)
Virus: W32/Conficker.worm.gen.a (McAfee)
Mal/Conficker-A (Sophos)
Worm.Downadup-63 (ClamAV)
Trojan.Dropper-20398 (ClamAV)
Worm.Kido-322 (ClamAV)
W32/Conficker.C.worm (Panda)
W32/WormX.JOX (FPROT)
W32/Conficker!Generic (FPROT)
Worm:Win32/Conficker.B (MS(OneCare))
Win32.HLLW.Shadow.based (DrWeb)
Win32/Conficker.X worm (Nod32)
Win32.Worm.Downadup.Gen (BitDef7)
Worm.Kido.TN (VirusBuster)
Worm.Kido.EF (VirusBuster)
Trojan.Conficker.Gen!Pac (VirusBuster)
Win32:Rootkit-gen [Rtk] (AVAST)
Win32:Confi [Wrm] (AVAST)
Trojan-Downloader.Win32.Kido (Ikarus)
Net-Worm.Win32.Kido (Ikarus)
Worm.Win32.Conficker (Ikarus)
I-Worm/Generic.DCZ (AVG)
Worm/Downadup (AVG)
WORM/Conficker.K (AVIRA)
TR/Dropper.Gen (AVIRA)
W32.Downadup.B (NAV)
W32/Conficker.IL (Norman)
W32/Conficker.AFG (Norman)
W32/Conficker.FA (Norman)
Worm.Win32.MS08-067.c (Rising)
Net-Worm.Win32.Kido.ih [AVP] (FSecure)
WORM_DOWNAD.AD (TrendMicro)
Trojan.Win32.Generic!BT (Sunbelt)
Worm.Win32.Downad.Gen (v) (Sunbelt)
Trojan.Malware (Sunbelt)
Worm.Kido.TN (VirusBusterBeta)
Worm.Kido.EF (VirusBusterBeta)

Trojan.Conficker.Gen!Pac (VirusBusterBeta)


Распространение по сети

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Для того, чтобы воспользоваться вышеуказанной уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора.

Распространение при помощи сменных носителей

Червь копирует свой исполняемый файл на все съемные диски со следующим именем:
<X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx,

где rnd – случайная последовательность строчных букв, d – произвольное число, X – буква съемного диска.

Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
<X>:\autorun.inf

Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Деструктивная активность

При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов "svchost.exe". Внедренный код выполняет основной деструктивный функционал червя:
отключает следующие службы:
wuauserv
BITS
блокирует доступ к адресам, содержащим следующие строки:
indowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus

Также червь может скачивать файлы по ссылкам вида:
http://<URL>/search?q=<%rnd2%>

где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов:
http://www.w3.org
http://www.ask.com
http://www.msn.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com

Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления воспользуйтесь специальной утилитой и рекомендациями по удалению, которые можно скачать по следующей ссылке:
http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215

либо выполните следующие действия:
Удалить ключ системного реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
Удалить строку "%System%\<rnd>.dll" из значения следующего параметра ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"
Перезагрузить компьютер
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить копию червя:
%System%\<rnd>.dll
%Program Files%\Internet Explorer\<rnd>.dll
%Program Files%\Movie Maker\<rnd>].dll
%All Users Application Data%\<rnd>.dll
%Temp%\<rnd>.dll
%System%\<rnd>.tmp
%Temp%\<rnd>.tmp

где <rnd> - случайная последовательность символов.
Удалить следующие файлы со всех съемных носителей:
<X>:\autorun.inf
<X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx,

где rnd – случайная последовательность строчных букв, d – произвольное число, X – буква съемного диска.
Скачать и установить обновление операционной системы по следующей ссылке:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Категория: Мои статьи | Добавил: swed (25.10.2010)
Просмотров: 1907
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
  • сайт для всех© 2017Хостинг от uCoz