Net-Worm.Win32.Kido.bt


Описание:
Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер - 155-165 КБ. Упакован при помощи UPX.

Net-Worm.Win32.Kido:

  • создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx;
  • в системе хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll;
  • прописывает себя в сервисах случайным именем, состоящим из латинских букв;
  • пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.

Инсталляция:
Червь копирует свой исполняемый файл в системный каталог Windows со случайным именем вида:
%System%\<rnd>.dll
где, rnd - случайная последовательность символов.

Червь создает службу запускающую его исполняемый файл при загрузке Windows. При этом создается ключ реестра:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs

Распространение
При помощи сменных носителей.
Червь копирует свой исполняемый файл на все съемные диски с именем:

<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\<rnd>.vmx

где rnd – случайная последовательность строчных букв, X – буква съемного диска.
Вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл: <X>:\autorun.inf. Который запускает исполняемый файл червя при открытии пользователем зараженного раздела при помощи программы "Проводник".

Распространение по сети.
При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, для загрузки исполняемого файла червя на другие компьютеры.
Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе "Сервер"
подробнее об уязвимости: MS08-067

Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, вызывающий переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.
Для того, чтобы воспользоваться вышеуказанной уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора.
Также червь изменяет значение следующего ключа реестра:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost "netsvcs" = "<оригинальное значение> %System%\<rnd>.dll"

Методы борьбы:
  1. Удаляем оригинальный файл червя (расположение зависит от способа, которым программа попала на компьютер).
  2. Удалить файл - %System%\<rnd>.dll, где rnd - случайная последовательность символов.
  3. Удалить со всех съемных носителей следующие файлы:
    • <X>:\autorun.inf
    • <X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\.vmx, где rnd – случайная последовательность строчных букв, X – буква съемного диска.
  4. Удалить ключ системного реестра - HKLM\SYSTEM\CurrentControlSet\Services\netsvcs.
  5. Удалить строку - "%System%\.dll" из значения параметра ключа реестра:
    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs".

  6. Перезагрузить компьютер.
  7. Скачать и установить обновление операционной системы MS08-067
  8. Произвести полную проверку компьютера с антивирусом, с обновленными антивирусными базами.
  9. Перезагрузить компьютер.