Известный под разными именами (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based и т д) и во множестве вариациях, Kido был обнаружен впервые ещё осенью прошлого года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители («флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов и спокойно занимается лавинным размножением (подробности будут чуть далее). Данная вредоносная программа по мнению F-Secure создана для формирования бот-сетей с целью извлечения из нее прибыли или пакетной продажи. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет. Также, «Создатели этого вируса еще по-настоящему не использовали его. Но они могут в любой момент сделать с зараженными машинами все, что захотят», — говорит главный советник по вопросам безопасности все того же F-Secure - Патрик Руналд (Patrik Runald).
Сетевой червь, распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован при помощи UPX.
При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.
Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости:
www.microsoft.com). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.
Характерными признаками наличия данного вируса может быть:
1. обнаружение антивирусным ПО зараженных файлов
- %все папки общего доступа% RECYCLERS-%Число%%случайная буквенная комбинация%.vmx
- %ProgramFiles%Internet Explorer%случайная буквенная комбинация%.dll
- %ProgramFiles%Movie Maker%случайная буквенная комбинация%.dll
- %System%%случайная буквенная комбинация%.dll
- %Temp%%случайная буквенная комбинация%.dll
- %ALLUSERSPROFILE%Application Data%случайная буквенная комбинация%.dll
2. остановка служб (и отсутствие возможности их запуска.):
- server
- workstation
- отсутствие звука системы и вообще
- отключена служба восстановления системы;
- Блокировка обновления ВСЕХ популярных антивирусников, так же захода на их странички!
- Частый ребут
3. наличие в системе назначенных задний формата At1.job, At2.job,..
Также вредоносное ПО может модифицировать ряд веток реестра, что может повлечь за собой некорректную работу ряда сервисов.
После успешной установки себя в качестве службы вирус предпринимает попытки дальнейшего растространения, а также пытается подобрать пароли к учетным записям. Учетные записи перебираются по очереди, для каждой из них используется статичный набор простых паролей (порядка 100).
Червь Kido - обзор и лечение
Kido
Ответить с цитированием
Ваши права
Социальные закладки