Воскресенье, 19-Мая-2024, 06:48:11
Приветствую Вас Гость | RSS
Дубровно
Главная
Регистрация
Вход
Форма входа

Категории раздела
Новости сайта [10]
Что нового на сайте...
Новости города Дубровно [2]
Новости нашего города...
Разное [5]
Все обо всем
Телекоммуникации и связь [46]
Мобильная, городская и прочая связь и телекоммуникации
MTS-GSM [0]
VELCOM-GSM [0]
DIALLOG-GSM [0]
Life :) (БеСТ) -GSM [0]
Интернет [7]
Всё, что твориться в интернете
Software [11]
Программное обеспечение и всё, что с ним связано
Наука, образование, информация [2]
Наука, образование, информация и всё, что с ними связано
Прикол техники [1]
Различные ноу-хао в техники, электроники, производстве и т.д., но с приколами

Поиск
Главная » 2009 » Январь » 18 » Net-Worm.Win32.Kido.bt . Новый интернет-червяк!!!
20:30:30
Net-Worm.Win32.Kido.bt . Новый интернет-червяк!!!
Как и обещал вам! Подробное описание его, на что он влияет и как с ним бороться!!!!
Поехали!!!!!!!

Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов варьируется в пределах от 155 до 165 КБ. Упакован при помощи UPX.

  • Технические детали
  • Деструктивная активность
  • Рекомендации по удалению

    • Инсталляция

    Червь копирует свой исполняемый файл в системный каталог Windows со случайным именем вида:

    %System%\<rnd>.dll, где <rnd> - случайная последовательность символов.

    Для автоматического запуска при следующем старте системы червь создает службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:

    [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

    Также червь изменяет значение следующего ключа реестра:

    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" = "<оригинальное значение> %System%\<rnd>.dll"

    Распространение по сети

    При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

    Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

    Для того, чтобы воспользоваться вышеуказанной уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора. Для этого червь последовательно перебирает следующие пароли:

    99999999
    9999999
    999999
    99999
    9999
    999
    99
    9
    88888888
    8888888
    888888
    88888
    8888
    888
    88
    8
    77777777
    7777777
    777777
    77777
    7777
    777
    77
    7
    66666666
    6666666
    666666
    66666
    6666
    666
    66
    6
    55555555
    5555555
    555555
    55555
    5555
    555
    55
    5
    44444444
    4444444
    444444
    44444
    4444
    444
    44
    4
    33333333
    3333333
    333333
    33333
    3333
    333
    33
    3
    22222222
    2222222
    222222
    22222
    2222
    222
    22
    2
    11111111
    1111111
    111111
    11111
    1111
    111
    11
    1
    00000000
    0000000
    00000
    0000
    000
    00
    0987654321
    987654321
    87654321
    7654321
    654321
    54321
    4321
    321
    21
    12
    super
    secret
    server
    computer
    owner
    backup
    database
    lotus
    oracle
    business
    manager
    temporary
    ihavenopass
    nothing
    nopassword
    nopass
    Internet
    internet
    example
    sample
    love123
    boss123
    work123
    home123
    mypc123
    temp123
    test123
    qwe123
    abc123
    pw123
    root123
    pass123
    pass12
    pass1
    admin123
    admin12
    admin1
    password123
    password12
    password1
    default
    foobar
    foofoo
    temptemp
    temp
    testtest
    test
    rootroot
    root    		 fuck
    zzzzz
    zzzz
    zzz
    xxxxx
    xxxx
    xxx
    qqqqq
    qqqq
    qqq
    aaaaa
    aaaa
    aaa
    sql
    file
    web
    foo
    job
    home
    work
    intranet
    controller
    killer
    games
    private
    market
    coffee
    cookie
    forever
    freedom
    student
    account
    academia
    files
    windows
    monitor
    unknown
    anything
    letitbe
    letmein
    domain
    access
    money
    campus
    explorer
    exchange
    customer
    cluster
    nobody
    codeword
    codename
    changeme
    desktop
    security
    secure
    public
    system
    shadow
    office
    supervisor
    superuser
    share
    adminadmin
    mypassword
    mypass
    pass
    Login
    login
    Password
    password
    passwd
    zxcvbn
    zxcvb
    zxccxz
    zxcxz
    qazwsxedc
    qazwsx
    q1w2e3
    qweasdzxc
    asdfgh
    asdzxc
    asddsa
    asdsa
    qweasd
    qwerty
    qweewq
    qwewq
    nimda
    administrator
    Admin
    admin
    a1b2c3
    1q2w3e
    1234qwer
    1234abcd
    123asd
    123qwe
    123abc
    123321
    12321
    123123
    1234567890
    123456789
    12345678
    1234567
    123456
    12345
    1234
    123

    Распространение при помощи сменных носителей

    Червь копирует свой исполняемый файл на все съемные диски со следующим именем:

    <X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\<rnd>.vmx, где rnd – случайная последовательность строчных букв, X – буква съемного диска.

    Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:

    <X>:\autorun.inf

    Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

    При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов "svchost.exe". Внедренный код выполняет основной деструктивный функционал червя:

    • отключает службу восстановления системы;
    • блокирует доступ к адресам, содержащим следующие строки:
      indowsupdate
      wilderssecurity
      threatexpert
      castlecops
      spamhaus
      cpsecure
      arcabit
      emsisoft
      sunbelt
      securecomputing
      rising
      prevx
      pctools
      norman
      k7computing
      ikarus
      hauri
      hacksoft
      gdata
      fortinet
      ewido
      clamav
      comodo
      quickheal
      avira
      avast
      esafe
      ahnlab
      centralcommand
      drweb
      grisoft
      eset
      nod32
      f-prot
      jotti
      kaspersky
      f-secure
      computerassociates
      networkassociates
      etrust
      panda
      sophos
      trendmicro
      mcafee
      norton
      symantec
      microsoft
      defender
      rootkit
      malware
      spyware
      virus

    Также червь скачивает файл по следующей ссылке:

    http://trafficconverter.biz/*****/antispyware/loadadv.exe

    Скачанный файл сохраняется в системный каталог Windows (%System%) с оригинальным именем и запускается на выполнение. На момент создания описания указанная ссылка не работала.

    Также червь может скачивать файлы по ссылкам вида:

    http://<URL>/search?q=<%rnd2%>

    где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов:

    http://www.w3.org
    http://www.ask.com
    http://www.msn.com
    http://www.yahoo.com
    http://www.google.com
    http://www.baidu.com

    Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.

    Рекомендации по удалению

    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления воспользуйтесь специальной утилитой и рекомендациями по удалению, которые можно скачать по следующей ссылке: www.kaspersky.ru

    либо выполните следующие действия:

    1. Удалить ключ системного реестра:
      [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
    2. Удалить строку "%System%\<rnd>.dll" из значения следующего параметра ключа реестра:
      [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"
    3. Перезагрузить компьютер
    4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
    5. Удалить файл:

      %System%\<rnd>.dll, где <rnd> - случайная последовательность символов.

    6. Удалить следующие файлы со всех съемных носителей:

      <X>:\autorun.inf
      <X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\.vmx,       где rnd – случайная последовательность строчных букв, X – буква съемного диска.

    7. Скачать и установить обновление операционной системы по следующей ссылке: www.microsoft.com
    8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

    Инфа взяра с сайта: viruslist.com

    Категория: Интернет | Просмотров: 531 | Добавил: mc_pin | Рейтинг: 0.0/0
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]
    Календарь
    «  Январь 2009  »
    ПнВтСрЧтПтСбВс
       1234
    567891011
    12131415161718
    19202122232425
    262728293031

    Архив записей

    Наш опрос
    Часто ли Вы посещаете этот сат?
    Результаты | Архив опросов
    Всего ответов: 62

    Мини-чат
    200

    Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz

    • Статистика
    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0

    Copyright MyCorp © 2024