Другие модификации: .bt, .dv
Технические детали
Net-Worm_Win32_Kido.fx использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации.
Эта разновидность червя является файлом Windows PE DLL. Размер файла составляет 158110 байт. Файл упакован с использованием UPX-технологии.
Инсталляция
Червь копирует свой исполняемый файл в следующие папки со случайными именами вида:
%System%/rnddir.dll
%Program Files%/Internet Explorer/rnd.dll
%Program Files%/Movie Maker/rnd.dll
%All Users Application Data%/rnd.dll
%Temp%/rnd.dll
%System%/rndtmp
%Temp%/rnd.tmp
где rnd — случайная последовательность символов.
Для автоматического запуска при следующем старте системы червь создает службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:
[HKLM/SYSTEM/CurrentControlSet/Services/netsvcs]
Имя службы является комбинацией следующих слов:
Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Windows
Также червь изменяет значение следующего ключа реестра:
[HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/SvcHost] "netsvcs" = "original value %System%/rnd.dll"
Изменяет следующие значения реестра с целью скрыть свои файлы в «Проводнике»:
[HKCR/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden" = "dword: 0x00000002"
"SuperHidden" = "dword: 0x00000000"
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue" = "dword: 0x00000000"
Для определения своего присутствия в системе червь создает следующий уникальный идентификатор:
Global/%rnd%-%rnd%
Распространение по сети
Для обеспечения быстрого распространения в сети червь использует функционал системного драйвера tcpip.sys, увеличивая возможное число сетевых соединений в системе.
С целью определения внешнего IP адреса зараженной системы червь соединяется со следующими серверами:
http://www.getmyip.org
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org
После чего червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.
Копии червя имеют следующие расширения:
.bmp
.gif
.jpeg
.png
Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос на TCP порты 139 (NetBIOS) и 445 (Direct hosted SMB), который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.
После успешной атаки червь устанавливает ловушку на API вызов NetpwPathCanonicalize (библиотека netapi32.dll), предотвращая переполнение буфера, вследствие отсутствия проверки размера входящих строк, тем самым делая повторное использование уязвимости невозможным.
Чтобы ускорить свое распространение червь изменяет следующее значение реестра:
[HKLM/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
"TcpNumConnections" = "dword:0x00FFFFFE"
Для того, что бы воспользоваться выше указанной уязвимостью червь должен подключиться к удаленной машине под учетной записью администратора. Для этого червь осуществляет поиск подходящего компьютера в сети и получает для него список имен пользователей. Для каждого имени учетной записи пользователя червь последовательно перебирает следующие пароли:
99999999,
9999999,
999999,
99999,
9999,
999,
99,
9,
88888888,
8888888,
888888,
88888,
8888,
888,
88,
8,
77777777,
7777777,
777777,
77777,
7777,
777,
77,
7,
66666666,
6666666,
666666,
66666,
6666,
666,
66,
6,
55555555,
5555555,
555555,
55555,
5555,
555,
55,
5,
44444444,
4444444,
444444,
44444,
4444,
444,
44,
4,
33333333,
3333333,
333333,
33333,
3333,
333,
33,
3,
22222222,
2222222,
222222,
22222,
2222,
222,
22,
2,
11111111,
1111111,
111111,
11111,
1111,
111,
11,
1,
00000000,
0000000,
00000,
0000,
000,
00,
0987654321,
987654321,
87654321,
7654321,
654321,
54321,
4321,
321,
21,
12,
fuck,
zzzzz,
zzzz,
zzz,
xxxxx,
xxxx,
xxx,
qqqqq,
qqqq,
qqq,
aaaaa,
aaaa,
aaa,
sql,
file,
web,
foo,
job,
home,
work,
intranet,
controller,
killer,
games,
private,
market,
coffee,
cookie,
forever,
freedom,
student,
account,
academia,
files,
windows,
monitor,
unknown,
anything,
letitbe,
letmein,
domain,
access,
money,
campus,
explorer,
exchange,
customer,
cluster,
nobody,
codeword,
codename,
changeme,
desktop,
security,
secure,
public,
system,
shadow,
office,
supervisor,
superuser,
share,
super,
secret,
server,
computer,
owner,
backup,
database,
lotus,
oracle,
business,
manager,
temporary,
ihavenopass,
nothing,
nopassword,
nopass,
Internet,
internet,
example,
sample,
love123,
boss123,
work123,
home123,
mypc123,
temp123,
test123,
qwe123,
abc123,
pw123,
root123,
pass123,
pass12,
pass1,
admin123,
admin12,
admin1,
password123,
password12,
password1,
default,
foobar,
foofoo,
temptemp,
temp,
testtest,
test,
rootroot,
root,
adminadmin,
mypassword,
mypass,
pass,
Login,
login,
Password,
password,
passwd,
zxcvbn,
zxcvb,
zxccxz,
zxcxz,
qazwsxedc,
qazwsx,
q1w2e3,
qweasdzxc,
asdfgh,
asdzxc,
asddsa,
asdsa,
qweasd,
qwerty,
qweewq,
qwewq,
nimda,
administrator,
Admin,
admin,
a1b2c3,
1q2w3e,
1234qwer,
1234abcd,
123asd,
123qwe,
123abc,
123321,
12321,
123123,
1234567890,
123456789,
12345678,
1234567,
123456,
12345,
1234,
123
При получении доступа с правами Администратора, червь копирует себя в следующие папки общего доступа:
//name of host/ADMIN$/System32/rnd.rnd
//name of host/IPC$/rnd.rnd
После чего файл червя может быть запущен или запланирован на запуск удаленно с помощью следующей команды:
rundll32.exe path to worm file, rnd
Распространение при помощи сменных носителей
Червь копирует свой исполняемый файл на все съемные диски со следующим именем:
X:/RECYCLER/S-%d%-%d%-%d%-%d%-%d%-
%d%-%d%/rnd.vmx, где rnd является строкой случайных строчных букв; D является случайным числом; X
буква диска.
Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
X:/autorun.inf
Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Деструктивная активность
При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов "svchost.exe" (также червь может производить запись своего кода в процессы "explorer.exe", "services.exe"). Внедренный код выполняет основной деструктивный функционал червя:
- отключает следующие службы:
Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Security Center Service (wscsvc)
Windows Defender Service (WinDefend, WinDefender)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)
- блокирует доступ к адресам, содержащим следующие строки:
nai
ca
avp
avg
vet
bit9
sans
cert
windowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus
Для Windows Vista червь отключает автонастройку стека TCP/IP с целью ускорить свое распросранение по сетевым каналам, используя фиксированный размер окна для TCP пакета:
netsh interface tcp set global autotuning=disabled
Также червь устанавливает ловушки на следующие API вызовы (из библиотеки dnsrslvr.dll) с целью заблокироавть доступ к списку пользовательских доменов:
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto
Также червь может скачивать файлы по ссылкам вида:
http://URL/search?q=%rnd2%
где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов:
http://www.w3.org
http://www.ask.com
http://www.msn.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com
http://www.myspace.com
http://www.msn.com
http://www.ebay.com
http://www.cnn.com
http://www.aol.com
Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления воспользуйтесь специальной утилитой и рекомендациями по удалению, которые можно скачать по следующей ссылке:
http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215
либо выполните следующие действия:
- Удалить ключ системного реестра:
[HKLM/SYSTEM/CurrentControlSet/Services/netsvcs]
- Удалить строку "%System%.dll" из значения следующего параметра ключа реестра:
[HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/SvcHost]
"netsvcs"
- Восстановить следующие значения реестра:
[HKCR/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden" = "dword: 0x00000002"
"SuperHidden" = "dword: 0x00000000"
на
[HKCR/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden" = "dword: 0x00000001"
"SuperHidden" = "dword: 0x00000001"
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue" = "dword: 0x00000000"
на
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue" = "dword: 0x00000001"
- Перезагрузить компьютер.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить копию червя:
%System%/rnddir.dll
%Program Files%/Internet Explorer/rnd.dll
%Program Files%/Movie Maker/rnd.dll
%All Users Application Data%/rnd.dll
%Temp%/rnd.dll
%System%/rndtmp
%Temp%/rnd.tmp
где rnd — случайная последовательность символов.
- Удалить следующие файлы со всех съемных носителей:
X:/autorun.inf
X:/RECYCLER/S-%d%-%d%-%d%-%d%-%d%-%d%-
%d%/rnd.vmx,
- Скачать и установить обновление операционной системы по следующей ссылке:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
|