Меню

Укр Рус

Downloader.Kido.Win32.212

Виды вредоносных программ:
Downloader.Kido.Win32.212

Worm.Kido.Win32.120  - мережний хробак, який використовує для свого поширення знімні носії й мережу.  розмір хробака 84992 байт, написан на Microsoft Visukl C++ 6.0, не впакован. Являє собою динамічно підключаєму бібліотеку (DLL).

Методи поширення

Хробак використовує для ррозмноження знімні носії інформації й мережу. Для поширення по мережі використовується  критична уразливість (переповнення буфера) у службі Server Windows (svchost.exe)  (MS08-067), для цього хробак посилає на  комп'ютер що атакується, спеціальним образом сформований Rpc-Запит, який спричиняє переповнення буфера. Якщо атака через уразливість удалася - комп'ютер-жертва завантажує файл вірусу по протоколу HTTP.
У випадку невдачі вірус намагається атакувати комп'ютер методом підбора пароля адміністратора й підключитися до мережних ресурсів (ADMIN$, C$,IPC$). Дані мережеві ресурси існують за замовчуванням. Доступ до них можливий тільки  з під акаунта адміністратора.

Перебір пароля ведеться по словникові, перебираються наступні паролі:

000000
 00000000
 111111
 11111111
 123123
 12345
 123456
 1234567
 12345678
 123456789
 1234qwer
 123abc
 123asd
 123qwe
 54321
 654321
 88888888
 abc123
 academia
 admin
 admin$
 admin123
 administrator
 Admins

america
 anchor
 anything
 april
 arrow
 artist
 asdfgh
 basic
 changeme
 cluster
 codeword
 coffee
 compaq
 cookie
 country
 dirty
 discovery
 drive
 edition
 email
 england
 english
 forever
 france

freedom
 french
 ghost
 ihavenopass
 india
 input
 japan
 julie
 killer
 letmein
 logout
 macintosh
 modem
 Monday
 mouse
 mypass
 mypc123
 network
 nobody
 pass123
 password1
 password123

phone
 phrase
 printer
 private
 pw123
 right
 Saturday
 script
 simple
 student
 superuser
 target
 temp123
 test123
 thailand
 user1
 video
 virus
 xxxxx
 xxxxxx
 xxxxxxxx
 xxxxxxxxx


Якщо підбор пароля вдався, то вірус копіює себе в папку Windows\System32 і створює завдання в планувальнику завдань для свого запуску.
При розмноженні через знімні носії хробак копіює себе в папку RECYCLER під іменем:  S-<випадкове ім'я>.dll, а в корні знімного диска створює файл autorun.inf, який дозволить виконатися копії хробака, якщо на комп'ютері, що атакується, включений автозапуск.

Функціональні можливості

При запуску хробак  копіює своє тіло в  папки %System%, %Program Files%, %Temp%, % ProgramFiles% \ Movie Maker,  % ProgramFiles% \ Internet Explorer з випадковими іменами й розширеннями ‘*.tmp’ і ‘*.dll’.

Для автоматичного запуску при кожному старті Windows, хробак створює службу, яка запускає його тіло при кожному наступному завантаженні . Для цього створюються ключі реєстру:

 [HKLM\SYSTEM\Currentcontrolset\Services\netsvcs]
 [HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Svchost]
 "netsvcs" = "%System%\<випадкове ім'я>.dll"

Також хробак створює ключ реєстру для автоматичного запуску при кожному старті системи:

[HKCU \ Software \ Microsoft \ Windows \ Currentversion \ Run]

 "<випадкове ім'я >"=  %system% "\Rundll32.exe <системна папка> \ < випадкове й ім'я файлу >. DLL, <параметри>" 

Після чого хробак впроваджує свій код в адресний простір одного із системних процесів.

Хробак встановлює в системі власний Http-Сервер, який використовується для завантаження тіла хробака на інші комп'ютери.

Хробак відключає служби:

  •  Центр забезпечення безпеки Windows Service (wscsvc) 
  •  Автоматичне оновлення Windows Auto Update Service (wukuserv) 
  •  Фонова інтелектуальна служба передачі (BITS) - виконує передачу даних у фоновому режимі, використовуючи резерви мережі.
  •  Служба реєстрації помилок (ersvc) - відправляє звіти про помилки в Microsoft  

Хробак відключає можливість перегляду прихованих файлів і папок, змінюючи для цього  значення реєстру:

[HKCR\ Software\Microsoft\Windows\Currentversion\Explorer\Advanced]
 "Hidden" = "dword: 0x00000002"
 "Superhidden" = "dword: 0x00000000"

[HKLM\Software\Microsoft\Windows\Currentversion\Explorer\Advanced\Folder\Hidden\SHOWALL]
 "Checkedvalue" = "dword: 0x00000000"

Також хробак відключає вбудований firewall і блокує доступ до серверів антивірусних компаній. Блокує запуск деяких програм.

Хробак може видаляти точки відновлення системи, з метою захистити себе від видалення при використанні цього методу відновлення системи.

Деструктивні особливості

Завантажує з мережі Internet шкідливе ПО ( по зазначених у тілі адресах) і потай інсталює його в систему. Таким чином, наявність хробака в системі відкриває до неї практично необмежений доступ. Даний хробак часто використовується для створення підлеглих мереж (Botnet).