Меню

Укр Рус

Downloader.Kido.Win32.212

Виды вредоносных программ:
Downloader.Kido.Win32.212

Worm.Kido.Win32.120 - сетевой червь, который использует для своего распространения съемные носители и сеть.
размер червя 84992 байт, написан на Microsoft Visukl C++ 6.0, не упакован. Представляет собой динамически подключаемую библиотеку (DLL).

Методы распространения

Червь использует для размножения съёмные носители информации и сеть. Для распространения по сети используется  критическая уязвимость (переполнение буфера) в службе Server Windows (svchost.exe)  (MS08-067), для этого червь посылает на атакуемый компьютер специальным образом сформированный RPC-запрос, который вызывает переполнение буфера. Если атака через уязвимость удалась -  компьютер-жертва загружает файл вируса по протоколу HTTP.
В случае неудачи вирус пытается атаковать компьютер методом подбора пароля администратора и подключиться к сетевым ресурсам (ADMIN$, C$ ,IPC$). Данные сетевые ресурсы существуют по умолчанию. Доступ к ним возможен только  из под аккаунта администратора.

Перебор пароля ведется по словарю, перебираются следующие пароли:

000000
00000000
111111
11111111
123123
12345
123456
1234567
12345678
123456789
1234qwer
123abc
123asd
123qwe
54321
654321
88888888
abc123
academia
admin
admin$
admin123
administrator
Admins

america
anchor
anything
april
arrow
artist
asdfgh
basic
changeme
cluster
codeword
coffee
compaq
cookie
country
dirty
discovery
drive
edition
email
england
english
forever
france

freedom
french
ghost
ihavenopass
india
input
japan
julie
killer
letmein
logout
macintosh
modem
Monday
mouse
mypass
mypc123
network
nobody
pass123
password1
password123

phone
phrase
printer
private
pw123
right
Saturday
script
simple
student
superuser
target
temp123
test123
thailand
user1
video
virus
xxxxx
xxxxxx
xxxxxxxx
xxxxxxxxx


Если подбор пароля удался, то вирус копирует себя в папку Windows\System32 и создает задачу в планировщике заданий для своего запуска.
При размножении через съемные носители червь копирует себя в папку RECYCLER под именем:  S-<случайное имя>.dll , а в корне съемного диска создает файл autorun.inf, который позволит выполниться копии червя, если на атакуемом компьютере включен автозапуск.

Функциональные возможности

При запуске червь  копирует своё тело в  папки %System%, % ProgramFiles% \ Internet Explorer,  % ProgramFiles% \ Movie Maker,  %Temp%  со случайными именами и расширениями ‘*.tmp’ и ‘*.dll’.

Для автоматического запуска при каждом старте Windows,  червь создает службу, которая запускает его тело при каждой последующей загрузке .

 Для этого создаются ключи реестра:

 [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
 [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
 "netsvcs" = "%System%\<случайное имя>.dll"

Также червь создает ключ реестра для автоматического запуска при каждом старте системы:

[HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]

 "<случайное имя >"=  %system% "\Rundll32.exe <системная папка> \ < случаной имя файла >. DLL, <параметры>"

После чего червь внедряет свой код в адресное пространство одного из системных процессов.

Червь устанавливает в системе собственный HTTP-сервер, который используется для загрузки тела червя на другие компьютеры.

Червь отключает службы:

  •  Центр обеспечения безопасности Windows Service (wscsvc) 
  •  Автоматическое обновление Windows Auto Update Service (wukuserv) 
  •  Фоновая интеллектуальная служба передачи (BITS) - выполняет передачу данных в фоновом режиме, используя резервы сети.
  •  Служба регистрации ошибок (ersvc) - отправляет отчеты об ошибках в Microsoft  

Червь отключает возможность просмотра скрытых файлов и папок, изменяя для этого  значения реестра:

[HKCR\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "dword: 0x00000002"
"SuperHidden" = "dword: 0x00000000"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "dword: 0x00000000"

Также червь отключает встроенный firewall и блокирует доступ к серверам антивирусных компаний. Блокирует запуск некоторых приложений.

Червь может удалять точки восстановления системы, с целью защитить себя  от удаления при использовании этого метода восстановления системы.

Деструктивные особенности

Скачивает из сети Internet вредоносное ПО (по указанным в теле адресам) и скрытно инсталлирует его в систему. Таким образом, наличие червя в системе открывает к ней практически неограниченный доступ. Данный червь часто используется для создания подчиненных сетей (BotNet).