Worm.Kido.Win32.3
Worm.Kido.Win32.3 - сетевой червь, который использует для своего распространения съемные носители и сеть.
Методы распространения
Червь использует для размножения съёмные носители информации и сеть. Для распространения по сети используется критическая уязвимость (переполнение буфера) в службе Server Windows (svchost.exe) (MS08-067), для этого червь посылает на атакуемый компьютер специальным образом сформированный RPC-запрос, который вызывает переполнение буфера. Если атака через уязвимость удалась - компьютер-жертва загружает файл вируса по протоколу HTTP.
В случае неудачи вирус пытается атаковать компьютер методом подбора пароля администратора и подключиться к сетевым ресурсам (ADMIN$, C$ ,IPC$). Данные сетевые ресурсы существуют по умолчанию. Доступ к ним возможен только из под аккаунта администратора.
Перебор пароля ведется по словарю, перебираются следующие пароли:
000000 |
america |
freedom |
phone |
Если подбор пароля удался, то вирус копирует себя в папку Windows\System32 и создает задачу в планировщике заданий для своего запуска.
При размножении через съемные носители червь копирует себя в папку RECYCLER под именем: S-<случайное имя>.vmx , а в корне съемного диска создает файл autorun.inf, который позволит выполниться копии червя, если на атакуемом компьютере включен автозапуск.
Функциональные возможности
При запуске червь копирует своё тело в папки %System%, %Program Files%, %Temp% со случайными именами и расширениями ‘*.tmp’ и ‘*.dll’.
Для автоматического запуска при каждом старте Windows, червь создает службу, которая запускает его тело при каждой последующей загрузке . Для этого создаются ключи реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" = "%System%\<случайное имя>.dll"
После чего червь внедряет свой код в адресное пространство одного из системных процессов.
Червь устанавливает в системе собственный HTTP-сервер, который используется для загрузки тела червя на другие компьютеры.
Червь отключает службы:
- Центр обеспечения безопасности Windows Service (wscsvc)
- Автоматическое обновление Windows Auto Update Service (wukuserv)
- Фоновая интеллектуальная служба передачи (BITS) - выполняет передачу данных в фоновом режиме, используя резервы сети.
- Служба регистрации ошибок (ersvc) - отправляет отчеты об ошибках в Microsoft
Также червь отключает встроенный firewall и возможность просмотра скрытых файлов. Блокирует доступ к серверам антивирусных компаний. Блокирует запуск некоторых приложений.
Деструктивные особенности
Скачивает из сети Internet вредоносное ПО (по указанным в теле адресам) и скрытно инсталлирует его в систему. Таким образом, наличие червя в системе открывает к ней практически неограниченный доступ. Данный червь часто используется для создания подчиненных сетей (BotNet).