Worm.Conficker.Win32.415
Worm.Kido.Win32.415 - мережний хробак, який використовує для свого поширення знімні носії й мережу.
Методи поширення
Хробак використовує для ррозмноження знімні носії інформації й мережу. Для поширення по мережі використовується критична уразливість (переповнення буфера) у службі Server Windows (svchost.exe) (MS08-067), для цього хробак посилає на комп'ютер що атакується, спеціальним образом сформований Rpc-Запит, який спричиняє переповнення буфера. Якщо атака через уразливість удалася - комп'ютер-жертва завантажує файл вірусу по протоколу HTTP.
У випадку невдачі вірус намагається атакувати комп'ютер методом підбора пароля адміністратора й підключитися до мережних ресурсів (ADMIN$, C$,IPC$). Дані мережеві ресурси існують за замовчуванням. Доступ до них можливий тільки з під акаунта адміністратора.
Перебір пароля ведеться по словникові, перебираються наступні паролі:
000000 |
america |
freedom |
phone |
Якщо підбор пароля вдався, то вірус копіює себе в папку Windows\System32 і створює завдання в планувальнику завдань для свого запуску.
При розмноженні через знімні носії хробак копіює себе в папку RECYCLER під іменем: S-<випадкове ім'я>.dll, а в корні знімного диска створює файл autorun.inf, який дозволить виконатися копії хробака, якщо на комп'ютері, що атакується, включений автозапуск.
Функціональні можливості
При запуску хробак копіює своє тіло в папки %System%, %Program Files%, %Temp%, % ProgramFiles% \ Movie Maker, % ProgramFiles% \ Internet Explorer з випадковими іменами й розширеннями ‘*.tmp’ і ‘*.dll’.
Для автоматичного запуску при кожному старті Windows, хробак створює службу, яка запускає його тіло при кожному наступному завантаженні . Для цього створюються ключі реєстру:
[HKLM\SYSTEM\Currentcontrolset\Services\netsvcs]
[HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Svchost]
"netsvcs" = "%System%\<випадкове ім'я>.dll"
Також хробак створює ключ реєстру для автоматичного запуску при кожному старті системи:
[HKCU \ Software \ Microsoft \ Windows \ Currentversion \ Run]
"<випадкове ім'я >"= %system% "\Rundll32.exe <системна папка> \ < випадкове й ім'я файлу >. DLL, <параметри>"
Після чого хробак впроваджує свій код в адресний простір одного із системних процесів.
Хробак встановлює в системі власний Http-Сервер, який використовується для завантаження тіла хробака на інші комп'ютери.
Хробак відключає служби:
- Центр забезпечення безпеки Windows Service (wscsvc)
- Автоматичне оновлення Windows Auto Update Service (wukuserv)
- Фонова інтелектуальна служба передачі (BITS) - виконує передачу даних у фоновому режимі, використовуючи резерви мережі.
- Служба реєстрації помилок (ersvc) - відправляє звіти про помилки в Microsoft
Хробак відключає можливість перегляду прихованих файлів і папок, змінюючи для цього значення реєстру:
[HKCR\ Software\Microsoft\Windows\Currentversion\Explorer\Advanced]
"Hidden" = "dword: 0x00000002"
"Superhidden" = "dword: 0x00000000"
[HKLM\Software\Microsoft\Windows\Currentversion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"Checkedvalue" = "dword: 0x00000000"
Також хробак відключає вбудований firewall і блокує доступ до серверів антивірусних компаній. Блокує запуск деяких програм.
Хробак може видаляти точки відновлення системи, з метою захистити себе від видалення при використанні цього методу відновлення системи.
Деструктивні особливості
Завантажує з мережі Internet шкідливе ПО ( по зазначених у тілі адресах) і потай інсталює його в систему. Таким чином, наявність хробака в системі відкриває до неї практично необмежений доступ. Даний хробак часто використовується для створення підлеглих мереж (Botnet).