Worm.Kido.Win32

Worm.Kido.Win32  - сімейство мережних хробаків, які використовують для свого поширення знімні носії й мережу.

Методи поширення

Дане сімейство хробаків використовує для ррозмноження знімні носії інформації й мережу. Для поширення по мережі використовується  критична уразливість (переповнення буфера) у службі Server Windows (svchost.exe)  (MS08-067), для цього хробак посилає на комп'ютер що атакується, спеціальним образом сформований Rpc-Запит, який викликає переповнення буфера. У випадку невдачі вірус намагається атакувати комп'ютер методом добору пароля адміністратора – якщо це вдається, вірус копіює себе в папку %System% і створює завдання в планувальнику завдань для свого запуску.
При розмноженні через знімні носії хробак копіює себе в папку RECYCLER  на носії, а в корені  диска створює файл autorun.inf, який дозволить виконатися копії хробака, якщо на комп'ютері, що атакується, включений автозапуск.

Функціональні можливості

При запуску хробак впроваджує свій код в адресний простір одного із системних процесів.

Відключає служби:

•  Центр забезпечення безпеки Windows Service (wscsvc) 
•  Автоматичне відновлення Windows Auto Update Service (wukuserv) 
•  Фонова інтелектуальна служба передачі (BITS) - виконує передачу даних у фоновому режимі, використовуючи резерви мережі.
•  Служба реєстрації помилок (ersvc) - відправляє звіти про помилки в Microsoft 

Відключає firewall і можливість перегляду прихованих файлів. Блокує доступ до серверів антивірусних компаній. Блокує запуск деяких програм.

Деструктивні особливості

Хробак завантажує з Internet шкідливе ПО зазначене зловмисником і потай інсталює його в систему. Таким чином, наявність хробака в системі відкриває до неї практично необмежений доступ. Дане сімейство хробаків часто використовується для створення підлеглих мереж (Botnet).