Worm.Kido.Win32.3

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Worm.Kido.Win32.3

Worm.Kido.Win32.3 - мережний хробак, який використовує для свого поширення знімні носії й мережу.

Методи поширення

Хробак використовує для ррозмноження знімні носії інформації й мережу. Для поширення по мережі використовується критична уразливість (переповнення буфера) у службі Server Windows (svchost.exe) (MS08-067), для цього хробак посилає на комп'ютер що атакується, спеціальним образом сформований Rpc-Запит, який спричиняє переповнення буфера. Якщо атака через уразливість удалася - комп'ютер-жертва завантажує файл вірусу по протоколу HTTP.
У випадку невдачі вірус намагається атакувати комп'ютер методом підбора пароля адміністратора й підключитися до мережних ресурсів (ADMIN$, C$,IPC$). Дані мережеві ресурси існують за замовчуванням. Доступ до них можливий тільки з під акаунта адміністратора.

Перебір пароля ведеться по словникові, перебираються наступні паролі:

000000
00000000
111111
11111111
123123
12345
123456
1234567
12345678
123456789
1234qwer
123abc
123asd
123qwe
54321
654321
88888888
abc123
academia
admin
admin$
admin123
administrator
Admins

america
anchor
anything
april
arrow
artist
asdfgh
basic
changeme
cluster
codeword
coffee
compaq
cookie
country
dirty
discovery
drive
edition
email
england
english
forever
france

freedom
french
ghost
ihavenopass
india
input
japan
julie
killer
letmein
logout
macintosh
modem
Monday
mouse
mypass
mypc123
network
nobody
pass123
password1
password123

phone
phrase
printer
private
pw123
right
Saturday
script
simple
student
superuser
target
temp123
test123
thailand
user1
video
virus
xxxxx
xxxxxx
xxxxxxxx
xxxxxxxxx

Якщо підбор пароля вдався, то вірус копіює себе в папку Windows\System32 і створює завдання в планувальнику завдань для свого запуску.
При розмноженні через знімні носії хробак копіює себе в папку RECYCLER під іменем: S-<випадкове ім'я>.vmx, а в корні знімного диска створює файл autorun.inf, який дозволить виконатися копії хробака, якщо на комп'ютері, що атакується, включений автозапуск.

Функціональні можливості

При запуску хробак копіює своє тіло в папки %System%, %Program Files%, %Temp% з випадковими іменами й розширеннями ‘*.tmp’ і ‘*.dll’.

Для автоматичного запуску при кожному старті Windows, хробак створює службу, яка запускає його тіло при кожному наступному завантаженні . Для цього створюються ключі реєстру:

[HKLM\SYSTEM\Currentcontrolset\Services\netsvcs]
[HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Svchost]
"netsvcs" = "%System%\<випадкове ім'я>.dll"

Після чого хробак впроваджує свій код в адресний простір одного із системних процесів.

Хробак встановлює в системі власний Http-Сервер, який використовується для завантаження тіла хробака на інші комп'ютери.

Хробак відключає служби:

Центр забезпечення безпеки Windows Service (wscsvc)
Автоматичне оновлення Windows Auto Update Service (wukuserv)
Фонова інтелектуальна служба передачі (BITS) - виконує передачу даних у фоновому режимі, використовуючи резерви мережі.
Служба реєстрації помилок (ersvc) - відправляє звіти про помилки в Microsoft

Також хробак відключає вбудований firewall і можливість перегляду прихованих файлів. Блокує доступ до серверів антивірусних компаній. Блокує запуск деяких програм.

Деструктивні особливості

Завантажує з мережі Internet шкідливе ПО ( по зазначених у тілі адресах) і потай інсталює його в систему. Таким чином, наявність хробака в системі відкриває до неї практично необмежений доступ. Даний хробак часто використовується для створення підлеглих мереж (Botnet).