Worm.Kido.Win32.6
Worm.Kido.Win32.6 - мережний хробак, який використовує для свого поширення знімні носії й мережу.
Методи поширення
Хробак використовує для ррозмноження знімні носії інформації й мережу. Для поширення по мережі використовується критична уразливість (переповнення буфера) у службі Server Windows (svchost.exe) (MS08-067), для цього хробак посилає на комп'ютер що атакується, спеціальним образом сформований Rpc-Запит, який спричиняє переповнення буфера. Якщо атака через уразливість удалася - комп'ютер-жертва завантажує файл вірусу по протоколу HTTP.
У випадку невдачі вірус намагається атакувати комп'ютер методом підбора пароля адміністратора й підключитися до мережних ресурсів (ADMIN$, C$,IPC$). Дані мережеві ресурси існують за замовчуванням. Доступ до них можливий тільки з під акаунта адміністратора.
Перебір пароля ведеться по словникові, перебираються наступні паролі:
000000 |
america |
freedom |
phone |
Якщо підбор пароля вдався, то вірус копіює себе в папку Windows\System32 і створює завдання в планувальнику завдань для свого запуску.
При розмноженні через знімні носії хробак копіює себе в папку RECYCLER під іменем: S-<випадкове ім'я>.vmx, а в корні знімного диска створює файл autorun.inf, який дозволить виконатися копії хробака, якщо на комп'ютері, що атакується, включений автозапуск.
Функціональні можливості
При запуску хробак копіює своє тіло в папки %System%, %Program Files%, %Temp% з випадковими іменами й розширеннями ‘*.tmp’ і ‘*.dll’.
Для автоматичного запуску при кожному старті Windows, хробак створює службу, яка запускає його тіло при кожному наступному завантаженні . Для цього створюються ключі реєстру:
[HKLM\SYSTEM\Currentcontrolset\Services\netsvcs]
[HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Svchost]
"netsvcs" = "%System%\<випадкове ім'я>.dll"
Після чого хробак впроваджує свій код в адресний простір одного із системних процесів.
Хробак встановлює в системі власний Http-Сервер, який використовується для завантаження тіла хробака на інші комп'ютери.
Хробак відключає служби:
- Центр забезпечення безпеки Windows Service (wscsvc)
- Автоматичне оновлення Windows Auto Update Service (wukuserv)
- Фонова інтелектуальна служба передачі (BITS) - виконує передачу даних у фоновому режимі, використовуючи резерви мережі.
- Служба реєстрації помилок (ersvc) - відправляє звіти про помилки в Microsoft
Також хробак відключає вбудований firewall і можливість перегляду прихованих файлів. Блокує доступ до серверів антивірусних компаній. Блокує запуск деяких програм.
Деструктивні особливості
Завантажує з мережі Internet шкідливе ПО ( по зазначених у тілі адресах) і потай інсталює його в систему. Таким чином, наявність хробака в системі відкриває до неї практично необмежений доступ. Даний хробак часто використовується для створення підлеглих мереж (Botnet).