Net-Worm.Win32.Kido.ih

30.08.2013

Технические детали

Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов варьируется в пределах от 155 до 165 КБ. Упакован при помощи UPX.

Инсталляция

Червь копирует свой исполняемый файл в следующие папки со случайным именем:

%System%\<rnd>
%Program Files%\Internet Explorer\<rnd>.dll
%Program Files%\Movie Maker\<rnd>.dll
%All Users Application Data%\<rnd>.dll
%Temp%\<rnd>.dll
%Temp%\<rnd>.tmp
где <rnd> - случайная последовательность символов.

Для автоматического запуска при следующем старте системы червь создает службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
Также червь изменяет значение следующего ключа реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" = "<оригинальное значение> %System%\<rnd>.dll"
Распространение по сети

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполните следующие действия:

Удалить ключ системного реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
Удалить строку "%System%\<rnd>.dll" из значения следующего параметра ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"
Перезагрузить компьютер
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить копию червя:
%System%\<rnd>
%Program Files%\Internet Explorer\<rnd>.dll
%Program Files%\Movie Maker\<rnd>.dll
%All Users Application Data%\<rnd>.dll
%Temp%\<rnd>.dll
%Temp%\<rnd>.tmp
где <rnd> - случайная последовательность символов.

Удалить следующие файлы со всех съемных носителей:
<X>:\autorun.inf
<X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx,
где rnd – случайная последовательность строчных букв, d – произвольное число, X – буква съемного диска.

Скачать и установить обновление операционной системы.
Произвести полную проверку компьютера антивирусом с обновленными антивирусными базами.

Наши контакты

Наш адрес:02660 г. Киев,
ул. М.Расковой 19, офис 320
Тел-факс общий:044 239-21-47
Телефон мобильный:067 795-34-18
Телефон отдела КСЗИ:044 500-65-78
Электронная почта:tzi@tzi.com.ua

Новости

  1. 29.01.2015 ОПАСНЫЙ ШИФРОВАЛЬЩИК CTB-LOCKER
  2. 24.09.2014 BlackEnergy - троян, функцинирующий на Украине и Польше
  3. 22.09.2014 Вирус ворует деньги со смартфонов украинцев

Статьи

  1. ВІДПОВІДАЛЬНІСТЬ ЗА ПОРУШЕННЯ ЗАКОНОДАВСТВА ПРО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ
  2. КОНТРОЛЬ ЗА ДОДЕРЖАННЯМ ЗАКОНОДАВСТВА ПРО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ
  3. НЕОБХІДНІСТЬ СТВОРЕННЯ КОМПЛЕКСНОЇ СИСТЕМИ ЗАХИСТУ ІНФОРМАЦІЇ (КСЗІ)

© 2009-2024 ТЗИ - техническая защита информации. Копирование материалов только с разрешения владельца сайта.
Создание сайта компанией МАРАТ