Net-Worm.Win32.Kido.ih

30.08.2013

Технічні деталі

Мережевий черв'як , що поширюється через локальну мережу і за допомогою знімних носіїв інформації. Програма є динамічною бібліотекою Windows ( PE DLL - файл). Розмір компонентів варіюється в межах від 155 до 165 КБ. Упакований за допомогою UPX .

інсталяція

Хробак копіює свій виконуваний файл в наступні папки з випадковим ім'ям:

% System % \ <rnd>
% Program Files % \ Internet Explorer \ <rnd> . Dll
% Program Files % \ Movie Maker \ <rnd> . Dll
% All Users Application Data % \ <rnd> . Dll
% Temp % \ <rnd> . Dll
% Temp % \ <rnd> . Tmp
де <rnd> - випадкова послідовність символів .

Для автоматичного запуску при наступному старті системи черв'як створює службу , яка запускає його виконуваний файл під час кожної наступної завантаженні Windows. При цьому створюється наступний ключ реєстру:

[ HKLM \ SYSTEM \ CurrentControlSet \ Services \ netsvcs ]
Також черв'як змінює значення наступного ключа реєстру:

[ HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost ]
" netsvcs " = " < оригінальне значення> % System % \ <rnd> . dll "

Поширення по мережі

При зараженні комп'ютера черв'як запускає HTTP сервер на випадковому TCP порту , який потім використовується для завантаження виконуваного файлу хробака на інші комп'ютери.

Черв'як отримує список IP адрес комп'ютерів, що знаходяться в мережевому оточенні зараженої машини і виробляє на них атаку , що використовує уразливість переповнення буфера MS08 - 067 в сервісі «Сервер » (детальніше про уразливість : http://www.microsoft.com/technet/security/ Bulletin/MS08-067.mspx ) . Для цього хробак відсилає віддаленій машині спеціальним чином сформований RPC -запит , який викликає переповнення буфера при виклику функції wcscpy_s в бібліотеці netapi32.dll , в результаті чого запускається спеціальний код- завантажувач , який викачує із зараженої машини виконуваний файл хробака і запускає його . Після чого відбувається інсталяція хробака на атакується машині .

Рекомендації з видалення

Якщо ваш комп'ютер не був захищений антивірусом і виявився заражений даної шкідливою програмою , то для її видалення необхідно виконайте такі дії :

Видалити ключ системного реєстру:
[ HKLM \ SYSTEM \ CurrentControlSet \ Services \ netsvcs ]
Видалити рядок " % System % \ <rnd> . Dll " із значення наступного параметру ключа реєстру:
[ HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost ]
" netsvcs "
перезавантажити комп'ютер
Видалити оригінальний файл хробака ( його розташування на зараженому комп'ютері залежить від способу , яким програма потрапила на комп'ютер) .
Видалити копію хробака:
% System % \ <rnd>
% Program Files % \ Internet Explorer \ <rnd> . Dll
% Program Files % \ Movie Maker \ <rnd> . Dll
% All Users Application Data % \ <rnd> . Dll
% Temp % \ <rnd> . Dll
% Temp % \ <rnd> . Tmp
де <rnd> - випадкова послідовність символів .

Видалити наступні файли з усіх знімних носіїв:
<X> : \ Autorun.inf
<X> : \ RECYCLER \ S- < % d % > - < % d % > - < % d % > - < % d % > - < % d % > - < % d % > - < % d % > \ <rnd> . vmx ,
де rnd - випадкова послідовність малих літер , d - довільне число , X - буква знімного диска.

Завантажити та встановити оновлення операційної системи.
Провести повну перевірку комп'ютера антивірусом з оновленими антивірусними базами.