|
Net - Worm.Win32.Kido.ih
พบ 20 สิงหาคม 2009 14:52 GMT
ออก 20 สิงหาคม 2009 19:33 GMT
ประกาศ 20 กุมภาพันธ์ 2009 07:04 GMT
คำอธิบายรายละเอียด Manual Auto
คำอธิบายนี้ถูกสร้างขึ้น โดยผู้เชี่ยวชาญที่ Kaspersky Lab มันมีข้อมูลที่ถูกต้องที่ สุดเกี่ยวกับโปรแกรมนี้
คำอธิบายรายละเอียด Manual Auto
นี้เป็นคำอธิบายที่ถูก สร้างขึ้นโดยอัตโนมัติตามการวิเคราะห์ของโปรแกรมนี้ในเครื่องทดสอบ คำอธิบายนี้อาจมีข้อมูลไม่ ครบถ้วนหรือไม่ถูกต้อง
รายละเอียดทางเทคนิค
อัตราบรรทุกคนและวัตถุของ ยวดยาน
คำแนะนำในการกำจัด
รายละเอียดทางเทคนิค
นี้กระจายหนอนเครือข่าย ผ่านทางเครือข่ายท้องถิ่นและสื่อบันทึกที่ถอดออกได้ โปรแกรมเองเป็น Windows PE DLL file องค์ประกอบหนอนแตกต่างกัน ในขนาดตั้งแต่ 155KB เพื่อ 165KB เป็นบรรจุใช้ UPX
การติดตั้ง
ชุดหนอนแฟ้มที่ปฏิบัติการ กับชื่อสุ่มที่แสดงด้านล่าง
%% ระบบ dir.dll <rnd>
% Program Files% Internet <rnd> Explorer . dll
Program Files% Movie Maker% <rnd> . dll
% All Users Application Data% <rnd> . dll
%% Temp <rnd> . dll
ระบบ%% tmp <rnd>
%% Temp <rnd> . tmp
<rnd> เป็นสตริง random สัญลักษณ์
เพื่อให้แน่ใจว่าหนอนจะ เริ่มต้นในครั้งถัดไประบบจะเริ่มต้นจะสร้างระบบบริการที่เปิดตัวหนอนของแฟ้ม ที่ปฏิบัติการครั้ง Windows มี booted แต่ละ คีย์รีจิสทรีต่อไปนี้จะ สร้าง :
[HKLM SYSTEM CurrentControlSet Services netsvcs]
หนอนยังแก้ไขรีจิสทรีของ ระบบค่าคีย์ต่อไปนี้ :
[HKLM SOFTWARE Microsoft Windows NT CurrentVersion] Svchost
netsvcs"="<original value>%% System <rnd> . dll"
การเผยแพร่
หนอนจากนั้นเปิดตัว เซิร์ฟเวอร์ HTTP ที่พอร์ต TCP สุ่มนี้ใช้แล้วเพื่อดาวน์โหลดไฟล์ปฏิบัติการของหนอนไปยังคอมพิวเตอร์เครื่อง อื่นๆ
หนอนได้รับที่อยู่ IP ของคอมพิวเตอร์ในเครือข่ายเดียวกันกับเครื่องเหยื่อและโจมตีพวกเขาผ่าน buffer บุกรุกช่องโหว่ (- 067) MS08 ในบริการเซิร์ฟเวอร์ หนอนจะส่งคำขอ RPC crafted พิเศษเพื่อเครื่องระยะไกล buffer ทำให้แพร่หลายเมื่อฟังก์ชัน wcscpy_s เรียกว่าใน netapi32.dll; นี้รหัสเปิดที่ดาวน์โหลดไฟล์ปฏิบัติการของหนอนไปยังเครื่องเหยื่อและเปิดมัน หนอนที่ติดตั้งแล้วบน เครื่องเหยื่อใหม่
กระจายผ่านสื่อบันทึกที่ ถอดออกได้
ชุดหนอนแฟ้มที่ปฏิบัติการ ได้ทุกสื่อที่ถอดออกภายใต้ชื่อต่อไปนี้
<X> : รีไซเคิล "% S - <d>% %>-<% d --% d%> --% d%> --% d%> --% d%> --% d%> <rnd> vmx,
นอกจากไฟล์ปฏิบัติการของ เวิร์มยังสถานที่ file ดังต่อไปนี้ในรากของดิสก์ทุก :
<X> : autorun.inf
ไฟล์นี้จะเปิดตัวหนอนของ แฟ้มที่ปฏิบัติการครั้ง Explorer ใช้ในการเปิดแต่ละดิสก์ที่ติดเชื้อ
อัตราบรรทุกคนและวัตถุของ ยวดยาน
เมื่อเปิดตัวหนอน injects รหัสในพื้นที่ที่อยู่ของหนึ่งในงาน"ระบบ"Svchost.exe กระบวนการ รหัสนี้ให้ payload อันตรายของหนอนและหลัก :
* ปิดการใช้งานบริการดังต่อไปนี้
wuauserv
BITS
หนอนยังสามารถดาวน์โหลด ไฟล์จากลิงค์ของประเภทดังต่อไปนี้ :
http:// <URL> search /? q = <% rnd2%>
rnd2 เป็นจำนวนสุ่ม URL เป็นลิงค์ที่สร้างโดยวิธีพิเศษซึ่งใช้วันที่ปัจจุบัน หนอนได้รับวันที่ปัจจุบัน จากเว็บไซต์ที่แสดงด้านล่าง :
http://www.w3.org
http://www.ask.com
http://www.msn.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com
ดาวน์โหลดไฟล์จะถูกบันทึก ไว้ในไดเรกทอรีระบบ Windows ภายใต้ชื่อเดิม
คำแนะนำในการกำจัด
หากคอมพิวเตอร์ของคุณไม่ ได้เป็นโซลูชั่นป้องกันไวรัสที่ทันสมัยให้หรือไม่ได้เป็นโซลูชั่นป้องกัน ไวรัสที่ทั้งหมดคุณสามารถใช้เครื่องมือลบพิเศษ (ซึ่งสามารถพบได้ที่นี่หรือตามคำแนะนำด้านล่างนี้
1 ลบรีจิสทรีคีย์ต่อไปนี้ ระบบ :
[HKLM SYSTEM CurrentControlSet Services netsvcs]
2 ลบ"% System% <rnd> . dll"จากรีจิสทรีระบบค่าคีย์ดังต่อไปนี้ :
[HKLM SOFTWARE Microsoft Windows NT CurrentVersion] Svchost
netsvcs""
3 รีบูตเครื่อง
4 ลบไฟล์หนอนเดิม (ตำแหน่งจะขึ้นอยู่กับโปรแกรม penetrated เดิมเครื่องเหยื่อ)
5 ลบสำเนาของหนอน :
%% ระบบ dir.dll <rnd>
% Program Files% Internet <rnd> Explorer . dll
Program Files% Movie Maker% <rnd> . dll
% All Users Application Data% <rnd> . dll
%% Temp <rnd> . dll
ระบบ%% tmp <rnd>
%% Temp <rnd> . tmp
<rnd> เป็นสตริง random สัญลักษณ์
6 ลบไฟล์ที่แสดงด้านล่างจาก สื่อเก็บถอด :
<X> : autorun.inf
<X> : รีไซเคิล "% S - <d>% %>-<% d --% d%> --% d%> --% d%> --% d%> --% d%> <rnd> vmx,
7 ดาวน์โหลดและติดตั้ง โปรแกรมปรับปรุงสำหรับระบบปฏิบัติการ :
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
ปรับปรุงฐานข้อมูลไวรัสและ ทำการสแกนคอมพิวเตอร์เต็ม (ดาวน์โหลดรุ่นทดลองของ Kaspersky Anti - Virus)
Summary
* กิจกรรมเครือข่ายนำกระบวนการ
รายละเอียดทางเทคนิค
ขนาดของ 77824 bytes
การติดตั้ง
สร้างไฟล์ต่อไปนี้ใน คอมพิวเตอร์ที่ติดไวรัส :
* directory ระบบ Windows (ปกติ, C : Windows System32)% blxeqdoh.mgm System%
กิจกรรมที่เป็นอันตราย
ตรวจสอบการใช้อินเทอร์เน็ต ในเครื่องที่ติดเชื้อ
เปิดพอร์ตต่อไปนี้ใน คอมพิวเตอร์ที่ติดเชื้อสำหรับการเชื่อมต่อเข้า :
* 53508
ติดต่อสื่อสารกับต่อไปนี้ ที่อยู่ Internet :
* http://www .*** mind.com download / geoip / ฐานข้อมูล / GeoIP.dat.gz
สร้างตัวระบุที่ไม่ซ้ำกัน เพื่อนำธงในระบบ
* Global 4255525731-7
Net - Worms เผยแพร่ผ่านทางเครือข่ายคอมพิวเตอร์ คุณสมบัติเด่นของหนอนชนิด นี้คือมันไม่ต้องใช้การกระทำของผู้ใช้เพื่อกระจาย
|
