Net-Worm.Win32.Kido

ワームは起動時に、アクティブな "svchost.exe"システムプロセスのアドレススペースにコードを挿入します。このコードは、ワームの主な悪質なペイロードと、

• 次のサービスを無効にします。

  ウーハウス
  BITS 

• 下記の文字列を含むアドレスへのアクセスをブロックします。

   indowsupdate
  野生の安全
  3回目
  城壁
  スパムハウス
  cpsecure
  アークビット
  emsisoft
  サンベルト
  セキュアコンピューティング
  上昇する
  prevx
  pctools
  ノルマン
  k7コンピューティング
  イカロス
  ハリ
  hacksoft
  gdata
  フォーティネット
  汝矣島
  クラマブ
  コモド
  クイックヒール
  アビラ
  avast
  騒がしい
  アネルラブ
  セントラルコマンド
  ドローブ
  グリソフト
  エセット
  nod32
  f-prot
  ジョッティ
  カスペルスキー
  f-secure
  コンピュータ関連
  ネットワーク関連
  頼りになる
  パンダ
  ソソス
  トレンドマイクロ
  mcafee
  ノーノン
  シマンテック
  マイクロソフト
  ディフェンダー
  ルートキット
  マルウェア
  スパイウェア
  ウイルス

ワームは、以下に示す種類のリンクからファイルをダウンロードすることもできます。

 http：// <URL> / search？q = <％rnd2％> 

rnd2は乱数です。 URLは、現在の日付を使用する特別なアルゴリズムによって生成されたリンクです。ワームは以下のいずれかのサイトから現在の日付を取得します：

 http://www.w3.org
http://www.ask.com
http://www.msn.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com 

ダウンロードしたファイルは、元の名前でWindowsのシステムディレクトリに保存されます。