Net-Worm.Win32.Kido

Дата обнаружения 09/04/2009
Класс Net-Worm
Платформа Win32
Описание

При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов «svchost.exe». Внедренный код выполняет основной деструктивный функционал червя:

  • отключает следующие службы:
    wuauserv
    
    
    
    BITS
  • блокирует доступ к адресам, содержащим следующие строки:
    indowsupdate
    
    
    
    wilderssecurity
    
    
    
    threatexpert
    
    
    
    castlecops
    
    
    
    spamhaus
    
    
    
    cpsecure
    
    
    
    arcabit
    
    
    
    emsisoft
    
    
    
    sunbelt
    
    
    
    securecomputing
    
    
    
    rising
    
    
    
    prevx
    
    
    
    pctools
    
    
    
    norman
    
    
    
    k7computing
    
    
    
    ikarus
    
    
    
    hauri
    
    
    
    hacksoft
    
    
    
    gdata
    
    
    
    fortinet
    
    
    
    ewido
    
    
    
    clamav
    
    
    
    comodo
    
    
    
    quickheal
    
    
    
    avira
    
    
    
    avast
    
    
    
    esafe
    
    
    
    ahnlab
    
    
    
    centralcommand
    
    
    
    drweb
    
    
    
    grisoft
    
    
    
    eset
    
    
    
    nod32
    
    
    
    f-prot
    
    
    
    jotti
    
    
    
    kaspersky
    
    
    
    f-secure
    
    
    
    computerassociates
    
    
    
    networkassociates
    
    
    
    etrust
    
    
    
    panda
    
    
    
    sophos
    
    
    
    trendmicro
    
    
    
    mcafee
    
    
    
    norton
    
    
    
    symantec
    
    
    
    microsoft
    
    
    
    defender
    
    
    
    rootkit
    
    
    
    malware
    
    
    
    spyware
    
    
    
    virus

Также червь может скачивать файлы по ссылкам вида:

http:///search?q=<%rnd2%>

где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов:

http://www.w3.org



http://www.ask.com



http://www.msn.com



http://www.yahoo.com



http://www.google.com



http://www.baidu.com

Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.

Например Net-Worm.Win32.Kido.ir:

Данный скрипт используется для запуска библиотеки червя из семейства Kido при подключении к компьютеру съемных носителей. Содержимое файла скрипта обфусцировано путем добавления случайного набора символов. Восстановив обфусцированные данные получаем следующий код скрипта автозапуска:

[AUTorUN]

AcTION=Open folder to view files

icon=%syStEmrOot%sySTEM32sHELL32.Dll,4

OpEn=RunDll32.EXE .RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx,ahaezedrn

sHEllExECUTe=RUNdLl32.ExE .RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx,ahaezedrn

useAuTopLAY=1

Подразумевается, что библиотека червя находится в следующей папке на съемном носителе:

.RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx

Данная версия скрипта отображает фразу «Открыть папку для просмотра файлов» на английском языке в диалоговом окне автозапуска.