Net-Worm.Win32.Kido

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

• файловые;
• загрузочные;
• макровирусы;
• скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Net-Worm

Размножаются в компьютерных сетях. Отличительной особенностью данного типа червей является то, что им не нужен пользователь в качестве звена в цепочке распространения (непосредственно для активации). Часто такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения таких компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Иногда сетевой пакет содержит только ту часть кода червя, которая загружает файл с основным функционалом и запускает его на исполнение. Встречаются и сетевые черви, которые используют сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения жертвы.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов "svchost.exe". Внедренный код выполняет основной деструктивный функционал червя:

• отключает следующие службы:

  wuauserv
  
  
  
  BITS

• блокирует доступ к адресам, содержащим следующие строки:

  indowsupdate
  
  
  
  wilderssecurity
  
  
  
  threatexpert
  
  
  
  castlecops
  
  
  
  spamhaus
  
  
  
  cpsecure
  
  
  
  arcabit
  
  
  
  emsisoft
  
  
  
  sunbelt
  
  
  
  securecomputing
  
  
  
  rising
  
  
  
  prevx
  
  
  
  pctools
  
  
  
  norman
  
  
  
  k7computing
  
  
  
  ikarus
  
  
  
  hauri
  
  
  
  hacksoft
  
  
  
  gdata
  
  
  
  fortinet
  
  
  
  ewido
  
  
  
  clamav
  
  
  
  comodo
  
  
  
  quickheal
  
  
  
  avira
  
  
  
  avast
  
  
  
  esafe
  
  
  
  ahnlab
  
  
  
  centralcommand
  
  
  
  drweb
  
  
  
  grisoft
  
  
  
  eset
  
  
  
  nod32
  
  
  
  f-prot
  
  
  
  jotti
  
  
  
  kaspersky
  
  
  
  f-secure
  
  
  
  computerassociates
  
  
  
  networkassociates
  
  
  
  etrust
  
  
  
  panda
  
  
  
  sophos
  
  
  
  trendmicro
  
  
  
  mcafee
  
  
  
  norton
  
  
  
  symantec
  
  
  
  microsoft
  
  
  
  defender
  
  
  
  rootkit
  
  
  
  malware
  
  
  
  spyware
  
  
  
  virus

Также червь может скачивать файлы по ссылкам вида:

http:///search?q=<%rnd2%>

где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов:

http://www.w3.org



http://www.ask.com



http://www.msn.com



http://www.yahoo.com



http://www.google.com



http://www.baidu.com

Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.

Например Net-Worm.Win32.Kido.ir:

Данный скрипт используется для запуска библиотеки червя из семейства Kido при подключении к компьютеру съемных носителей. Содержимое файла скрипта обфусцировано путем добавления случайного набора символов. Восстановив обфусцированные данные получаем следующий код скрипта автозапуска:

Подразумевается, что библиотека червя находится в следующей папке на съемном носителе:

.RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx

Данная версия скрипта отображает фразу "Открыть папку для просмотра файлов" на английском языке в диалоговом окне автозапуска.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com