Security Lab

Net-Worm.Win32. Kido.dv

Net-Worm.Win32. Kido.dv

Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации.

Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован при помощи UPX.

Инсталляция

Червь копирует свой исполняемый файл в следующие папки со случайным именем:

%System%\.dll
      
%Program Files%\Internet Explorer\.dll
%Program Files%\Movie Maker\.dll
%All Users Application Data%\.dll
%Temp%\.dll
%System%\.tmp
%Temp%\.tmp

где - случайная последовательность символов.

Для автоматического запуска при следующем старте системы червь создает службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

Также червь изменяет значение следующего ключа реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" = "<оригинальное значение> %System%\.dll"

Распространение по сети

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Для того, чтобы воспользоваться вышеуказанной уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора. Для этого червь последовательно перебирает следующие пароли:

  99999999
  9999999
  999999
  99999
  88888888
  8888888
  888888
  88888
  8888
  888
  88
  8
  77777777
  7777777
  777777
  77777
  7777
  777
  77
  7
  66666666
  6666666
  666666
  66666
  6666
  666
  66
  6
  55555555
  5555555
  555555
  55555
  5555
  555
  55
  5
  44444444
  4444444
  444444
  44444
  4444
  444
  44
  4
  33333333
  3333333
  333333
  33333
  3333
  333
  33
  3
  22222222
  2222222
  222222
  22222
  2222
  222
  22
  2
  11111111
  1111111
  111111
  11111
  1111
  111
  explorer
  exchange
  customer
  cluster
  nobody
  codeword
  codename
  changeme
  desktop
  security
  secure
  public
  system
  shadow
  office
  supervisor
  superuser
  share
  super
  secret
  server
  computer
  owner
  backup
  database
  lotus
  oracle
  business
  manager
  temporary
  ihavenopass
  nothing
  nopassword
  nopass
  Internet
  internet
  example
  sample
  love123
  boss123
  work123
  home123
  mypc123
  temp123
  test123
  qwe123
  abc123
  pw123
  root123
  pass123
  pass12
  pass1
  admin123
  admin12
  admin1
  password123
  password12
  password1
  
  9999
  999
  99
  9
  11
  1
  00000000
  0000000
  00000
  0000
  000
  00
  0987654321
  987654321
  87654321
  7654321
  654321
  54321
  4321
  321
  21
  12
  fuck
  zzzzz
  zzzz
  zzz
  xxxxx
  xxxx
  xxx
  qqqqq
  qqqq
  qqq
  aaaaa
  aaaa
  aaa
  sql
  file
  web
  foo
  job
  home
  work
  intranet
  controller
  killer
  games
  private
  market
  coffee
  cookie
  forever
  freedom
  student
  account
  academia
  files
  windows
  monitor
  unknown
  anything
  letitbe
  letmein
  domain
  access
  money
  campus
  default
  foobar
  foofoo
  temptemp
  temp
  testtest
  test
  rootroot
  root
  adminadmin
  mypassword
  mypass
  pass
  Login
  login
  Password
  password
  passwd
  zxcvbn
  zxcvb
  zxccxz
  zxcxz
  qazwsxedc
  qazwsx
  q1w2e3
  qweasdzxc
  asdfgh
  asdzxc
  asddsa
  asdsa
  qweasd
  qwerty
  qweewq
  qwewq
  nimda
  administrator
  Admin
  admin
  a1b2c3
  1q2w3e
  1234qwer
  1234abcd
  123asd
  123qwe
  123abc
  123321
  12321
  123123
  1234567890
  123456789
  12345678
  1234567
  123456
  12345
  1234
  123

Распространение при помощи сменных носителей

Червь копирует свой исполняемый файл на все съемные диски со следующим именем:

:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\.vmx, где rnd – случайная последовательность строчных букв, d – произвольное число, X – буква съемного диска.

Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:

:\autorun.inf

Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Деструктивная активность

При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов "svchost.exe". Внедренный код выполняет основной деструктивный функционал червя:

      * отключает следующие службы:
        wuauserv
        BITS
      * блокирует доступ к адресам, содержащим следующие строки:
        indowsupdate
        wilderssecurity
        threatexpert
        castlecops
        spamhaus
        cpsecure
        arcabit
        emsisoft
        sunbelt
        securecomputing
        rising
        prevx
        pctools
        norman
        k7computing
        ikarus
        hauri
        hacksoft
        gdata
        fortinet
        ewido
        clamav
        comodo
        quickheal
        avira
        avast
        esafe
        ahnlab
        centralcommand
        drweb
        grisoft
        eset
        nod32
        f-prot
        jotti
        kaspersky
        f-secure
        computerassociates
        networkassociates
        etrust
        panda
        sophos
        trendmicro
        mcafee
        norton
        symantec
        microsoft
        defender
        rootkit
        malware
        spyware
        virus
  

Также червь может скачивать файлы по ссылкам вида:

http:///search?q=<%rnd2%>

где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов:

http://www.w3.org
http://www.ask.com
http://www.msn.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com

Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий