Net-Worm.Win32.Kido.fx
Ta modyfikacja robaka jest plikiem Windows PE DLL o rozmiarze 158110 bajt贸w. Szkodnik zosta艂 spakowany przy u偶yciu UPX.
Robak ten kopiuje sw贸j plik wykonywalny z losowymi nazwami do nast臋puj膮cych katalog贸w g艂贸wnych:
%System%(rnd)dir.dll %Program Files%Internet Explorer(rnd).dll %Program Files%Movie Maker(rnd).dll %All Users Application Data%(rnd).dll %Temp%(rnd).dll %System%(rnd)tmp %Temp%(rnd).tmp
(rnd) jest losowo wybranym ci膮giem symboli.
Aby zapewni膰 sobie uruchomienie wraz z kolejnym startem systemu, szkodnik tworzy us艂ug臋 systemow膮, kt贸ra uruchamia jego plik wykonywalny wraz z ka偶dym powt贸rnym uruchomieniem systemu Windows. Zostanie utworzony nast臋puj膮cy klucz rejestru:
Nazwa us艂ugi zostanie utworzona poprzez po艂膮czenie s艂贸w z poni偶szej listy:
Boot Center Config Driver Helper Image Installer Manager Microsoft Monitor Network Security Server Shell Support System Task Time Universal Update Windows
Robak modyfikuje r贸wnie偶 nast臋puj膮c膮 warto艣膰 klucza rejestru systemowego:
Robak ukrywa swoje pliki w Exploratorze poprzez modyfikowanie poni偶szej warto艣膰 klucza rejestru:
"Hidden" = "dword: 0x00000002"
"SuperHidden" = "dword: 0x00000000"
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue" = "dword: 0x00000000"
Robak oflagowuje swoj膮 obecno艣膰 w systemie poprzez utworzenie poni偶szego unikatowego identyfikatora:
Global\%rnd%-%rnd%
W celu szybkiego rozprzestrzeniania si臋 za po艣rednictwem sieci robak wykorzystuje funkcje tcpip.sys w celu zwi臋kszenia liczby potencjalnych po艂膮cze艅 sieciowych.
Robak 艂膮czy si臋 z poni偶szymi serwerami w celu okre艣lenia zewn臋trznego adresu IP zaatakowanej maszyny:
http://www.getmyip.org http://www.whatsmyipaddress.com http://www.whatismyip.org http://checkip.dyndns.org
Robak uruchamia nast臋pnie serwer HTTP na losowo wybranym porcie TCP; jest on nast臋pnie wykorzystywany w celu pobrania pliku wykonywalnego robaka na inne komputery.
Kopie robaka maj膮 poni偶sze rozszerzenia:
.bmp .gif .jpeg .png
Robak uzyskuje adresy IP komputer贸w w tej samej sieci co zaatakowana maszyna i atakuje je poprzez luk臋 przepe艂nienia bufora (MS08-067) w us艂udze Serwera. Wi臋cej na temat tej luki w zabezpieczeniach mo偶na przeczyta膰 tutaj: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx. Robak wysy艂a specjalnie spreparowane zapytanie RPC do port贸w TPC numer 139 (NetBIOS) i 445 (Direct hosted SMB) na zdalnych maszynach. Powoduje to przepe艂nienie bufora w momencie wywo艂ania funkcji wcscpy_s w netapi32.dll, kt贸ra uruchamia kod, kt贸ry pobiera plik wykonywalny robaka na zaatakowan膮 maszyn臋 i uruchamia go. Robak jest nast臋pnie instalowany na nowej maszynie.
Robak przechwytuje nast臋pnie odwo艂anie do funkcji API NetpwPathCanonicalize (netapi.dll), aby zapobiec przepe艂nieniu bufora na skutek braku kontroli rozmiaru wychodz膮cych ci膮g贸w. Dzi臋ki temu robak uniemo偶liwia wielokrotne wykorzystanie luki w zabezpieczeniu.
W celu przyspieszenia propagacji robak modyfikuje nast臋puj膮c膮 warto艣膰 rejestru:
"TcpNumConnections" = "dword:0x00FFFFFE"
W celu wykorzystania opisanej wy偶ej luki w zabezpieczeniach robak pr贸buje si臋 po艂膮czy膰 z kontem administratora na zdalnej maszynie. Przeszukuje sie膰 w celu znalezienia odpowiedniej maszyny i uzyskuje list臋 u偶ytkownik贸w. Nast臋pnie pr贸buje w艂ama膰 si臋 na konto ka偶dego u偶ytkownika metod膮 brute force przy pomocy poni偶szych hase艂:
99999999 9999999 999999 99999 9999 999 99 9 88888888 8888888 888888 88888 8888 888 88 8 77777777 7777777 777777 77777 7777 777 77 7 66666666 6666666 666666 66666 6666 666 66 6 55555555 5555555 555555 55555 5555 555 55 5 44444444 4444444 444444 44444 4444 444 44 4 33333333 3333333 333333 33333 3333 333 33 3 22222222 2222222 222222 22222 2222 222 22 2 |
11111111 1111111 111111 11111 1111 111 11 1 00000000 0000000 00000 0000 000 00 0987654321 987654321 87654321 7654321 654321 54321 4321 321 21 12 fuck zzzzz zzzz zzz xxxxx xxxx xxx qqqqq qqqq qqq aaaaa aaaa aaa sql file web foo job home work intranet controller killer games private market coffee cookie forever freedom student account academia files windows monitor |
unknown anything letitbe letmein domain access money campus explorer exchange customer cluster nobody codeword codename changeme desktop security secure public system shadow office supervisor superuser share super secret server computer owner backup database lotus oracle business manager temporary ihavenopass nothing nopassword nopass Internet internet example sample love123 boss123 work123 home123 mypc123 temp123 test123 qwe123 abc123 pw123 root123 pass123 pass12 pass1 admin123 admin12 admin1 |
password123 password12 password1 default foobar foofoo temptemp temp testtest test rootroot root adminadmin mypassword mypass pass Login login Password password passwd zxcvbn zxcvb zxccxz zxcxz qazwsxedc qazwsx q1w2e3 qweasdzxc asdfgh asdzxc asddsa asdsa qweasd qwerty qweewq qwewq nimda administrator Admin admin a1b2c3 1q2w3e 1234qwer 1234abcd 123asd 123qwe 123abc 123321 12321 123123 1234567890 123456789 12345678 1234567 123456 12345 1234 123 |
Aby uzyska膰 przywileje administratora, robak kopiuje si臋 do nast臋puj膮cych folder贸w wsp贸艂dzielonych:
\*(nazwa hosta)ADMIN$System32(rnd).(rnd) \(nazwa hosta)IPC$(rnd).(rnd)
Robak mo偶e zosta膰 zdalnie uruchomiony lub mo偶na zaplanowa膰 w terminarzu swoje zdalne uruchomienie przy pomocy nast臋puj膮cych polece艅:
rundll32.exe (艣cie偶ka do pliku robaka), (rnd)
Robak kopiuje sw贸j plik wykonywalny na wszystkie no艣niki przeno艣ne z nast臋puj膮c膮 nazw膮:
:RECYCLERS-<%d%>-<%d%>-%d%>-%d%>-%d%>-
%d%>-%d%>(rnd).vmx, rnd jest ci膮giem losowych ma艂ych liter; d jest losowo wybran膮 liczb膮; X
jest dyskiem
Opr贸cz swojego pliku wykonywalnego robak umieszcza r贸wnie偶 poni偶szy plik w katalogu g艂贸wnym ka偶dego dysku:
(X):autorun.inf
Plik ten uruchomi plik wykonywalny robaka za ka偶dym razem, gdy wykorzystywany jest Explorator w celu otwarcia zainfekowanego dysku.
Podczas uruchamiania robak wstrzykuje sw贸j kod do przestrzeni adresowej jednego z proces贸w systemowych “svchost.exe”. (Robak mo偶e r贸wnie偶 zapisa膰 sw贸j kod do proces贸w “explorer.exe” i “services.exe”). Kod ten dostarcza g艂贸wn膮 funkcj臋 szkodliw膮 robaka oraz:
- wy艂膮cza nast臋puj膮ce us艂ugi:
Windows Automatic Update Service (wuauserv) Background Intelligent Transfer Service (BITS) Windows Security Center Service (wscsvc) Windows Defender Service (WinDefend, WinDefender) Windows Error Reporting Service (ERSvc) Windows Error Reporting Service (WerSvc)
- blokuje dost臋p do adres贸w zawieraj膮cych jakikolwiek z wymienionych ni偶ej ci膮g贸w:
nai ca avp avg vet bit9 sans cert windowsupdate wilderssecurity threatexpert castlecops spamhaus cpsecure arcabit emsisoft sunbelt securecomputing rising prevx pctools norman k7computing ikarus hauri hacksoft gdata fortinet ewido clamav comodo quickheal avira avast esafe ahnlab centralcommand drweb grisoft eset nod32 f-prot jotti kaspersky f-secure computerassociates networkassociates etrust panda sophos trendmicro mcafee norton symantec microsoft defender rootkit malware spyware virus
W systemie Windows Vista robak wy艂膮czy autokonfiguracj臋 stosu TCP/IP w celu przyspieszenia rozprzestrzeniania za po艣rednictwem kana艂贸w sieciowych poprzez wykorzystanie sta艂ego rozmiaru okna pakiet贸w TCP:
netsh interface tcp set global autotuning=disabled
Robak przechwytuje r贸wnie偶 nast臋puj膮ce odwo艂ania do funkcji API (dnsrslvr.dll) w celu zablokowania dost臋pu do listy domen u偶ytkownik贸w:
DNS_Query_A DNS_Query_UTF8 DNS_Query_W Query_Main sendto
Robak mo偶e r贸wnie偶 pobiera膰 pliki z odsy艂aczy poni偶szego typu:
http:///search?q=(%rnd2%)
rnd2 jest losow膮 liczb膮; URL jest odsy艂aczem wygenerowanym przez specjalny algorytm wykorzystuj膮cy aktualn膮 dat臋. Robak uzyskuje aktualn膮 dat臋 z jednej z poni偶szych stron:
http://www.w3.org http://www.ask.com http://www.msn.com http://www.yahoo.com http://www.google.com http://www.baidu.com http://www.myspace.com http://www.msn.com http://www.ebay.com http://www.cnn.com http://www.aol.com
Pobrane pliki s膮 zapisywane w katalogu g艂贸wnym systemu Windows z ich oryginalnymi nazwami.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- Usu艅 nast臋puj膮cy klucz rejestru systemowego:
[HKLMSYSTEMCurrentControlSetServices etsvcs] - Usu艅 “%System%(rnd).dll” z poni偶szej warto艣ci klucza rejestru systemowego:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost]
"netsvcs" - Cofnij nast臋puj膮ce warto艣ci klucza rejestru systemowego:
[HKCR SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Hidden" = "dword: 0x00000002"
"SuperHidden" = "dword: 0x00000000"na
[HKCR SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Hidden" = "dword: 0x00000001"
"SuperHidden" = "dword: 0x00000001"oraz
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue" = "dword: 0x00000000"na
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue" = "dword: 0x00000001" - Uruchom ponownie komputer.
- Usu艅 oryginalny plik robaka (jego lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanej maszyny)
- Usu艅 kopie robaka:
%System%(rnd)dir.dll %Program Files%Internet Explorer(rnd).dll %Program Files%Movie Maker(rnd).dll %All Users Application Data%(rnd).dll %Temp%(rnd).dll %System%(rnd)tmp %Temp%(rnd).tmp
(rnd) jest losowo wybranym ci膮giem symboli.
- Usu艅 poni偶sze pliki z wszystkich przeno艣nych no艣nik贸w danych:
(X):autorun.inf (X):RECYCLERS-(%d%)-(%d%)-%d%)-%d%)-%d%)-%d%)- %d%>(rnd).vmx,
- Pobierz i zainstaluj aktualizacje dla systemu operacyjnego:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).