Net-Worm.Win32.Kido.ih
Robak kopiuje sw贸j plik wykonywalny z jedn膮 z poni偶szych nazw:
%System%<rnd>dir.dll %Program Files%Internet Explorer<rnd>.dll %Program Files%Movie Maker<rnd>.dll %All Users Application Data%<rnd>.dll %Temp%<rnd>.dll %System%<rnd>tmp %Temp%<rnd>.tmp
<rnd> jest losowym ci膮giem symboli.
W celu zapewnienia sobie uruchomienia si臋 wraz z kolejnym startem systemu robak tworzy us艂ug臋 systemow膮, kt贸ra uruchamia plik wykonywalny robaka wraz z ka偶dym uruchomieniem systemu Windows. Utworzony zostanie nast臋puj膮cy klucz rejestru:
Robak modyfikuje r贸wnie偶 nast臋puj膮c膮 warto艣膰 klucza rejestru systemowego:
"netsvcs" = "<original value> %System%<rnd>.dll"
Robak uruchamia serwer HTTP na losowo wybranym porcie TCP; nast臋pnie wykorzystuje go do pobierania pliku wykonywalnego robaka na inne komputery.
Robak uzyskuje adresy IP komputer贸w z tej samej sieci, w kt贸rej znajduje si臋 zaatakowana maszyna, i atakuje je z wykorzystaniem luki przepe艂nienia bufora (MS08-067) w us艂udze Serwer. Robak wysy艂a specjalnie stworzone zapytanie RPC do zdalnych maszyn. Powoduje to przepe艂nienie bufora podczas wywo艂ania funkcji wcscpy_s w netapi32.dll; co z kolei powoduje uruchomienie kodu, kt贸ry pobiera plik wykonywalny robaka na zaatakowan膮 maszyn臋 i uruchamia go. Nast臋pnie robak jest instalowany na nowej atakowanej maszynie.
W celu wykorzystania opisanej wy偶ej luki w zabezpieczeniach robak pr贸buje po艂膮czy膰 si臋 z kontem Administratora na zdalnej maszynie. Robak wykorzystuje wymienione ni偶ej has艂a w celu przeprowadzenia ataku brute force na konto:
99999999 9999999 999999 99999 88888888 8888888 888888 88888 8888 888 88 8 77777777 7777777 777777 77777 7777 777 77 7 66666666 6666666 666666 66666 6666 666 66 6 55555555 5555555 555555 55555 5555 555 55 5 44444444 4444444 444444 44444 4444 444 44 4 33333333 3333333 333333 33333 3333 333 33 3 22222222 2222222 222222 22222 2222 222 22 2 11111111 1111111 111111 11111 1111 111 explorer exchange customer cluster nobody codeword codename changeme desktop security secure public system shadow office supervisor superuser share super secret server computer owner backup database lotus oracle business manager temporary ihavenopass nothing nopassword nopass Internet internet example sample love123 boss123 work123 home123 mypc123 temp123 test123 qwe123 abc123 pw123 root123 pass123 pass12 pass1 admin123 admin12 admin1 password123 password12 password1 |
9999 999 99 9 11 1 00000000 0000000 00000 0000 000 00 0987654321 987654321 87654321 7654321 654321 54321 4321 321 21 12 fuck zzzzz zzzz zzz xxxxx xxxx xxx qqqqq qqqq qqq aaaaa aaaa aaa sql file web foo job home work intranet controller killer games private market coffee cookie forever freedom student account academia files windows monitor unknown anything letitbe letmein domain access money campus default foobar foofoo temptemp temp testtest test rootroot root adminadmin mypassword mypass pass Login login Password password passwd zxcvbn zxcvb zxccxz zxcxz qazwsxedc qazwsx q1w2e3 qweasdzxc asdfgh asdzxc asddsa asdsa qweasd qwerty qweewq qwewq nimda administrator Admin admin a1b2c3 1q2w3e 1234qwer 1234abcd 123asd 123qwe 123abc 123321 12321 123123 1234567890 123456789 12345678 1234567 123456 12345 1234 123 |
Robak kopiuje sw贸j plik wykonywalny do wszystkich no艣nik贸w wymiennych z nast臋puj膮c膮 nazw膮:
<X>:RECYCLERS-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%>-%d%><rnd>.vmx,
Opr贸cz swojego pliku wykonywalnego robak umieszcza r贸wnie偶 w katalogu g艂贸wnym ka偶dego dysku poni偶szy plik:
<X>:autorun.inf
Plik ten b臋dzie uruchamia艂 plik wykonywalny robaka wraz z ka偶dym wykorzystaniem Explorera do otwierania zainfekowanego pliku.
Po uruchomieniu robak wstrzykuje sw贸j kod do przestrzeni adresowej jednego z aktywnych proces贸w systemowych “svchost.exe”. Kod ten dostarcza g艂贸wn膮 funkcj臋 szkodliw膮 robaka oraz:
- wy艂膮cza nast臋puj膮ce us艂ugi:
wuauserv BITS
- blokuje dost臋p do adres贸w zawieraj膮cych jeden z poni偶szych ci膮g贸w:
indowsupdate wilderssecurity threatexpert castlecops spamhaus cpsecure arcabit emsisoft sunbelt securecomputing rising prevx pctools norman k7computing ikarus hauri hacksoft gdata fortinet ewido clamav comodo quickheal avira avast esafe ahnlab centralcommand drweb grisoft eset nod32 f-prot jotti kaspersky f-secure computerassociates networkassociates etrust panda sophos trendmicro mcafee norton symantec microsoft defender rootkit malware spyware virus
- robak mo偶e r贸wnie偶 pobiera膰 pliki z odsy艂aczy poni偶szego typu:
http://<URL>/search?q=<%rnd2%>
rnd2 jest losowo wybran膮 liczb膮; URL jest odsy艂aczem wygenerowanym przez specjalny algorytm wykorzystuj膮cy bie偶膮c膮 dat臋. Robak uzyskuje bie偶膮c膮 dat臋 z jednej z poni偶szych stron:
http://www.w3.org http://www.ask.com http://www.msn.com http://www.yahoo.com http://www.google.com http://www.baidu.com
Pobrane pliki s膮 zapisywane w katalogu g艂贸wnym systemu Windows ze swoj膮 oryginaln膮 nazw膮.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- Usu艅 nast臋puj膮cy klucz rejestru systemowego:
[HKLMSYSTEMCurrentControlSetServices etsvcs] - Usu艅 “%System%<rnd>.dll” z poni偶szej warto艣ci klucza rejestru systemowego:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] "netsvcs" - Uruchom ponownie komputer
- Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 kopie robaka:
%System%<rnd>dir.dll %Program Files%Internet Explorer<rnd>.dll %Program Files%Movie Maker<rnd>.dll %All Users Application Data%<rnd>.dll %Temp%<rnd>.dll %System%<rnd>tmp %Temp%<rnd>.tmp
<rnd> jest losowym ci膮giem symboli.
- Usu艅 poni偶sze pliki z wszystkich no艣nik贸w wymiennych:
<X>:autorun.inf <X>:RECYCLERS-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%><rnd>.vmx,
- Pobierz i zainstaluj uaktualnienia dla systemu operacyjnego:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).