Net-Worm.Win32.Kido.bt

Вторник, 23 Июня 2009 г. 10:31 + в цитатник

Бескрайние просторы интернет кишат всякой нечистью. Ежндневно, сотни тысяч пользователей подвергаются \"опасности\". Время от времени возникают и серьёзные проблемы, так называемые \"эпилемии\". Вот об одной такой, я и хочу рассказать. Добавлю, что на сегодняшний день- это угроза остаётся.
Итак, речь пойдёт о известном сетевом черве Net-Worm.Win32.Kido.bt
Технические детали

Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов варьируется в пределах от 155 до 165 КБ. Упакован при помощи UPX.
Инсталляция

Червь копирует свой исполняемый файл в системный каталог Windows со случайным именем вида: %System%\\.dll, где - случайная последовательность символов.

Для автоматического запуска при следующем старте системы червь создает службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:
[HKLM\\SYSTEM\\CurrentControlSet\\Services\\netsvcs]

Также червь изменяет значение следующего ключа реестра:
[HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SvcHost] \"netsvcs\" = \"<оригинальное значение> %System%\\.dll\"
Распространение по сети

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Для того, чтобы воспользоваться вышеуказанной уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора. Для этого червь последовательно перебирает следующие пароли: читать статью полностью http://icomservice.ucoz.ru/publ/2-1-0-29

<a href="https://www.liveinternet.ru/community/icom/post105219937/">Net-Worm.Win32.Kido.bt</a><br/>
Р‘РµСЃРєСЂР°Р№РЅРёРµ РїСЂРѕСЃС‚РѕСЂС‹ РёРЅС‚РµСЂРЅРµС‚ РєРёС€Р°С‚ РІСЃСЏРєРѕР№ РЅРµС‡РёСЃС‚СЊСЋ. Р•Р¶РЅРґРЅРµРІРЅРѕ, СЃРѕС‚РЅРё С‚С‹СЃСЏС‡ РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№ РїРѕРґРІРµСЂРіР°СЋС‚СЃСЏ \"РѕРїР°СЃРЅРѕСЃС‚Рё\". Р’СЂРµРјСЏ РѕС‚ РІСЂРµРјРµРЅРё РІРѕР·РЅРёРєР°СЋС‚ Рё СЃРµСЂСЊС‘Р·РЅС‹Рµ РїСЂРѕР±Р»РµРјС‹, С‚Р°Рє РЅР°Р·С‹РІР°РµРјС‹Рµ \"СЌРїРёР»РµРјРёРё\". Р’РѕС‚ РѕР± РѕРґРЅРѕР№ С‚Р°РєРѕР№, СЏ Рё С…РѕС‡Сѓ СЂР°СЃСЃРєР°Р·Р°С‚СЊ. Р”РѕР±Р°РІР»СЋ, С‡С‚Рѕ РЅР° СЃРµРіРѕРґРЅСЏС€РЅРёР№ РґРµРЅСЊ- СЌС‚Рѕ СѓРіСЂРѕР·Р° РѕСЃС‚Р°С‘С‚СЃСЏ.
РС‚Р°Рє, СЂРµС‡СЊ РїРѕР№РґС‘С‚ Рѕ РёР·РІРµСЃС‚РЅРѕРј СЃРµС‚РµРІРѕРј С‡РµСЂРІРµ Net-Worm.Win32.Kido.bt
РўРµС…РЅРёС‡РµСЃРєРёРµ РґРµС‚Р°Р»Рё

РЎРµС‚РµРІРѕР№ С‡РµСЂРІСЊ, СЂР°СЃРїСЂРѕСЃС‚СЂР°РЅСЏСЋС‰РёР№СЃСЏ С‡РµСЂРµР· Р»РѕРєР°Р»СЊРЅСѓСЋ СЃРµС‚СЊ Рё РїСЂРё РїРѕРјРѕС‰Рё СЃСЉРµРјРЅС‹С… РЅРѕСЃРёС‚РµР»РµР№ РёРЅС„РѕСЂРјР°С†РёРё. РџСЂРѕРіСЂР°РјРјР° СЏРІР»СЏРµС‚СЃСЏ РґРёРЅР°РјРёС‡РµСЃРєРѕР№ Р±РёР±Р»РёРѕС‚РµРєРѕР№ Windows (PE DLL-С„Р°Р№Р»). Р Р°Р·РјРµСЂ РєРѕРјРїРѕРЅРµРЅС‚РѕРІ РІР°СЂСЊРёСЂСѓРµС‚СЃСЏ РІ РїСЂРµРґРµР»Р°С… РѕС‚ 155 РґРѕ... <a href="https://www.liveinternet.ru/community/icom/post105219937/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Комментировать

« Пред. запись — К дневнику — След. запись »

Страницы: [1] [Новые]

LiveInternetLiveInternet

-Метки

-Видео

-Музыка

-Рубрики

-Подписка по e-mail

-Интересы

-Трансляции

Net-Worm.Win32.Kido.bt