Net-Worm.Win32. Kido.dv

Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации.

Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован при помощи UPX.

Инсталляция

Червь копирует свой исполняемый файл в следующие папки со случайным именем:

%System%\.dll
     
%Program Files%\Internet Explorer\.dll
%Program Files%\Movie Maker\.dll
%All Users Application Data%\.dll
%Temp%\.dll
%System%\.tmp
%Temp%\.tmp

где - случайная последовательность символов.

Для автоматического запуска при следующем старте системы червь создает службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

Также червь изменяет значение следующего ключа реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" = "<оригинальное значение> %System%\.dll"

Распространение по сети

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Для того, чтобы воспользоваться вышеуказанной уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора. Для этого червь последовательно перебирает следующие пароли:

 99999999
 9999999
 999999
 99999
 88888888
 8888888
 888888
 88888
 8888
 888
 88
 8
 77777777
 7777777
 777777
 77777
 7777
 777
 77
 7
 66666666
 6666666
 666666
 66666
 6666
 666
 66
 6
 55555555
 5555555
 555555
 55555
 5555
 555
 55
 5
 44444444
 4444444
 444444
 44444
 4444
 444
 44
 4
 33333333
 3333333
 333333
 33333
 3333
 333
 33
 3
 22222222
 2222222
 222222
 22222
 2222
 222
 22
 2
 11111111
 1111111
 111111
 11111
 1111
 111
 explorer
 exchange
 customer
 cluster
 nobody
 codeword
 codename
 changeme
 desktop
 security
 secure
 public
 system
 shadow
 office
 supervisor
 superuser
 share
 super
 secret
 server
 computer
 owner
 backup
 database
 lotus
 oracle
 business
 manager
 temporary
 ihavenopass
 nothing
 nopassword
 nopass
 Internet
 internet
 example
 sample
 love123
 boss123
 work123
 home123
 mypc123
 temp123
 test123
 qwe123
 abc123
 pw123
 root123
 pass123
 pass12
 pass1
 admin123
 admin12
 admin1
 password123
 password12
 password1
 
 9999
 999
 99
 9
 11
 1
 00000000
 0000000
 00000
 0000
 000
 00
 0987654321
 987654321
 87654321
 7654321
 654321
 54321
 4321
 321
 21
 12
 fuck
 zzzzz
 zzzz
 zzz
 xxxxx
 xxxx
 xxx
 qqqqq
 qqqq
 qqq
 aaaaa
 aaaa
 aaa
 sql
 file
 web
 foo
 job
 home
 work
 intranet
 controller
 killer
 games
 private
 market
 coffee
 cookie
 forever
 freedom
 student
 account
 academia
 files
 windows
 monitor
 unknown
 anything
 letitbe
 letmein
 domain
 access
 money
 campus
 default
 foobar
 foofoo
 temptemp
 temp
 testtest
 test
 rootroot
 root
 adminadmin
 mypassword
 mypass
 pass
 Login
 login
 Password
 password
 passwd
 zxcvbn
 zxcvb
 zxccxz
 zxcxz
 qazwsxedc
 qazwsx
 q1w2e3
 qweasdzxc
 asdfgh
 asdzxc
 asddsa
 asdsa
 qweasd
 qwerty
 qweewq
 qwewq
 nimda
 administrator
 Admin
 admin
 a1b2c3
 1q2w3e
 1234qwer
 1234abcd
 123asd
 123qwe
 123abc
 123321
 12321
 123123
 1234567890
 123456789
 12345678
 1234567
 123456
 12345
 1234
 123

Распространение при помощи сменных носителей

Червь копирует свой исполняемый файл на все съемные диски со следующим именем:

:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\.vmx, где rnd – случайная последовательность строчных букв, d – произвольное число, X – буква съемного диска.

Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:

:\autorun.inf

Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Деструктивная активность

При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов "svchost.exe". Внедренный код выполняет основной деструктивный функционал червя:

     * отключает следующие службы:
       wuauserv
       BITS
     * блокирует доступ к адресам, содержащим следующие строки:
       indowsupdate
       wilderssecurity
       threatexpert
       castlecops
       spamhaus
       cpsecure
       arcabit
       emsisoft
       sunbelt
       securecomputing
       rising
       prevx
       pctools
       norman
       k7computing
       ikarus
       hauri
       hacksoft
       gdata
       fortinet
       ewido
       clamav
       comodo
       quickheal
       avira
       avast
       esafe
       ahnlab
       centralcommand
       drweb
       grisoft
       eset
       nod32
       f-prot
       jotti
       kaspersky
       f-secure
       computerassociates
       networkassociates
       etrust
       panda
       sophos
       trendmicro
       mcafee
       norton
       symantec
       microsoft
       defender
       rootkit
       malware
       spyware
       virus
 

Также червь может скачивать файлы по ссылкам вида:

http:///search?q=<%rnd2%>

где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов:

http://www.w3.org
http://www.ask.com
http://www.msn.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com

Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.