Сетевой вирус, забивающий канал, Про вирус KIDO и как с ним боротся!

Кстати вот заплатка для винды дабы не искали ...

Обновление утилиты до версии 3.1 и информация о вирусе ..

Код:

Технические детали


Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов варьируется в пределах от 155 до 165 КБ. Упакован при помощи UPX.
Инсталляция

Червь копирует свой исполняемый файл в системный каталог Windows со случайным именем вида:

%System%\<rnd>.dll, где <rnd> - случайная последовательность символов.

Для автоматического запуска при следующем старте системы червь создает службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] 

Также червь изменяет значение следующего ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" = "<оригинальное значение> %System%\<rnd>.dll"
Распространение по сети

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Для того, чтобы воспользоваться вышеуказанной уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора. Для этого червь последовательно перебирает следующие пароли:

Подробнее смотрите по ссылке ниже ..
http://www.viruslist.com/ru/viruses/...rusid=21782725

Вложения

WindowsXP-KB958644-x86-RUS.rar (619.2 Кб, Просмотров: 19)
KidoKiller_v3.1.zip (119.4 Кб, Просмотров: 15)

Тема: Сетевой вирус, забивающий канал, Про вирус KIDO и как с ним боротся!

Опции темы

Отображение

Древовидный режим

Информация о теме

Пользователи, просматривающие эту тему

Ваши права