World Games™



World Games™
No.1 - Gaming | Never Old One
- Connecting World Games -


Contact:
legendofkiller206@yahoo.com








    Vài nét về Net-Worm.Win32.Kido.bt

    Share

    zLp™
    [Founder] Người sáng lập
    [Founder] Người sáng lập

    Giới tính Giới tính : Male
    WG$ WG$ : 34390

    Bài viết Vài nét về Net-Worm.Win32.Kido.bt

    Post by zLp™ on Fri 16 Oct 2009 - 23:41

    Con Worm này lây lan thông qua mạng local và thiết bị lưu trữ di động
    như USB. Nó thực chất là một file PE DLL. Dung lượng của nó vào khoảng
    155KB đến 165 KB. Nó được đóng gói bằng UPX.



    Cài đặt

    Nó copy file thực thi của nó đến thư mục hệ thống của Windows như sau:
    <blockquote dir="ltr" style="margin-right: 0px;">

    %System%<rnd>.dll
    </blockquote>

    với <rnd> là một chuỗi ký hiệu ngẫu nhiên.

    Đồng thời nó tạo ra một dịch vụ để đảm bảo nó sẽ được kích hoạt mỗi khi
    Windows khởi động trên hệ thống của nạn nhân. Các khóa registry sau sẽ
    được tạo ra:
    <blockquote dir="ltr" style="margin-right: 0px;">

    [HKLMSYSTEMCurrentControlSetServices etsvcs]
    </blockquote>

    Nó cũng thay đổi giá trị registry sau:
    <blockquote dir="ltr" style="margin-right: 0px;">

    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] “netsvcs” = “<original value> %System%<rnd>.dll”
    </blockquote>

    Sự lây lan trên mạng

    Khi tiêm nhiễm vào máy tính, nó sẽ kích hoạt HTTP server trên một cổng
    TCP ngẫu nhiên. Cổng này sau đó sẽ được sử dụng để tải file thực thi
    của con worm này đến một máy tính khác.

    Nó sẽ lấy địa chỉ IP của những máy tính trên cùng mạng và tấn công chúng thông qua lỗi tràn bộ đệm trên dịch vụ Server.

    Nó gửi một yêu cầu RPC lừa đảo đến một máy tính ở xa, yêu cầu này sẽ làm tràn bộ đệm khi hàm wcscpy_s được gọi trong thư viện netapi32.dll. Điều này làm kích hoạt một đoạn code để download con worm này về, kích hoạt và cài đặt nó lên những hệ thống mới.

    Để khai thác lỗ hổng được mô tả ở trên, worm này sẽ nỗ lực kết nối đến
    một tài khoản administrator trên máy tính ở xa. Nó sử dụng những
    password dưới đây để kết nối đến tài khoản này theo phương pháp “brute force
    <blockquote dir="ltr" style="margin-right: 0px;">


    99999999
    9999999
    999999
    99999
    9999
    999
    99
    9
    88888888
    8888888
    888888
    88888
    8888
    888
    88
    8
    77777777
    7777777
    777777
    77777
    7777
    777
    77
    7
    66666666
    6666666
    666666
    66666
    6666
    666
    66
    6
    55555555
    5555555
    555555
    55555
    5555
    555
    55
    5
    44444444
    4444444
    444444
    44444
    4444
    444
    44
    4
    33333333
    3333333
    333333
    33333
    3333
    333
    33
    3
    22222222
    2222222
    222222
    22222
    2222
    222
    22
    2
    11111111
    1111111
    111111
    11111
    1111
    111
    11
    1
    00000000
    0000000
    00000
    0000
    000
    00
    0987654321
    987654321
    87654321
    7654321
    654321
    54321
    4321
    321
    21
    12
    super
    secret
    server
    computer
    owner
    backup
    database
    lotus
    oracle
    business
    manager
    temporary
    ihavenopass
    nothing
    nopassword
    nopass
    Internet
    internet
    example
    sample
    love123
    boss123
    work123
    home123
    mypc123
    temp123
    test123
    qwe123
    abc123
    pw123
    root123
    pass123
    pass12
    pass1
    admin123
    admin12
    admin1
    password123
    password12
    password1
    default
    foobar
    foofoo
    temptemp
    temp
    testtest
    test
    rootroot
    root
    fuck
    zzzzz
    zzzz
    zzz
    xxxxx
    xxxx
    xxx
    qqqqq
    qqqq
    qqq
    aaaaa
    aaaa
    aaa
    sql
    file
    web
    foo
    job
    home
    work
    intranet
    controller
    killer
    games
    private
    market
    coffee
    cookie
    forever
    freedom
    student
    account
    academia
    files
    windows
    monitor
    unknown
    anything
    letitbe
    letmein
    domain
    access
    money
    campus
    explorer
    exchange
    customer
    cluster
    nobody
    codeword
    codename
    changeme
    desktop
    security
    secure
    public
    system
    shadow
    office
    supervisor
    superuser
    share
    adminadmin
    mypassword
    mypass
    pass
    Login
    login
    Password
    password
    passwd
    zxcvbn
    zxcvb
    zxccxz
    zxcxz
    qazwsxedc
    qazwsx
    q1w2e3
    qweasdzxc
    asdfgh
    asdzxc
    asddsa
    asdsa
    qweasd
    qwerty
    qweewq
    qwewq
    nimda
    administrator
    Admin
    admin
    a1b2c3
    1q2w3e
    1234qwer
    1234abcd
    123asd
    123qwe
    123abc
    123321
    12321
    123123
    1234567890
    123456789
    12345678
    1234567
    123456
    12345
    1234
    123

    </blockquote>

    Lây lan thông qua phương tiện lưu trữ di động (như USB)

    Nó copy file thực thi của nó:
    <blockquote dir="ltr" style="margin-right: 0px;">

    <X>:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665<rnd>.vmx
    </blockquote>

    với rnd là một chuỗi các kí hiệu ngẫu nhiên (chữ in thường); X là ổ đĩa.

    Nó cũng đồng thời thay thế file sau trong mỗi thư mục gốc của ổ đĩa:
    <blockquote dir="ltr" style="margin-right: 0px;">

    <X>:utorun.inf
    </blockquote>

    Điều này để đảm bảo rằng file thực thi của nó sẽ được chạy mỗi khi người dùng mở ổ đĩa bị tiêm nhiễm sử dụng Windows Explorer

    Hoạt động

    Khi được kích hoạt, nó sẽ tiêm nhiễm đoạn mã của nó vào không gian địa chỉ của một trong những tiến trình hệ thống “svchost.exe”. Đoạn mã này sẽ chịu trách nhiệm về việc load vào những tính năng nguy hiểm của worm.

    - Vô hiệu hóa System Restore.

    - Khóa các địa chỉ bao gồm chuỗi sau:
    <blockquote dir="ltr" style="margin-right: 0px;">

    indowsupdate
    wilderssecurity
    threatexpert
    castlecops
    spamhaus
    cpsecure
    arcabit
    emsisoft
    sunbelt
    securecomputing
    rising
    prevx
    pctools
    norman
    k7computing
    ikarus
    hauri
    hacksoft
    gdata
    fortinet
    ewido
    clamav
    comodo
    quickheal
    avira
    avast
    esafe
    ahnlab
    centralcommand
    drweb
    grisoft
    eset
    nod32
    f-prot
    jotti
    kaspersky
    f-secure
    computerassociates
    networkassociates
    etrust
    panda
    sophos
    trendmicro
    mcafee
    norton
    symantec
    microsoft
    defender
    rootkit
    malware
    spyware
    virus

    </blockquote>

    Đồng thời nó cũng download một file từ đường link dưới đây:
    <blockquote dir="ltr" style="margin-right: 0px;">

    http://trafficconverter.biz/*****/antispyware/loadadv.exe
    </blockquote>

    File này sẽ được lưu trữ trong thư mục hệ thống của Windows và sau đó sẽ kích hoạt.

    Ngoài ra Worm này cũng download các file từ đường link dưới đây:
    <blockquote dir="ltr" style="margin-right: 0px;">

    http://<URL>/search?q=<%rnd2%>
    </blockquote>

    rnd2
    là một số ngẫu nhiên. URL là một đường link được tạo nên bởi một thuật
    toán đặc biệt sử dụng ngày tháng hiện tại. Worm này lấy về ngày tháng
    hiện tại từ một trong các site sau:
    <blockquote dir="ltr" style="margin-right: 0px;">

    http://www.w3.org

    http://www.ask.com

    http://www.msn.com

    http://www.yahoo.com

    http://www.google.com

    http://www.baidu.com

    </blockquote>

    Những file được download bởi worm này sẽ được lưu vao trong thư mục hệ thống của Windows với tên gốc của nó.

    Hướng dẫn gỡ bỏ

    Nếu máy tính của bạn chưa có một trình antivirus được cập nhật bản mới
    nhất, hoặc chưa có một giải pháp antivrus hiệu quả, bạn có thể làm theo
    các hướng dẫn sau:

    1. Xóa các khóa registry dưới đây:
    <blockquote dir="ltr" style="margin-right: 0px;">

    [HKLMSYSTEMCurrentControlSetServices etsvcs]
    </blockquote>

    2. Xóa “%Sytem%<rnd>.dll” từ tham số khóa registry dưới đây:
    <blockquote dir="ltr" style="margin-right: 0px;">

    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] "netsvcs"
    </blockquote>

    3. Khởi động lại máy tính

    4. Xóa file worm gốc (đường dẫn phụ thuộc vào cách worm này thâm nhập vào máy tính như thế nào)

    5. Xóa file sau:
    <blockquote dir="ltr" style="margin-right: 0px;">

    %System%<rnd>.dll
    </blockquote>

    6. Xóa các file sau trong thiết bị lưu trữ di động:
    <blockquote dir="ltr" style="margin-right: 0px;">

    <X>:utorun.inf <X>:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665<rnd>.vmx
    </blockquote>

    7. Download và cài đặt bản cập nhật mới cho hệ điều hành tại đây.

    8. Cập nhật cơ sở dữ liệu của trình antivirus trên máy tính và thực hiện việc quét “full scan” trên máy tính của bạn.



    (Sưu tầm)


      Current date/time is Wed 7 Dec 2016 - 21:30