Способ распространения

Microsoft сообщает, что вирус проникает в систему через файл Windows "services.exe", становясь частью его кода.

Очутившись в Windows, вирус присваивает себе расширение ".dll" и название, состоящее из 5-8 букв, например, "piftoc.dll".

Затем активизированный вирус создает сервер HTTP, перегружает всю систему, что делает очень сложным ее последующее восстановление, и начинает загружать файлы с хакерских сайтов.

Однако эксперты из компании F-Secure, специализирующейся на компьютерных антивирусах, уверены, что возможности вируса распространяются намного дальше.

По их мнению, программа использует такой сложный алгоритм, что в состоянии создавать сотни различных названий доменов в день.

Специалисты пока не нашли эффективного метода борьбы с этим явлением, однако, благодаря последним разработкам, могут установить количество зараженных компьютеров.

"В настоящий момент мы видим, что зарегистрированные нами вирусные домены "сидят" в программах сотен тысяч компьютеров, - говорит эксперт из F-Secure Тони Ковунен. - Мы их видим, но удалить не можем".

Самое большое число пользователей, подвергшихся распространению вируса, зарегистрированы в Китае, Бразилии, России и Индии.

Net-Worm.Win32.Kido.bt
Другие модификации: .dv 
Детектирование добавлено      02 янв 2009
Описание опубликовано      13 янв 2009

Технические детали 
Деструктивная активность 
Рекомендации по удалению Технические детали

Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов варьируется в пределах от 155 165 КБ. Упакован при помощи UPX.
Инсталляция

Червь копирует свой исполняемый файл в системный каталог Windows со случайным именем вида:
%System%\<rnd>.dll, где <rnd> - случайная последовательность символов.

Для автоматического запуска при следующем старте системы червь создает службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] 

Также червь изменяет значение следующего ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" = "<оригинальное значение> %System%\<rnd>.dll"
Распространение по сети

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: wwwmicrosoft.com). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Для того, чтобы воспользоваться вышеуказанной уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора. Для этого червь последовательно перебирает следующие пароли:
Далее куча стандартных паролей
Распространение при помощи сменных носителей

Червь копирует свой исполняемый файл на все съемные диски со следующим именем:
<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\<rnd>.vmx, где rnd – случайная последовательность строчных букв, X – буква съемного диска. 

Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
<X>:\autorun.inf

Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".Деструктивная активность

При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов "svchost.exe". Внедренный код выполняет основной деструктивный функционал червя:
отключает службу восстановления системы; 
блокирует доступ к адресам, содержащим следующие строки: 
indowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus

Также червь скачивает файл по следующей ссылке:
http://trafficconverter.biz/*****/antis … oadadv.exe

Скачанный файл сохраняется в системный каталог Windows (%System%) с оригинальным именем и запускается на выполнение. На момент создания описания указанная ссылка не работала.

Также червь может скачивать файлы по ссылкам вида:
http://<URL>/search?q=<%rnd2%>

где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов:
http://www.w3.org
http://www.ask.com
http://www.msn.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com

Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.