Net-Worm.Win32.Kido.bt分析查杀


技术细节
        这种蠕虫的传播通过本地网络和移动存储介质。这是一个PE DLL文件。蠕虫的大小介于155KB和165K。通过UPX压缩。
       
安装
       
        该蠕虫复制文件到到Windows系统目录如下：
        ％system％ \ <rnd>的.dll
        <rnd>是一个随机的字符串
       
        该蠕虫会创建一个服务，以确保感染的机器在每一次开机后都会运行。在注册表项中新建：
        [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
       
        该蠕虫病毒还修改以下注册表键值：
        [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
        "netsvcs" = "<original value> %System%\<rnd>.dll"
       
网络传播
       
        当感染一台计算机后该蠕虫通过一个HTTP服务器上的随机TCP端口运行。
        该蠕虫获得与受害者机器在局域网中的IP并通过一个缓冲区溢出漏洞攻击他们 （更多信息有关此漏洞可在微软网站： www.microsoft.com ） 。
        该蠕虫病毒发送特制的RPC请求到远程机器，造成缓冲区溢出，wcscpy_s时调用函数的netapi32.dll ，运行代码下载蠕虫文件，运行和安装在新的受害机器。
        为了利用这个漏洞上文所述，该蠕虫尝试连接到Administrator帐户上的远程计算机。该蠕虫使用下列密码破解帐户：
        99999999
        9999999
        999999
        99999
        9999
        999
        99
        9
        88888888
        8888888
        888888
        88888
        8888
        888
        88
        8
        77777777
        7777777
        777777
        77777
        7777
        777
        77
        7
        66666666
        6666666
        666666
        66666
        6666
        666
        66
        6
        55555555
        5555555
        555555
        55555
        5555
        555
        55
        5
        44444444
        4444444
        444444
        44444
        4444
        444
        44
        4
        33333333
        3333333
        333333
        33333
        3333
        333
        33
        3
        22222222
        2222222
        222222
        22222
        2222
        222
        22
        2
        11111111
        1111111
        111111
        11111
        1111
        111
        11
        1
        00000000
        0000000
        00000
        0000
        000
        00
        0987654321
        987654321
        87654321
        7654321
        654321
        54321
        4321
        321
        21
        12
        super
        secret
        server
        computer
        owner
        backup
        database
        lotus
        oracle
        business
        manager
        temporary
        ihavenopass
        nothing
        nopassword
        nopass
        Internet
        internet
        example
        sample
        love123
        boss123
        work123
        home123
        mypc123
        temp123
        test123
        qwe123
        abc123
        pw123
        root123
        pass123
        pass12
        pass1
        admin123
        admin12
        admin1
        password123
        password12
        password1
        default
        foobar
        foofoo
        temptemp
        temp
        testtest
        test
        rootroot
        root        xxx
        zzzzz
        zzzz
        zzz
        xxxxx
        xxxx
        xxx
        qqqqq
        qqqq
        qqq
        aaaaa
        aaaa
        aaa
        sql
        file
        web
        foo
        job
        home
        work
        intranet
        controller
        killer
        games
        private
        market
        coffee
        cookie
        forever
        freedom
        student
        account
        academia
        files
        windows
        monitor
        unknown
        anything
        letitbe
        letmein
        domain
        access
        money
        campus
        explorer
        exchange
        customer
        cluster
        nobody
        codeword
        codename
        changeme
        desktop
        security
        secure
        public
        system
        shadow
        office
        supervisor
        superuser
        share
        adminadmin
        mypassword
        mypass
        pass
        Login
        login
        Password
        password
        passwd
        zxcvbn
        zxcvb
        zxccxz
        zxcxz
        qazwsxedc
        qazwsx
        q1w2e3
        qweasdzxc
        asdfgh
        asdzxc
        asddsa
        asdsa
        qweasd
        qwerty
        qweewq
        qwewq
        nimda
        administrator
        Admin
        admin
        a1b2c3
        1q2w3e
        1234qwer
        1234abcd
        123asd
        123qwe
        123abc
        123321
        12321
        123123
        1234567890
        123456789
        12345678
        1234567
        123456
        12345
        1234
        123
       
通过移动存储传播媒体
       
        该蠕虫复制其可执行文件如下：
    <X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\<rnd>.vmx
        rnd是一个随机的小写字符串; X是磁盘。
       
        该蠕虫病毒还在每个磁盘根目录建立下列文件中的：
        <X>:\autorun.inf
       
        这将确保该蠕虫在用户每次使用Windows Explorer打开被感染的磁盘时候会自动运行。
       
有效载荷
       
        当运行该蠕虫的代码注入到一个“ svchost.exe ”系统进程。 此代码负责蠕虫的恶意的有效载荷：
        禁用系统还原
        屏蔽以下字符串内容：
        indowsupdate
        wilderssecurity
        threatexpert
        castlecops
        spamhaus
        cpsecure
        arcabit
        emsisoft
        sunbelt
        securecomputing
        rising
        prevx
        pctools
        norman
        k7computing
        ikarus
        hauri
        hacksoft
        gdata
        fortinet
        ewido
        clamav
        comodo
        quickheal
        avira
        avast
        esafe
        ahnlab
        centralcommand
        drweb
        grisoft
        eset
        nod32
        f-prot
        jotti
        kaspersky
        f-secure
        computerassociates
        networkassociates
        etrust
        panda
        sophos
        trendmicro
        mcafee
        norton
        symantec
        microsoft
        defender
        rootkit
        malware
        spyware
        virus
       
        该蠕虫还可以下载如下所示地址的文件：
        hxxp://trafficconverter.biz/*****/antispyware/loadadv.exe
        此文件保存到Windows系统目录中，然后开始执行。
       
        该蠕虫还可以下载如下所示类型链接的文件：
        hxx://<URL>/search?q=<%rnd2%>  rnd2是一个随机数。<URL> 是类似如下的正常站点：
        http://www.w3.org
        http://www.ask.com
        http://www.msn.com
        http://www.yahoo.com
        http://www.google.com
        http://www.baidu.com
蠕虫下载的文件以原始名称保存到Windows系统目录中
       
移除方法
       
        如果您的电脑没有最新的杀毒软件，或没有防病毒解决方案，您可以使用一个特殊的删除工具，它可以在这里找到support.kaspersky.com或按照以下步骤操作：
        1、删除如下注册表项：
        [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
        2、从系统注册表项中删除如下所示"%System%\<rnd>.dll"：
        [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"
        3、重新启动计算机。
        4、删除蠕虫文件（位置取决于恶意程序如何侵入计算机） 。
        5、删除如下所示的文件：
        %System%\<rnd>.dll
        <rnd>是一个随机的字符串符号
        从所有可移动存储介质删除以下文件：
        <X>:\autorun.inf
        <X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\<rnd>.vmx
        rnd是一个随机小写符号的字符串;
        X是磁盘。
        安装系统的补丁：
        http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
        更新您的防病毒数据库和执行完整扫描计算机

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)

问题描述：
收看在线视频没有声音，下载在线视频收看没问题。

问题定位：
整了好久，终于定位到了应该是flash版本问题。但是卸载[url="].[/url]重新安装和换播放器都没用。弄了很久都很囧。
问题解决方案：
今天red_sc发我一个注册表文件导入即可。分享给大家。
————————————————————分割线————————————————————
代码（保存为X.reg格式即可）：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
"midimapper"="midimap.dll"
"msacm.imaadpcm"="imaadp32.acm"
"msacm.msadpcm"="msadp32.acm"
"msacm.msg711"="msg711.acm"
"msacm.msgsm610"="msgsm32.acm"
"msacm.trspch"="tssoft32.acm"
"vidc.cvid"="iccvid.dll"
"VIDC.I420"="i420vfw.dll"
"vidc.iv31"="ir32_32.dll"
"vidc.iv32"="ir32_32.dll"
"vidc.iv41"="ir41_32.ax"
"VIDC.IYUV"="iyuv_32.dll"
"vidc.mrle"="msrle32[url="].[/url]dll"
"vidc.msvc"="msvidc32.dll"
"VIDC.YVYU"="msyuv.dll"
"wavemapper"="msacm32.drv"
"msacm.msg723"="msg723.acm"
"vidc.M263"="msh263.drv"
"vidc.M261"="msh261.drv"
"msacm.msaudio1"="msaud32.acm"
"msacm.sl_anet"="sl_anet.acm"
"msacm.iac2"="C:\\WINDOWS\\system32\\iac25_32.ax"
"vidc.iv50"="ir50_32.dll"
"wave"="wdmaud.drv"
"midi"="wdmaud.drv"
"mixer"="wdmaud.drv"
"VIDC.WMV3"="wmv9vcm.dll"
"VIDC.VP40"="vp4vfw.dll"
"msacm.voxacm160"="vct3216.acm"
"MSVideo"="vfwwdm32.dll"
"MSVideo8"="VfWWDM32.dll"
"wave1"="wdmaud.drv"
"midi1"="wdmaud.drv"
"mixer1"="wdmaud.drv"
"aux"="wdmaud.drv"
"vidc.[url="].[/url]VP70"="vp7vfw.dll"
"vidc.X264"="x264vfw.dll"
"VIDC.FPS1"="frapsvid.dll"
"vidc.VP60"="vp6vfw[url="].[/url].dll"
"vidc.VP61"="vp6vfw.dll"
"vidc.VP62"="vp6vfw.dll"
"vidc.DIVX"="DivX.dll"
"VIDC.UYVY"="msyuv.dll"
"VIDC.YUY2"="msyuv.dll"
"VIDC.YVU9"="tsbyuv.dll"
"VIDC.DRAW"="DVIDEO.DLL"
"VIDC.YV12"="yv12vfw.dll"
"wave2"="wdmaud.drv"
"midi2"="wdmaud.drv"
"mixer2"="wdmaud.drv"
"aux1"="wd[url="].[/url]maud.drv"
"wave3"="wdmaud.drv"
"midi3"="wdmaud.drv"
"mixer3"="wdmaud.drv"
"aux2"="wdmaud.drv"
"VIDC.MSUD"="msulvc05.dll"
"wave4"="wdmaud.drv"
"midi4"="wdmaud.drv"
"mixer4"="wdmaud.drv"
"aux3"="wdmaud.drv"
————————————————————分割线————————————————————
问题解决后思考，应该是某播放器没有注册一些[url="].[/url]必要dll才导致的呵呵。
最后谢谢red_sc解决我[url="].[/url]这困扰我很久的问题，谢谢了！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)

一般来说，网络上成千上万的东西，是不能见一个就往卡卡论坛转一个的

那样会严重影响求助的发贴求助

boring