诺顿报w32.downadp.b 卡巴报net-worm.win32.kido.ih病毒
的有关信息介绍如下:
Net-Worm.Win32.Kido.ih技术细节 该网络蠕虫通过本地网络和移动存储介质进行传播。该程序是一个Windows PE DLL文件。该蠕虫大小在155KB到165KB之间。使用UPX加壳。 安装蠕虫复制可执行文件以任意的名字命名。像下面这样显示:%System%\dir.dll%Program Files%\Internet Explorer\.dll %Program Files%\Movie Maker\.dll %All Users Application Data%\.dll %Temp%\.dll %System%\tmp %Temp%\.tmp是任意字符串。 为了保证蠕虫在下次系统启动时运行,它创建一个系统服务,每次系统启动时运行蠕虫的可执行文件。下面的注册键值将被创建:[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] 蠕虫也修改下面的系统注册键值:[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]"netsvcs" = " %System%\.dll"网络传播 该蠕虫运行在HTTP 服务器上的任意端口上,然后使用下载蠕虫的可执行文件到其它计算机上。 该蠕虫会给远程计算机发送一个特定的RPC请求,当netapi32.dll中调用wcscpy_s函数会引起一个缓冲区溢出;用于下载蠕虫文件的可执行代码将会被在受害计算机上运行,并安装该蠕虫文件。 为了利用上述的漏洞,该蠕虫会尝试连接到远程计算机上的管理员账号。该蠕虫使用密码来强制破解账号。通过可移动存储介质来传播 蠕虫以下面的命名方式复制自身到所有可移动介质::\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%>\.vmx, 为了执行文件,蠕虫在每个磁盘创建下面显示的文件::\autorun.inf 该文件将在每次打开被感染磁盘的时候运行。 病毒体 当该蠕虫运行时,会把它的代码注入到一个“svchost.exe”系统进程的地址空间中。该代码形成了该蠕虫的恶意负载。禁用如下的服务: wuauservBITS阻止访问包含如下字符串的地址:indowsupdatewilderssecuritythreatexpertcastlecopsspamhauscpsecurearcabitemsisoftsunbeltsecurecomputingrisingprevxpctoolsnormank7computingikarushaurihacksoftgdatafortinetewidoclamavcomodoquickhealaviraavastesafeahnlabcentralcommanddrwebgrisoftesetnod32f-protjottikasperskyf-securecomputerassociatesnetworkassociatesetrustpandasophostrendmicromcafeenortonsymantecmicrosoftdefenderrootkitmalwarespywarevirus 蠕虫可能从下面显示的链接下载文件:http:///search?q=<%rnd2%> rnd2 是随机数;URL是根据当前的日期使用特殊的运算法则生成的链接。蠕虫从下面显示一个站点获取当前的日期。http://www.w3.orghttp://www.ask.comhttp://www.msn.comhttp://www.yahoo.comhttp://www.google.comhttp://www.baidu.com 由蠕虫下载的文件将会以它原来的名字保存到Windows系统目录下。 处理方法 如果您的计算机没有更新到最新的反病毒数据库,或根本没有安装反病毒程序,您可以使用特殊的删除工具 (在这里可以找到) 或按照下面说明执行:1. 删除下面的系统注册表键值:[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] 2. 从下面显示的系统注册键值中删除 “%System%\.dll” :[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]"netsvcs" 3. 重新启动计算机 4. 删除蠕虫文件的原本(它的位置需要根据恶意程序入侵计算机的方式来确定) 5. 删除蠕虫复制的文件: %System%\dir.dll%Program Files%\Internet Explorer\.dll %Program Files%\Movie Maker\.dll %All Users Application Data%\.dll %Temp%\.dll %System%\tmp %Temp%\.tmp是一串随机的字符6. 从所有移动存储介质中删除如下的文件: :\autorun.inf:\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%>\.vmx,7. 从下面的地址下载和更新操作系统: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx更新您的反病毒数据库并执行全盘扫描(现在就购买卡巴斯基全功能安全软件2009)。
Simone
