Search
 
 

Display results as :
 


Rechercher Advanced Search

Latest topics
» Tuyệt Kỹ Đong Giai Chân Kinh (tuyệt Kỹ cua trai)
Thu Aug 23, 2012 5:38 am by Admin

» Tuyệt kỹ cua giai
Thu Aug 23, 2012 5:36 am by Admin

» NETCAT.........
Mon Aug 13, 2012 6:35 am by Admin

» Bảo mật CSDL bằng phương pháp mã hóa.
Tue Apr 17, 2012 10:04 pm by Admin

» Hàm mã hóa MD5 bằng JavaScript
Tue Apr 17, 2012 10:03 pm by Admin

» Giá của món quà
Fri Apr 13, 2012 6:01 am by Admin

» Sẽ chỉ yêu ai?
Fri Apr 13, 2012 6:01 am by Admin

» Cách đọc bảng chữ cái!
Thu Apr 12, 2012 10:37 pm by Admin

» Gắn trojan, keylog, virus vào website, forum
Tue Apr 10, 2012 1:14 am by Admin

Shopmotion


Affiliates
free forum


Virus tự bạch: Net-Worm.Win32.Kido

View previous topic View next topic Go down

Virus tự bạch: Net-Worm.Win32.Kido

Post  Admin on Wed Jun 01, 2011 9:33 pm

Net-Worm.Win32.Kido là một loại sâu máy tính nguy hiểm với nhiều biến thể khác nhau đang lan truyền mạnh mẽ trên rất nhiều máy tính. Vừa mới xuất hiện từ cuối năm 2008, đầu năm 2009, nhưng nó có mức lây lan khá nhanh: “Theo số liệu của F-Secure, chỉ trong vòng một tháng, Kido Worm đã lây nhiễm hơn 8.9 triệu máy tính khắp nơi trên thế giới". Nó lợi dụng lỗ hổng bảo mật của Microsoft Windows (MS08-067) để phát tán.

Đây là lỗ hổng nghiêm trọng có ảnh hưởng đến cả Windows 2000, XP, Vista, Windows Server 2003, 2008 và ngay cả phiên bản Windows 7 beta.

Kido Worm này có khả năng vô hiệu hóa tính năng System Restore của Windows, ngăn cản sự truy cập vào các trang web bảo mật, hơn nữa còn tải về những phần mềm độc hại khác kèm theo gây nguy hiểm cho máy tính bị lây nhiễm. Nó có khả năng phát tán thông qua mạng nội bộ và các thiết bị lưu trữ di động.

Theo trang web Viruslist.com, ba biến thể phức tạp khác nhau của Kido Worm được phát hiện và hoạt động tương tự nhau. Khi xâm nhập vào máy tính, Kido Worm sẽ sao chép fle thực thi của nó đến thư mục hệ thống của Windows như sau:
%System%\<rnd>.dll với <rnd> là một chuỗi các kí tự ngẫu nhiên.

Đồng thời Kido Worm cũng tạo ra một dịch vụ bảo đảm nó chắc chắn sẽ được kích hoạt mỗi khi Windows khởi động, tạo ra khóa registry sau:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
Và thay đổi giá trị khóa registry:
[HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVer-sion\SvcHost]"netsvcs" = "<original value> %System%\<rnd>.dll"

Lây nhiễm qua mạng

Kido Worm có khả năng phát tán nhanh chóng qua mạng bằng cách kích hoạt một HTTP server với cổng TCP ngẫu nhiên trên máy tính của nạn nhân. Server này mục tiêu để tải fle thực thi của nó lên các máy tính khác.
Sau đó Kido Worm tiếp tục thu thập địa chỉ IP của những máy tính trong cùng mạng với nạn nhân và tấn công chúng thông qua lỗ hổng tràn bộ đệm. Nó sẽ gửi một yêu cầu RPC (Remote Procedure Call) tới port 139 (NETBIOS) và 445 (Direct hosted SMB) của máy tính tìm được, làm tràn bộ đệm khi gọi chức năng wcscpy_s trong thư viện netapi32.dll. Điều này làm kích hoạt đoạn code có chức năng tải fle worm về máy, sau đó thực thi và cài đặt nó lên máy nạn nhân mới.
Để khai thác lỗ hổng đã được miêu tả ở trên, Kido Worm sẽ dò tìm mật khẩu quản trị của máy tính nạn nhân để chiếm quyền điều khiển.

Lây nhiễm qua thiết bị lưu trữ

Ngoài ra Kido Worm cũng lan truyền qua các thiết bị lưu trữ di động. Thông qua các thiết bị này, nó sao chép fle thực thi như sau:
<X>:\RECYCLER\S-5-3-42xxx90-858988-8715005-3665\<rnd>.vmx với <rnd> là một chuỗi các kí tự ngẫu nhiên, X là ổ đĩa.
Sau đó fle worm này sẽ thiết lập trên các ổ đĩa gốc fle tự thực thi: <X>:\autorun.inf.

Và fle này bảo đảm cho fle thực thi của nó hoạt động mỗi khi người sử dụng mở các ổ đĩa đã bị lây nhiễm bằng Windows Explorer.

Phòng tránh Kido Worm

Để ngăn ngừa khả năng phát tán Kido Worm, các hãng bảo mật khuyên người dùng nên thực hiện các bước sau:
-Cập nhật bản vá MS08-067, MS08-068, MS09-001 của Microsoft cho tất cả máy trạm và máy chủ.
-Đặt mật khẩu tài khoản quản trị máy tính khó dò tìm hơn
-Tắt tính năng autorun của máy tính
Hiện tại các hãng phần mềm diệt virus đã tìm và diệt được các loại biến thể của Kido Worm này.
Tuy nhiên, người dùng vẫn có thể sử dụng các công cụ chuyên biệt hoặc thực hiện bằng tay để xóa nó ra khỏi hệ thống.
Một công cụ miễn phí KidoKiller phiên bản 3 dùng để tiêu diệt Kido Worm

Admin
Admin

Tổng số bài gửi : 782
Join date : 2009-08-15

View user profile http://hackis.forumotion.com

Back to top Go down

Re: Virus tự bạch: Net-Worm.Win32.Kido

Post  Admin on Wed Jun 01, 2011 9:34 pm

Cách nhận dạng và xử lý biến thể mới của virus Kido - Virus tấn công mạng qua cổng TCP 445 hoặc 139… gây nghẽn mạng ...

Kaspersky Lab công bố đã phát hiện một thay đổi mới của dòng virus Kido. Đây là một biến thể mới nhất và khác biệt so với các dòng Kido trước đây bằng cách mở rộng các tính năng của trojan kèm trong nó.

Net-Worm.Win32.Kido.ip, Net-Worm.Win32.Kido.iq và các biến thể khác là đại diện cho những biến đổi mới nhất của dòng virus Kido này. Nó có khả năng chống lại các phần mềm diệt virus được cài đặt trên các máy tính bị lây nhiễm. Các biến thể mới này cũng phát sinh ra một số lượng lớn tên miền lạ mà từ đó nó có thể tải về hơn 50,000 dữ liệu độc hại so với 250 đối với các phiên bản trước.

Virus Kido có chức năng Trojan Downloader, điều đó có nghĩa là nó sẽ tải các loại virus độc hại khác vào máy tính bị lây nhiễm. Khiến cho hệ thống mạng tại đó quá tải hoặc nghẽn mạng, đồng thời một số phần mềm có tính năng IDS sẽ liên tục thông báo lỗi tấn công “Intrusion.Win.NETAPI.buffer-overflow.exploit”.

Cơ chế lây nhiễm và một vài dấu hiệu để nhận biết biến thể này như sau:

http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://trafficconverter.biz/4vir/antisp ... oadadv.exe
http://trafficconverter.biz
http://www.maxmind.com/download/geoip/d ... oIP.dat.gz

Phương pháp Xử lý
Bước 1: Tải và cập nhật các bản vá MS08-067, MS08-068, MS09-001 cho hệ điều hành Windows tương ứng của bạn (cập nhật theo trình tự MS08-67 -> MS08-068 -> MS09-001) . TDMIT đã nén sẵn 3 gói trên vào một file Rar. Các bạn có thể tải về theo liên kết sau:

Gói MS08-67, MS08-068, MS09-001 cho Windows XP (1.88MB)
Gói MS08-67, MS08-068, MS09-001 cho Windows Vista (1.08MB)
Gói MS08-67, MS08-068, MS09-001 cho Windows Server 2003 (2.02MB)

Bước 2: Tải và chạy công cụ KKiller (Kido Killer) của Kaspersky. Tải tại đây: KKiller V3.4.1.rar (152KB)

Các bản vá và công cụ trên có thể tải trực tiếp từ chính hãng theo liên kết sau: Bản vá của Microsoft MS08-067, MS08-068, MS09-001 . Công cụ của Kaspersky: KKiller_v3.4.1.zip

Admin
Admin

Tổng số bài gửi : 782
Join date : 2009-08-15

View user profile http://hackis.forumotion.com

Back to top Go down

View previous topic View next topic Back to top


 
Permissions in this forum:
You cannot reply to topics in this forum