Imprimir E-mail

Conhecendo e removendo Net-Worm.Win32.Kido

Surgido no inicio de novembro e atualmente com poder de proliferação global com destaque na região da América latina, explora uma vulnerabilidade dos sistemas operacionais Microsoft Windows que não tenham instalado o patch de segurança MS08-067.

Para visualizar o procedimento completo para impelir a propagação da ameaça citada CLIQUE AQUI.

Utilizando técnicas de rootkit para impedirem a sua detecção no sistema, bloqueia o acesso aos mais conhecidos sites de segurança. E para ajudar a comprometê-lo, descarrega e instala programas de código malicioso tanto em servidores quanto em estações.

 

Dados Técnicos:

 

Vulgarmente Meios de transmissão:
• Rede local
• Unidade de rede


Alias:
•  Symantec: W32.Downadup.B
•  Kaspersky: Net-Worm.Win32.Kido.fw
•  F-Secure: Worm:W32/Downadup.gen!A
•  Sophos: Mal/Conficker-A
•  Panda: Trj/Downloader.MDW
•  Grisoft: I-Worm/Generic.CJY
•  Eset: a variant of Win32/Conficker.AE worm
•  Bitdefender: Win32.Worm.Downadup.Gen

Detecção similar:
•  Worm/Kido


Sistemas Operacionais:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003


Efeitos secundários:
• Altera o registo do Windows
• Aproveita-se de vulnerabilidades do software
• Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para as seguintes localizações
%todas as pastas partilhadas% \RECYCLER\S-%número%\%uma série de caracteres aleatórios%.vmx
• %ProgramFiles%\Internet Explorer\%uma série de caracteres aleatórios%.dll
• %ProgramFiles%\Movie Maker\%uma série de caracteres aleatórios%.dll
• %System%\%uma série de caracteres aleatórios%.dll
• %Temp%\%uma série de caracteres aleatórios%.dll
• %ALLUSERSPROFILE%\Application Data\%uma série de caracteres aleatórios%.dll



É criado o seguinte ficheiro:

%todas as pastas partilhadas%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
• %random comments%
shellexecute rundll32.exe %caminhos e ficheiros de cópias de malware%,%uma série de caracteres aleatórios%
%random comments%

Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\
%palavras aleatórias%\Parameters\
• ServiceDll" = "%caminhos e ficheiros de cópias de malware%"

– HKLM\SYSTEM\CurrentControlSet\Services\
%palavras aleatórias%\
• "ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
"Type" = "4"
"Start" = "4"
"ErrorControl" = "4"



Altera as seguintes chaves de registo do Windows:

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
Valor anterior:
• "Start"=dword:00000003
Valor recente:
• "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Valor anterior:
• "Start"=dword:00000003
Valor recente:
• "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\BITS]
Valor anterior:
• "Start"=dword:00000003
Valor recente:
• "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
Valor anterior:
• "Start"=dword:00000003
Valor recente:
• "Start"=dword:00000004

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Valor recente:
• "Hidden"=dword:00000002
"ShowCompColor"=dword:00000001
"HideFileExt"=dword:00000000
"DontPrettyPath"=dword:00000000
"ShowInfoTip"=dword:00000001
"HideIcons"=dword:00000000
"MapNetDrvBtn"=dword:00000000
"WebView"=dword:00000000
"Filter"=dword:00000000
"SuperHidden"=dword:00000000
"SeparateProcess"=dword:00000000

Infecção da rede Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Usa a seguinte informação de login para ganhar acesso à máquina remota:

– A seguinte lista de palavras-chave:
• 000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
abc123; academia; access; account; Admin; admin; admin1; admin12;
admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
asdzxc; backup; boss123; business; campus; changeme; cluster;
codename; codeword; coffee; computer; controller; cookie; customer;
database; default; desktop; domain; example; exchange; explorer; file;
files; foo; foobar; foofoo; forever; freedom; fuck; games; home;
home123; ihavenopass; Internet; internet; intranet; job; killer;
letitbe; letmein; login; Login; lotus; love123; manager; market;
money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
pass123; passwd; password; Password; password1; password12;
password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
root123; rootroot; sample; secret; secure; security; server; shadow;
share; sql; student; super; superuser; supervisor; system; temp;
temp123; temporary; temptemp; test; test123; testtest; unknown; web;
windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
zxcxz; zzz; zzzz; zzzzz



Criação de endereços IP:
Gera endereços IP aleatoriamente, guardando somente os três primeiros octetos do seu endereço. De seguida tenta estabelecer ligação com os endereços gerados.


Processo de infecção:
A máquina a atacada efectua o download do malware da máquina atacante.
O ficheiro descarregado é armazenado na máquina a atacar: .\RECYCLER\S-%número%\%uma série de caracteres aleatórios%.vmx

Hospedeiros – O acesso aos seguintes domínios é bloqueado:
• ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
k7computing; kaspersky; malware; mcafee; microsoft; nai.;
networkassociates; nod32; norman; norton; panda; pctools; prevx;
quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
wilderssecurity; windowsupdate


Informações diversas Ligação à internet:
Para conferir a sua ligação à internet são contatados os seguintes servidores de DNS :
http://www.getmyip.org/
http://www.whatsmyipaddress.com/
http://getmyip.co.uk/
http://checkip.dyndns.org/


Procura uma ligação de internet contactando um dos seguintes web sites:
• baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
cnn.com; ebay.com; msn.com; myspace.com


Reparar o ficheiro:
Para aumentar o número máximo de ligações tem a capacidade de modificar o ficheiro tcpip.sys. Pode resultar na corrupção desse ficheiro e na ruptura da conectividade da rede.

Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.


Forma utilizada

Bloqueia as seguintes funções API:
• DNS_Query_A
• DNS_Query_UTF8
• DNS_Query_W
• Query_Main
• sendto

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.