Net-Worm.Win32.Kido.iq

Главная / Описания / Net-Worm.Win32.Kido.iq

Печать

Закладки

Время детектирования	02 ноя 2009 08:36 MSK
Время выпуска обновления	02 ноя 2009 13:31 MSK
Описание опубликовано	14 дек 2009 12:53 MSK

Технические детали

Деструктивная активность

Рекомендации по удалению

Технические детали

Червь, создающий свои копии на съемных дисках и через локальную сеть. Программа является скриптом автозапуска Windows (AUTORUN.INF-файл). Размер файла 54408 байт. Не упакован.

Деструктивная активность

Данный скрипт используется для запуска библиотеки червя из семейства Kido при подключении к компьютеру съемных носителей. Содержимое файла скрипта обфусцировано путем добавления случайного набора символов. Восстановив обфусцированные данные получаем следующий код скрипта автозапуска:

[AUTorUN]
AcTION=開啟資料夾以檢視檔案
icon=%syStEmrOot%\sySTEM32\sHELL32.Dll,4
OpEn=RunDll32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665
\jwgkvsq.vmx,ahaezedrn
sHEllExECUTe=RUNdLl32.ExE  .\RECYCLER\S-5-3-42-2819952290-
8240758988-879315005-3665
\jwgkvsq.vmx,ahaezedrn 
useAuTopLAY=1

Подразумевается, что библиотека червя находится в следующей папке на съемном носителе:

.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

Данная версия скрипта отображает фразу "Открыть папку для просмотра файлов" на китайском языке в диалоговом окне автозапуска.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления можно воспользоваться специальной утилитой, которую можно скачать по следующей ссылке:

http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215

либо выполнить следующие действия:

Удалить следующие файлы со всех съемных носителей:
<X>:\autorun.inf
<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\ jwgkvsq.vmx, где X – буква съемного диска.
Скачать и установить обновление системы по следующей ссылке:
```
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Вредоносные программы

Вирусы и черви

Net-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.

Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).

Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.

Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.

Другие модификации

Net-Worm.Win32.Kido.bt

Net-Worm.Win32.Kido.dv

Net-Worm.Win32.Kido.fx

Net-Worm.Win32.Kido.ih

Net-Worm.Win32.Kido.ir

Net-Worm.Win32.Kido.jq

Другие названия

Net-Worm.Win32.Kido.iq («Лаборатория Касперского») также известен как:

Mal/ConfInf-A (Sophos)
Worm.Autorun-1838 (ClamAV)
W32/Conficker.C.worm (Panda)
Worm:Win32/Conficker.B!inf (MS(OneCare))
Win32.HLLW.Autoruner.6617 (DrWeb)
Win32.Worm.Downadup.B (BitDef7)
BV:AutoRun-S [Wrm] (AVAST)
Win32.Worm.Downadup (Ikarus)
Net-Worm.Win32.Kido (Ikarus)
Generic_c.BSXN (AVG)
WORM/Downadup.B (AVIRA)
W32.Downadup!autorun (NAV)
Text/Autorun.CTK (Norman)
Net-Worm.Win32.Kido.iq [AVP] (FSecure)
TROJ_DOWNAD.INF (TrendMicro)
INF.Autorun (v) (Sunbelt)