Не так давно появился интересный
червь, проникающий на компьютер жертвы через уязвимость ОС Windows, которая позволяет злоумышленнику выполнить любой код на атакуемой системе. Интересным свойством является то, что он производит обновление системы, которое закрывает указанную уязвимость. Делается это для того, чтобы таким же способом на компьютер не попали другие вредоносные программы...
Технические детали
Сетевой червь, использующий для проникновения на компьютер достаточно «свежую» уязвимость, описанную в бюллетене
MS08-067. Червь может загружать произвольные файлы и запускать их на выполнение. Файл вредоносной программы является библиотекой Windows (PE-DLL-файл). Многочисленно упакован различными утилитами паковки. Первый слой – UPX. Размер файла – 50-60 килобайт.
Деструктивная активность
При запуске червь создаёт свою копию в директории %SYSTEM% с произвольным именем. После чего проверят, какую операционную систему использует заражённый компьютер. Если это Windows 2000, то внедряет свой код в процесс services.exe. Если же операционная система отлична от указанной, то создаёт службу со следующими характеристиками:
Имя службы: netsvcs
Путь к файлу: %SYSTEM%\svchost.exe -k netsvcs
Создаёт следующий ключ реестра, обеспечивая себе автозапуск при следующей загрузке:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%SYSTEM%\<название_файла>.dll"
Червь пытается подключиться к домену traff******ter.biz и загрузить следующий файл:
http://traffi******ter.biz/*******/loadadv.exe
В случае успеха, загруженный файл запускается на выполнение.
Другие действия
Червь производит обновление системы, закрывая тем самым описанную выше уязвимость. Делается это для того, чтобы таким же способом в систему не попали другие вредоносные программы.
Рекомендации по удалению
Если ваш компьютер не был защищён антивирусом и оказался заражён данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. Удалить оригинальный файл червя (его расположение на заражённом компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл, созданный троянцем в каталоге:
%SYSTEM%\<название_файла>.dll
Посмотреть имя файла можно в ключе:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll
3. Удалить ветку реестра:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
4. Произвести полную проверку компьютера Антивирусом Касперского с обновлёнными антивирусными базами.
Другие названия: Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)
| Net-Worm.Win32.Kido
