Tổng quan về mẫu Net-Worm.Win32.Kido.ih

Tổng quan về mẫu Net-Worm.Win32.Kido.ihĐược phân loại thuộc nhóm Net-Worms vô cùng độc hại, chúng có thuộc tính lây lan mạnh mẽ qua mạng máy tính, tính năng dễ phân biệt nhất của chúng là tự nhân bản và lây lan mà không cần đến sự tác động của người dùng.
Nội dung trích xuất từ tài liệu:
Tổng quan về mẫu Net-Worm.Win32.Kido.ihTổng quan về mẫu Net-Worm.Win32.Kido.ihĐược phân loại thuộc nhóm Net-Worms vô cùng độc hại,chúng có thuộc tính lây lan mạnh mẽ qua mạng máy tính,tính năng dễ phân biệt nhất của chúng là tự nhân bản và lâylan mà không cần đến sự tác động của người dùng.Đặc biệt, loại sâu này thường xuyên tìm kiếm các lỗ hổng bảomật có trong các phần mềm hệ thống chạy trên các máy tính cókết nối với nhau hoặc Internet, qua đó chúng sẽ dễ dàng lây lanvà phát tán hơn đến các máy tính thông qua các gói dữ liệu đặcbiệt đã được chuẩn bị từ trước (gọi chung là exploit), và kết quảlà mã độc của 1 phần hoặc toàn bộ “con sâu” này sẽ xâm nhậpvào máy tính của nạn nhân và tự kích hoạt các chế độ hoạt độngcủa chúng. Đôi khi, những gói dữ liệu lưu chuyển qua lại nàychỉ chứa 1 phần nào đó của sâu, và những đoạn mã này cónhiệm vụ tải và thực thi các module còn lại của chúng qua conđường khác. Mặt khác, 1 số loại sâu chuyên phát tán và lây lanqua hệ thống mạng có xu hướng lây lan đồng loạt, để tăng tốc độnhân bản mà chúng đã xâm nhập vào máy tính của nạn nhântrước đó.Theo thông tin từ Kaspersky Lab, mẫu sâu này xuất hiện vàokhoảng 20/02/2009 lúc 07:04 GMT, chính thức hoạt động và lâylan vào ngày 20/08/2009 lúc 19:33 GMT và được phát hiện vàocùng ngày 20/08/2009 lúc 14:52 GMT.Mô tả chi tiết về mặt kỹ thuậtLoại sâu này chủ yếu lây lan qua hệ thống mạng local và cácthiết bị lưu trữ cắm ngoài như USB, ổ cứng di động… bản thânnó dựa trên file hệ thống PE DLL của Windows, dung lượngchung dao động trong khoảng 155KB tới 165KB và được đónggói bằng cách thức UPX.Khi cài đặt, chúng sẽ tự sao lưu các file thực thi vào hệ thốngvới các tên được đặt ngẫu nhiên như sau:%System%dir.dll%Program Files%Internet Explorer.dll%Program Files%Movie Maker.dll%All Users Application Data%.dll%Temp%.dll%System% mp%Temp%.tmpTrong đó là các chuỗi ký tự ngẫu nhiên. Tiếp theo, đểđảm bảo rằng các file thực thi này sẽ được kích hoạt trong lần hệthống khởi động tiếp theo, chúng tiếp tục tạo ra dịch vụ khởiđộng như của Windows và trỏ đường dẫn tới các file *.exe trên.Khóa registry sau được tạo ra trong bước này:[HKLMSYSTEMCurrentControlSetServices etsvcs]Đồng thời, chúng sẽ thay đổi giá trị của khóa registry sau:[HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionSvcHost]netsvcs = %System%.dllQuá trình nhân bảnĐể bắt đầu quá trình này, chúng sẽ “tạo lập” 1 hệ thống serverHTTP trên 1 cổng TCP bất kỳ, sau đó sẽ sử dụng cổng này để tảicác phần thực thi còn lại tới các máy tính khác trên cùng hệthống mạng. Chúng sẽ thu nhận địa chỉ IP của các máy tínhtrong cùng lớp mạng cũng như các máy tính đã bị lây nhiễmkhác, và thực hiện các cuộc tấn công thông qua lỗ hổng MS08-067 của dịch vụ Server. Cụ thể, chung sẽ gửi những gói dữ liệuRPC – đã được chuẩn bị sẵn tới các máy tính bị điều khiển. Quátrình này sẽ gây ra hiện tượng tràn bộ nhớ, và 1 vùng dữ liệu sẽbị phá hoại khi các hàm wcscpy_s được gọi ra trongnetapi32.dll, đồng thời sẽ tiếp tục tải các file thực thi của sâu tớimáy tính của nạn nhân, và tự động kích hoạt chúng. Và quá trìnhnày sẽ tiếp diễn trên các máy tính bị lây nhiễm tiếp theo.Để khai thác các lỗ hổng trong phần mềm như đã nhắc đến bêntrên, loại sâu này sẽ tìm mọi cách để kết nối tới tài khoảnAdministrator trên máy tính bị điều khiển, và chúng sẽ sử dụngcác mật khẩu dưới đây để áp dụng vào tài khoản đó:99999999 explorer 9999 campus9999999 exchange 999 default999999 customer 99 foobar99999 cluster 9 foofoo88888888 nobody 11 temptemp8888888 codeword 1 temp888888 codename 00000000 testtest88888 changeme 0000000 test8888 desktop 00000 rootroot888 security 0000 root88 secure 000 adminadmin8 public 00 mypassword77777777 system 0987654321 mypass7777777 shadow 987654321 pass777777 office 87654321 Login77777 supervisor 7654321 login7777 superuser 654321 Password777 share 54321 password77 super 4321 passwd7 secret 321 zxcvbn66666666 server 21 zxcvb6666666 computer 12 zxccxz666666 owner fuck zxcxz66666 backup zzzzz qazwsxedc6666 database zzzz qazwsx666 lotus zzz q1w2e366 oracle xxxxx qweasdzxc6 business xxxx asdfgh55555555 manager xxx ...