电脑计算机论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 4355|回复: 0

worm.kido.ih怎么彻底删除啊?(终于可以彻底弄明白这个病毒了)

[复制链接]
admin 发表于 2010-9-7 17:31:22 | 显示全部楼层 |阅读模式
该网络蠕虫通过本地网络和移动存储介质进行传播。该程序是一个Windows PE DLL文件。该蠕虫大小在155KB到165KB之间。使用UPX加壳。 安装
蠕虫复制可执行文件以任意的名字命名。像下面这样显示:%System%\<rnd>dir.dll %Program Files%\Internet Explorer\<rnd>.dll %Program Files%\Movie Maker\<rnd>.dll %All Users Application Data%\<rnd>.dll %Temp%\<rnd>.dll %System%\<rnd>tmp %Temp%\<rnd>.tmp
<rnd>是任意字符串。
        为了保证蠕虫在下次系统启动时运行,它创建一个系统服务,每次系统启动时运行蠕虫的可执行文件。下面的注册键值将被创建:[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
        蠕虫也修改下面的系统注册键值:[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" = "<original value> %System%\<rnd>.dll" 网络传播
        该蠕虫运行在HTTP 服务器上的任意端口上,然后使用下载蠕虫的可执行文件到其它计算机上。
        该蠕虫会给远程计算机发送一个特定的RPC请求,当netapi32.dll中调用wcscpy_s函数会引起一个缓冲区溢出;用于下载蠕虫文件的可执行代码将会被在受害计算机上运行,并安装该蠕虫文件。
        为了利用上述的漏洞,该蠕虫会尝试连接到远程计算机上的管理员账号。该蠕虫使用如下的密码来强制破解账号:
99999999
9999999
999999
99999
88888888
8888888
888888
88888
8888
888
88
8
77777777
7777777
777777
77777
7777
777
77
7
66666666
6666666
666666
66666
6666
666
66
6
55555555
5555555
555555
55555
5555
555
55
5
44444444
4444444
444444
44444
4444
444
44
4
33333333
3333333
333333
33333
3333
333
33
3
22222222
2222222
222222
22222
2222
222
22
2
11111111
1111111
111111
11111
1111
111
explorer
exchange
customer
cluster
nobody
codeword
codename
changeme
desktop
security
secure
public
system
shadow
office
supervisor
superuser
share
super
secret
server
computer
owner
backup
database
lotus
oracle
business
manager
temporary
ihavenopass
nothing
nopassword
nopass
Internet
internet
example
sample
love123
boss123
work123
home123
mypc123
temp123
test123
qwe123
abc123
pw123
root123
pass123
pass12
pass1
admin123
admin12
admin1
password123
password12
password1
9999
999
99
9
11
1
00000000
0000000
00000
0000
000
00
0987654321
987654321
87654321
7654321
654321
54321
4321
321
21
12
fuck
zzzzz
zzzz
zzz
xxxxx
xxxx
xxx
qqqqq
qqqq
qqq
aaaaa
aaaa
aaa
sql
file
web
foo
job
home
work
intranet
controller
killer
games
private
market
coffee
cookie
forever
freedom
student
account
academia
files
windows
monitor
unknown
anything
letitbe
letmein
domain
access
money
campus
default
foobar
foofoo
temptemp
temp
testtest
test
rootroot
root
adminadmin
mypassword
mypass
pass
Login
login
Password
password
passwd
zxcvbn
zxcvb
zxccxz
zxcxz
qazwsxedc
qazwsx
q1w2e3
qweasdzxc
asdfgh
asdzxc
asddsa
asdsa
qweasd
qwerty
qweewq
qwewq
nimda
administrator
Admin
admin
a1b2c3
1q2w3e
1234qwer
1234abcd
123asd
123qwe
123abc
123321
12321
123123
1234567890
123456789
12345678
1234567
123456
12345
1234
123
通过可移动存储介质来传播
        蠕虫以下面的命名方式复制自身到所有可移动介质:<X>:\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%>\<rnd>.vmx,
        为了执行文件,蠕虫在每个磁盘创建下面显示的文件:<X>:\autorun.inf
        该文件将在每次打开被感染磁盘的时候运行。
病毒体

        当该蠕虫运行时,会把它的代码注入到一个“svchost.exe”系统进程的地址空间中。该代码形成了该蠕虫的恶意负载。
  • 禁用如下的服务: wuauserv BITS
  • 阻止访问包含如下字符串的地址:indowsupdate wilderssecurity threatexpert castlecops spamhaus cpsecure arcabit emsisoft sunbelt securecomputing rising prevx pctools norman k7computing ikarus hauri hacksoft gdata fortinet ewido clamav comodo quickheal avira avast esafe ahnlab centralcommand drweb grisoft eset nod32 f-prot jotti kaspersky f-secure computerassociates networkassociates etrust panda sophos trendmicro mcafee norton symantec microsoft defender rootkit malware spyware virus

        蠕虫可能从下面显示的链接下载文件:http://<URL>/search?q=<%rnd2%>
        rnd2 是随机数;URL是根据当前的日期使用特殊的运算法则生成的链接。蠕虫从下面显示一个站点获取当前的日期。http://www.w3.org http://www.ask.com http://www.msn.com http://www.yahoo.com http://www.google.com http://www.baidu.com
        由蠕虫下载的文件将会以它原来的名字保存到Windows系统目录下。
处理方法

如果您的计算机没有更新到最新的反病毒数据库,或根本没有安装反病毒程序,您可以使用特殊的删除工具 (在这里可以找到) 或按照下面说明执行:
  • 删除下面的系统注册表键值:[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
  • 从下面显示的系统注册键值中删除 “%System%\.dll” :[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]"netsvcs"
  • 重新启动计算机
  • 删除蠕虫文件的原本(它的位置需要根据恶意程序入侵计算机的方式来确定)
  • 删除蠕虫复制的文件: %System%\<rnd>dir.dll %Program Files%\Internet Explorer\<rnd>.dll %Program Files%\Movie Maker\<rnd>.dll %All Users Application Data%\<rnd>.dll %Temp%\<rnd>.dll %System%\<rnd>tmp %Temp%\<rnd>.tmp
    是一串随机的字符
  • 从所有移动存储介质中删除如下的文件: <X>:\autorun.inf <X>:\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%>\<rnd>.vmx,
  • 从下面的地址下载和更新操作系统的补丁:

       http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
您需要登录后才可以回帖 登录 | 注册

本版积分规则


QQ|手机版|小黑屋|电脑计算机论坛 ( 京ICP备2022023538号-1 )

GMT+8, 2024-11-23 20:44 , Processed in 0.090257 second(s), 20 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表