Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Trojan-Downloader.Win32.Kido.a

Ten szkodliwy program jest plikiem DLL.

Instalacja

Szkodnik ten kopiuje swój plik wykonywalny z losowymi nazwami do następujących folderów:

%Program Files%Internet Explorer<rnd>.dll
%Program Files%Windows Media Player<rnd>.dll
%Program Files%WindowsNT<rnd>.dll
%Program Files%Movie Maker<rnd>.dll
%SpecialFolder%<rnd>.dll
%System%<rnd>dir.dll
%Temp%<rnd>.dll

, <rnd> jest losowo wybranym ciągiem symboli.

W celu zapewnienia sobie automatycznego uruchamiania w momencie restartu systemu szkodnik rejestruje swój plik wykonywalny w rejestrze systemowym:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"<rnd>" = "rundll32.exe <ścieżka do pliku trojana>"

<rnd> jest losowo wybranym ciągiem symboli.

Szkodliwy program usuwa również poniższy klucz rejestru w celu umożliwienia uruchomienia systemu w trybie awaryjnym:

[HKLMSystemCurrentControlSetControlSafeBoot]

Ponadto, w celu wyłączenia powiadomień Centrum Zabezpieczeń usuwa następujący klucz rejestru:

[HKLMSoftwareMicrosoftWindowsCurrentVersionexplorer
ShellServiceObjects{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]

Usuwa również parametr autostartu dla Windows Defender:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRunWindows Defender]

Modyfikuje również następującą wartość klucza rejestru systemowego poprzez dodanie odsyłacza do usługi trojana:

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost]
"netsvcs" = "<oryginalna wartość><nazwa usługi trojana>"

W celu zapewnienia sobie uruchomienia się wraz z następnym startem systemu trojan tworzy usługę systemową, która uruchamia dll trojana wraz z każdym uruchomieniem systemu Windows, tworząc poniższy klucz rejestru:

[HKLMSYSTEMCurrentControlSetServices<%;rnd%>]
"Description" = "<description of a system service>"
"DisplayName" = "Manager Security"
"ImagePath" = REG_EXPAND_SZ, "%SystemRoot%system32svchost.exe -k netsvcs"
"Start" = "dword:0x00000002"
[HKLMSYSTEMCurrentControlSetServices<%;rnd%>Parameters]
"ServiceDll" = "%System%<%rnd>%.dll"

<rnd> jest losowo wybranym ciągiem symboli.

Nazwa usługi, która jest wyświetlana, składa się ze słów z poniższej listy:

Policy
Discovery
Storage
Power
Logon
Machine
Browser
Management
Framework
Component
Trusted
Backup
Notify
Audit
Control
Hardware
Windows
Update
Universal
Task
Support
Shell
Security
Network
Monitor
Microsoft
Manager
Installer
Image
Helper
Driver
Config
Center
Boot

Nazwa usługi stanowi połączenie słów z poniższej listy:

Time
System
svc
Svc
srv
Srv
Service
Server
serv
prov
mon
mgmt
man
logon
auto
agent
access

Zawiera również słowo z poniższej listy:

xml
wuau
wsc
Wmi
Wmdm
win
W32
Trk
Tapi
Sec
Remote
Ras
Ntms
Net
Lanman
Ias
help
Event
Audio
App

Szkodliwy program oflagowuje swoją obecność w systemie, tworząc następujący unikatowy identyfikator:

Global\%rnd%-%rnd%
Global\%rnd%-7
Payload

Szkodnik sprawdza bieżącą datę; jeżeli jest późniejsza niż 1 kwietnia 2009, program dostarcza swoją szkodliwą funkcję

Szkodliwy program sprawdza system w poszukiwaniu następujących folderów:

Adobe
Agent
App
Assemblies
assembly
Boot
Build
Calendar
Collaboration
Common
Components
Cursors
Debug
Defender
Definitions
Digital
Distribution
Documents
Downloaded
en
Explorer
Files
Fonts
Gallery
Games
Globalization
Google
Help
IME
inf
Installer
Intel
Inter
Internet
Java
Journal
Kernel
L2S
Live
Logs
Mail
Maker
Media
Microsoft
Mobile
Modem
Movie
MS
msdownld
NET
New
Office
Offline
Options
Packages
Pages
Patch
Performance
Photo
PLA
Player
Policy
Prefetch
Profiles
Program
Publish
Reference
Registered
registration
Reports
Resources
schemas
Security
Service
Setup
Shell
Software
Speech
System
Tasks
Temp
tmp
tracing
twain
US
Video
Visual
Web
winsxs
Works
Zx

Jeżeli nie znajdzie tych folderów, szkodnik przestanie działać.

Po uruchomieniu, w zależności od modyfikacji, szkodnik wyłącza niektóre z wymienionych niżej usług:

Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Security Center Service (wscsvc)
Windows Defender Service (WinDefend, WinDefender)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)

W tym celu zmienia oryginalną wartość początkową dla każdej usługi na poniższą:

"Start" ="dword:0x00000004"

Trojan wstrzykuje swój kod do przestrzeni adresowej poniższych procesów systemowych:

svchost.exe
explorer.exe (jeżeli nie powiedzie się wstrzykiwanie do svchost.exe)
services.exe (dla Windows 2000)

Kod ten dostarcza główną funkcję szkodliwą programu.

Trojan ten nie wykorzystuje sterownika w celu uzyskania dostępu do protokołu sieciowego, tak jak to robił robak Kido.
Trojan przechwytuje następujące funkcje API (z dnsrslvr.dll) w celu zablokowania dostępu do wymienionych niżej domen :

DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto
NetpwPathCanonicalize
InternetGetConnectedState

Szkodnik blokuje dostęp do stron i adresów zawierających którykolwiek z wymienionych niżej ciągów:

vet.
sans.
nai.
msft.
msdn.
llnwd.
llnw.
kav.
gmer.
cert.
ca.
bit9.
avp.
avg.
windowsupdate
wilderssecurity
virus
virscan
trojan
trendmicro
threatexpert
threat
technet
symantec
sunbelt
spyware
spamhaus
sophos
secureworks
securecomputing
safety.live
rootkit
rising
removal
quickheal
ptsecurity
prevx
pctools
panda
onecare
norton
norman
nod32
networkassociates
mtc.sri
msmvps
msftncsi
mirage
microsoft
mcafee
malware
kaspersky
k7computing
jotti
ikarus
hauri
hacksoft
hackerwatch
grisoft
gdata
freeav
free-av
fortinet
f-secure
f-prot
ewido
etrust
eset
esafe
emsisoft
dslreports
drweb
Defender
cyber-ta
cpsecure
conficker
computerassociates
comodo
clamav
centralcommand
ccollomb
castlecops
bothunter
avira
avgate
avast
arcabit
antivir
anti-
ahnlab
agnitum

Program kończy wszystkie procesy, które zawierają w swoich nazwach jeden z poniższych ciągów:

wireshark
unlocker
tcpview
sysclean
scct_
regmon
procmon
procexp
ms08-06
mrtstub
mrt.
mbsa.
klwk
kido
kb958
kb890
hotfix
gmer
filemon
downad
confick
avenger
autoruns

W ten sposób trojan zapobiega uzyskiwaniu dostępu do większości stron, które oferują aktualizacje antywirusowych baz danych lub dedykowane narzędzia do usuwania szkodliwych programów.

Trojan sprawdza, czy istnieje połączenie z poniższymi stronami:

netlog.com
yandex.ru
zedo.com
doubleclick.com
2ch.net
allegro.pl
hi5.com
seznam.cz
ebay.com
odnoklassniki.ru
myspace.com
go.com
yahoo.com
fastclick.com
sourceforge.net
comcast.net
wikimedia.org
miniclip.com
mininova.org
facebook.com
adultadworld.com
4shared.com
skyrock.com
biglobe.ne.jp
download.com
youporn.com
adultfriendfinder.com
nicovideo.jp
rambler.ru
foxnews.com
terra.com.br
zshare.net
bigpoint.com
yahoo.co.jp
dell.com
ziddu.com
livejournal.com
mixi.jp
rediff.com
youtube.com
mywebsearch.com
tube8.com
xhamster.com
naver.com
tribalfusion.com
narod.ru
hyves.nl
xiaonei.com
clicksor.com
adsrevenue.net
mail.ru
files.wordpress.com
tinypic.com
ebay.it
digg.com
linkbucks.com
imdb.com
tagged.com
nba.com
msn.com
blogfa.com
recvfrom
livedoor.com
linkedin.com
kaixin001.com
reference.com
megaporn.com
torrentz.com
orange.fr
geocities.com
pcpop.com
paypopup.com
fc2.com
partypoker.com
ask.com
googlesyndication.com
badongo.com
goo.ne.jp
aweber.com
answers.com
espn.go.com
seesaa.net
metroflog.com
aim.com
megaclick.com
metacafe.com
netflix.com
sonico.com
photobucket.com
awempire.com
depositfiles.com
imageshack.us
gougou.com
pornhub.com
mediafire.com
typepad.com
imeem.com
perfspot.com
56.com
soso.com
ameba.jp
friendster.com
google.com
tuenti.com
imagevenue.com
taringa.net
badoo.com
disney.go.com
livejasmin.com
multiply.com
ucoz.ru
flickr.com
mapquest.com
ameblo.jp
pogo.com
apple.com
cricinfo.com
ebay.co.uk
studiverzeichnis.com
vkontakte.ru
wordpress.com
rapidshare.com
wikimedia.org
icq.com
xnxx.com
veoh.com
ning.com
pconline.com.cn
tudou.com
sakura.ne.jp
fotolog.net
bbc.co.uk
conduit.com
vnexpress.net
ebay.de
craigslist.org
live.com
xvideos.com
ioctlsocket
tianya.cn
alice.it
bebo.com
verizon.net
megaupload.com
kooora.com
thepiratebay.org

Główna funkcjonalność

Trojan pobiera pliki z adresów URL poniższego typu:

http://<URL>/search?q=<%rnd2%>

rnd2 jest losowo wybraną liczbą; adres URL jest odsyłaczem wygenerowanym przez sepcjalny algorytm wykorzystujący bieżąca datę.

Algorytm używany do generowania nazw domen wykorzystuje Microsoft Base Cryptographic Provider v1.0 w celu wygenerowania pseudolosowych wartości.

Domeny wybierane są z poniższej listy:

vn
vc
us
tw
to
tn
tl
tj
tc
su
sk
sh
sg
sc
ru
ro
ps
pl
pk
pe 
no 
nl 
nf 
my 
mw 
mu 
ms 
mn 
me
md 
ly 
lv 
lu 
li 
lc 
la 
kz 
kn 
is
ir
in 
im 
ie 
hu 
ht 
hn 
hk 
gy
gs 
gr
gd
fr
fm 
es 
ec 
dm 
dk 
dj 
cz 
cx
cn
cl
ch
cd
ca
bz
bo
be
at
as
am
ag
ae
ac
com.ve
com.uy
com.ua
com.tw
com.tt
com.tr
com.sv
com.py
com.pt
com.pr
com.pe
com.pa
com.ni
com.ng
com.mx
com.mt
com.lc
com.ki
com.jm
com.hn
com.gt
com.gl
com.gh
com.fj
com.do
com.co
com.bs
com.br
com.bo
com.ar
com.ai
com.ag
co.za
co.vi
co.uk
co.ug
co.nz
co.kr
co.ke
co.il
co.id
co.cr

Nowa modyfikacja trojana generuje 50000 nazw domen w ciągu 24 godzin, omijając poniższe grupy adresów:

127.x.x.x
169.254.x.x
x.198.x.x
x.255.255.253
224-239.x.x.x
240-255.x.x.x

Trojan wybiera losowo 500 nazw domen z wygenerowanej listy i próbuje połączyć się z nimi w celu pobrania plików. Jeżeli próba połączenia nie powiedzie się, po krótkiej przerwie zostanie wybranych kolejnych 500 nazw.

Ciało trojana zawiera również czarną listę 399 adresów IP należących do firm bezpieczeństwa.

Trojan uzyskuje bieżącą datę z jednej z poniższych stron:

http://www.w3.org
http://www.ask.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com
http://www.rapidshare.com
http://www.imageshack.us
http://www.facebook.com

Jeżeli nie można ustanowić połączenia z tymi stronami, zostanie wykorzystana bieżąca data systemowa.

Pobrane pliki są zapisywane w następujący sposób:

%Temp%<%computer _id%><%rnd%>.tmp

<rnd> jest losowym ciągiem symboli.

Usuwanie szkodnika z zainfekowanego komputera

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Usuń następujący klucz rejestru systemowego
    [HKLMSYSTEMCurrentControlSetServices<%;rnd%>]
  2. Usuń “%System%<rnd>.dll” z poniższej wartości klucza rejestru systemowego:
    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] "netsvcs"
  3. Przywróć następujące klucze rejestru:
    [HKLM SYSTEMCurrentControlSetControlSafeBoot]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionexplorerShellServiceObjects
    {FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRunWindows Defender]
  4. Uruchom ponownie komputer.
  5. Usuń następujące pliki:
    %Program Files%Internet Explorer<rnd>.dll
    %Program Files%Windows Media Player<rnd>.dll
    %Program Files%WindowsNT<rnd>.dll
    %Program Files%Movie Maker<rnd>.dll
    %SpecialFolder%<rnd>.dll
    %System%<rnd>dir.dll
    %Temp%<rnd>.dll
  6. Przywróć uruchamianie następujących usług:
    wscsvc - Security Center
    wuauserv - Automatic updates
    BITS - Background Intelligent Transfer Service
    WinDefend - Windows Defender
    ERSvc - Error Reporting Service
    WerSvc - Windows Error Reporting Service
  7. Uaktualnij bazy antywirusowe i wykonaj pełne skanowanie komputera (download a trial version of Kaspersky Anti-Virus).