Tiêu diệt Net-Worm.Win32.Kido bằng KidoKiller v3.0

Tiêu diệt Net-Worm.Win32.Kido bằng KidoKiller v3.0

Net-Worm.Win32.Kido là một loại sâu máy tính nguy hiểm với nhiều biến thể khác nhau đang lan truyền mạnh mẽ trên rất nhiều máy tính. Vừa mới xuất hiện từ cuối năm 2008, đầu năm 2009, nhưng nó có mức lây lan khá nhanh: “Theo số liệu của F-Secure, chỉ trong vòng một tháng, Kido Worm đã lây nhiễm hơn 8.9 triệu máy tính khắp nơi trên thế giới". Nó lợi dụng lỗ hổng bảo mật của Microsoft Windows (MS08-067) để phát tán.

Đây là lỗ hổng nghiêm trọng có ảnh hưởng đến cả Windows 2000, XP, Vista, Windows Server 2003, 2008 và ngay cả phiên bản Windows 7 beta.
Kido Worm này có khả năng vô hiệu hóa tính năng System Restore của Windows, ngăn cản sự truy cập vào các trang web bảo mật, hơn nữa còn tải về những phần mềm độc hại khác kèm theo gây nguy hiểm cho máy tính bị lây nhiễm. Nó có khả năng phát tán thông qua mạng nội bộ và các thiết bị lưu trữ di động.

Theo trang web Viruslist.com, ba biến thể phức tạp khác nhau của Kido Worm được phát hiện và hoạt động tương tự nhau. Khi xâm nhập vào máy tính, Kido Worm sẽ sao chép fle thực thi của nó đến thư mục hệ thống của Windows như sau:

%System%\<rnd>.dll với <rnd> là một chuỗi các kí tự ngẫu nhiên.
Đồng thời Kido Worm cũng tạo ra một dịch vụ bảo đảm nó chắc chắn sẽ được kích hoạt mỗi khi Windows khởi động, tạo ra khóa registry sau:

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
Và thay đổi giá trị khóa registry:

[HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVer-sion\SvcHost]"netsvcs" = "<original value> %System%\<rnd>.dll"
Lây nhiễm qua mạng

Kido Worm có khả năng phát tán nhanh chóng qua mạng bằng cách kích hoạt một HTTP server với cổng TCP ngẫu nhiên trên máy tính của nạn nhân. Server này mục tiêu để tải fle thực thi của nó lên các máy tính khác.
Sau đó Kido Worm tiếp tục thu thập địa chỉ IP của những máy tính trong cùng mạng với nạn nhân và tấn công chúng thông qua lỗ hổng tràn bộ đệm. Nó sẽ gửi một yêu cầu RPC (Remote Procedure Call) tới port 139 (NETBIOS) và 445 (Direct hosted SMB) của máy tính tìm được, làm tràn bộ đệm khi gọi chức năng wcscpy_s trong thư viện netapi32.dll. Điều này làm kích hoạt đoạn code có chức năng tải fle worm về máy, sau đó thực thi và cài đặt nó lên máy nạn nhân mới.

Để khai thác lỗ hổng đã được miêu tả ở trên, Kido Worm sẽ dò tìm mật khẩu quản trị của máy tính nạn nhân để chiếm quyền điều khiển.
Lây nhiễm qua thiết bị lưu trữ
Ngoài ra Kido Worm cũng lan truyền qua các thiết bị lưu trữ di động. Thông qua các thiết bị này, nó sao chép fle thực thi như sau:
<X>:\RECYCLER\S-5-3-42xxx90-858988-8715005-3665\<rnd>.vmx với <rnd> là một chuỗi các kí tự ngẫu nhiên, X là ổ đĩa.

Sau đó fle worm này sẽ thiết lập trên các ổ đĩa gốc fle tự thực thi: <X>:\autorun.inf.

Và fle này bảo đảm cho fle thực thi của nó hoạt động mỗi khi người sử dụng mở các ổ đĩa đã bị lây nhiễm bằng Windows Explorer.

Phòng tránh Kido Worm
Để ngăn ngừa khả năng phát tán Kido Worm, các hãng bảo mật khuyên người dùng nên thực hiện các bước sau:

-Cập nhật bản vá MS08-067, MS08-068, MS09-001 của Microsoft cho tất cả máy trạm và máy chủ.
-Đặt mật khẩu tài khoản quản trị máy tính khó dò tìm hơn
-Tắt tính năng autorun của máy tính
Hiện tại các hãng phần mềm diệt virus đã tìm và diệt được các loại biến thể của Kido Worm này.

Tuy nhiên, người dùng vẫn có thể sử dụng các công cụ chuyên biệt hoặc thực hiện bằng tay để xóa nó ra khỏi hệ thống.