惡意程式分析 Net-Worm.Win32.Kido

惡意程式分析 Net-Worm.Win32.Kido 奕瑞科技有限公司企業支援工程師陳均銘 jimmy@kaspersky.com.tw

惡意程式 Kido 概述 攻擊與入侵手法介紹完整清除 Kido 蠕蟲 Agenda

惡意程式 Kido 概述

2008.10.23 微軟發佈了重大安全更新MS08-067 MS08-067弱點會造成Server Service被遠端執行程式碼的可能性 2009.1.6 卡巴斯基原廠發佈了Net-Worm.Win32.Kido(又名Conficker/Downadup)相關資訊該蠕蟲會透過MS08-067弱點對系統做入侵與攻擊行為 2009.1.6 當日22:05 GMT 病毒特徵碼入庫 2008.10~2009.5為期半年內Kido估計已感染了上百萬台電腦並持續在進行變種 Kido蠕蟲的產生惡意程式Kido介紹

依據微軟MS08-067弱點公告受影響的系統如下 Windows Server/Pro 2000 Windows XP x86/x64 Windows Vista x86/x64 Windows Server 2003 x86/x64 Windows Server 2008 x86/x64 Kido蠕蟲感染範圍惡意程式Kido介紹

蠕蟲攻擊的特性 蠕蟲通常透過網際網路或區域網路進行大量散播感染的特性如下自我複製惡意檔案到受感染的電腦利用漏洞或是弱點遠端執行惡意程式利用網路或社交程式進行散播取得電腦控制權持續透過Downloader下載全新惡意程式成為傀儡電腦 (BotNet)一員惡意程式Kido介紹

攻擊與入侵手法介紹

攻擊的特性 透過微軟弱點MS08-067 MS08-068 MS09-001攻擊Server service 與SMB 發送特別的RPC request 封包到遠端機器，造成Buffer Overrun 攻擊139 (NetBios) 與445(SMB) 搜尋網路並列出administrator帳號，透過字典檔攻擊取得遠端電腦完整控制權使用API Hook技術防止Buffer Overrun被偵測利用Downloader 持續更新惡意程式利用外接式儲存媒體結合Auotorun與Autoplay功能進行感染 Kido攻擊手法

Kido感染途徑

攻擊示意圖 Kido攻擊手法 Vulnerability RPC request Net-Worm Kido Workstation Network servers Brute Force Password Attack Gateway Workstation Vulnerability Internet Net-Worm Kido Net-Worm Kido Vulnerability Portable media

攻擊分析 惡意程式針對MS08-067弱點以網路或是外接式儲存媒體進行感染蠕蟲為Windows PE DLL file 大小約158110 bytes 使用UPX加殼蠕蟲安裝蠕蟲會複製自身的可執行檔並以亂數的名稱複製到不同的路徑 %Windir%\<rnd>dir.dll %Program Files%\Internet Explorer\<rnd>.dll %Program Files%\Movie Maker\<rnd>.dll Kido攻擊手法

%All users Application Data%\<rnd>.dll %Temp%\<rnd>.dll %Windir%\<rnd>.dll %Temp%\<rnd>.tmp <rnd> 代表所顯示的字串是變數 Kido攻擊手法

為確保蠕蟲會在系統下一次啟動時自動執行，惡意程式為確保蠕蟲會在系統下一次啟動時自動執行，惡意程式會建立一個服務並設定為開機自動啟動 [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] 建立服務名稱可能如下 Boot Image Windows Support Update Center Manager Network System Windows Config Installer Security Task Driver Microsoft Server Time Helper Moniter Shell Universal Kido攻擊手法

惡意程式同時也會修改系統登錄檔 [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] “netsvcs” = <original value> %windir%\<rdn.dll> 修改系統登錄檔隱藏惡意程式 [HKCR\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden" = "dword: 0x00000002“ "SuperHidden" = "dword: 0x00000000“ [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue" = "dword: 0x00000000" Kido攻擊手法

傳播方式 http://www.getmyip.org http://www.whatsmyipaddress.com http://www.whatismyip.org http://checkip.dyndns.org 蠕蟲會在受感染主機上建立Http Server並使用亂數的連結Port，主要目的是將蠕蟲執行檔下載到其他電腦 Kido攻擊手法 • 為加速散播速度，蠕蟲會利用tcpip.sys功能來增加網路連線數 • 蠕蟲會連線到下列網站，嘗試解析出用戶端電腦的Public IP

Kido攻擊手法 • 蠕蟲發出特別的RPC request 到遠端機器TCP139(Netbios)與445(SMB)Port • 特殊的RPCrequest 會造成Buffer overrun • 利用wcscpy_s 函式功能呼叫netapi32.dll時，會將蠕蟲執行檔下載到 • 受感染的電腦並且執行 • APIHooking 「NetpwPathCanonicalize」當呼叫netapi32.dll 可以防止緩 • 衝區溢位偵測 • 蠕蟲修改系統登錄檔增加傳播速度 [HKLM\ SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "TcpNumConnections" = "dword:0x00FFFFFE"

Kido攻擊手法 • 透過字典檔攻擊試圖取得遠端電腦Administrator權限

Kido攻擊手法 • 取得Administrator權限後，蠕蟲會複製本體到下列共享資料夾 \\*<name of host>\ADMIN$\System32\<rnd>.<rnd> \\<name of host>\IPC$\<rnd>.<rnd> • 蠕蟲會透過下列指令進行遠端或是排程執行 rundll32.exe <path to worm file>, <rnd> • 受感染電腦成為魁儡電腦等接受攻擊者的控管與命令

利用可卸除式儲存傳播 Kido攻擊手法 • 蠕蟲會複製自身執行檔到所有的可卸除式儲存媒體 <X>:\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>- %d%>-%d%>\<rnd>.vmx rnd ：亂數的小寫字母 d ：亂數數字 X ：磁碟代號 • 蠕蟲會複製自身執行檔到本機所有磁碟根目錄下 <X>:\autorun.inf • 假造Autoplay安裝選單誘惑使用者開啟

Kido蠕蟲執行後所帶來的影響 Kido帶來的影響 • 當蠕蟲執行後，會注入自己的程式碼到Svchost.exe(系統程序)的名稱空間內 • 蠕蟲同時也會將自身程式碼寫入到explorer.exe與services.exe程序 • 關閉下列服務 • Windows Automatic Update Service (wuauserv) • Background Intelligent Transfer Service (BITS) • Windows Security Center Service (wscsvc) • Windows Defender Service (WinDefend, WinDefender) • Windows Error Reporting Service (ERSvc) • Windows Error Reporting Service (WerSvc)

Kido帶來的影響 • 禁止存取含有以下字串的網址 • nai ca avp avg vet bit9 sans cert • windowsupdate wilderssecurity threatexpert castlecops • cpsecure arcabit emsisoft sunbelt securecomputing • rising norman ikarust gdata fortinet clamav • comodo avira avast jotti esafe drweb nod32 • f-prot kaspersky f-secure sophos trendmicro drweb • mcafee symantec microsoft defenders norton panda

Kido帶來的影響 • 蠕蟲 Hook下列API，當調用dnsrslvr.dll封鎖使用者列出的網域名稱 • DNS_Query_A • DNS_Query_UTF8 • DNS_Query_W • Query_Main • Query_Main • 蠕蟲會透過internet下載檔案，URL格式如下 http://<URL>/search?q=<%rnd2%> rnd2：亂數數字

Kido帶來的影響 • URL 透過特定的演算法配合現在日期產生亂數的數字 • 蠕蟲参考下列網站來抓取現在日期 • http://www.w3.org • http://www.ask.com • http://www.msn.com • http://www.yahoo.com • http://www.google.com • http://www.baidu.com • http://www.myspace.com • http://www.msn.com • http://www.w3.org • http://www.ask.com • http://www.cnn.com

完整清除Kido蠕蟲

如何清除Kido蠕蟲 更新病毒特徵碼資料庫到最新使用Kido移除工具手動移除Kido 清除Kido蠕蟲

使用Kido移除工具 於原廠下載Kidokiller移除工具本機執行KK.exe 清除Kido蠕蟲 http://support.kaspersky.com/faq/?qid=208279973 -y ：不需按認任意鍵關閉視窗輸入指令 KK.exe -y –s -S：安靜模式 (背景執行)

利用Administration KIT 派送Kido移除工具 清除Kido蠕蟲 -y ：不需按認任意鍵關閉視窗 -S：安靜模式 (背景執行)

手動移除Kido蠕蟲 請参考下列移除步驟 (手動解毒建議先進入不含網路功能安全模式) 清除Kido蠕蟲刪除下列系統登錄檔 [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] 刪除%Windir%\<rdn>.dll 所對應到的系統登錄值 [[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" 還原下列系統登錄檔為預設值 [HKCR\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden" = "dword: 0x00000001" "SuperHidden" = "dword: 0x00000001"

清除Kido蠕蟲 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] ""CheckedValue" = "dword: 0x00000000" 重新啟動電腦刪除以下檔案 %System%\<rnd>dir.dll %Program Files%\Internet Explorer\<rnd>.dll %Program Files%\Movie Maker\<rnd>.dll %All Users Application Data%\<rnd>.dll %Temp%\<rnd>.dll %System%\<rnd>tmp %Temp%\<rnd>.tmp

清除Kido蠕蟲 從所有可卸除式儲存媒體刪除下列檔案 <X>:\autorun.inf <X>:\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%>\<rnd>.vmx 下載微軟更新修補檔 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx 更新防毒軟體病毒資料庫

預防Kido蠕蟲 如何預防Kido蠕蟲 • 安裝微軟修補程式 MS08-067 MS08-068 MS09-001 • 安裝防毒軟體並更新病毒特徵碼到最新 • 安裝並啟用防火牆或入侵偵測/防禦功能 • 為使用者帳戶和共用資料夾設置較強的密碼 • 建議停用自動執行與播放功能 • 定期排定完整的掃描工作

Thank you ! eRaySecure

惡意程式分析 Net-Worm.Win32.Kido