Вредоносные программы → Net-Worm.Win32.Kido.bt
Описание:
Инсталляция:
Распространение при помощи сменных носителей:
Симптомы заражения:
Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов варьируется в пределах от 155 до 165 КБ. Упакован при помощи UPX.
Инсталляция:
Червь копирует свой исполняемый файл в системный каталог Windows со случайным именем вида:%System%\<rnd>.dllгде, rnd - случайная последовательность символов.
Для автоматического запуска при следующем старте системы червь создает службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
Также червь изменяет значение следующего ключа реестра:[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" = "<оригинальное значение> %System%\<rnd>.dll"
Распространение при помощи сменных носителей:
Червь копирует свой исполняемый файл на все съемные диски со следующим именем:<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\<rnd>.vmxгде rnd – случайная последовательность строчных букв, X – буква съемного диска.
Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:<X>:\autorun.inf
Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Симптомы заражения:
1. Отключены и/или не можете включить службы:Windows Update Service
Background Intelligent Transfer Service
Windows Defender
Windows Error Reporting Services
2. ПК не имеет доступ к адресам, содержащим следующие строки: