微点公司发布的一款能够对kido蠕虫病毒进行专杀处理的软件,完美杀毒成功
中毒现象:
1、局域网被杀毒软件频繁报警发现Kido病毒却屡杀不尽,造成网络瘫痪
2、可移动磁盘根目录存在Autorun.inf,删除时系统提示没有权限删除
3、每次启动计算机后RPC服务奔溃,导致诸如网络共享等功能无法使用
技术分析:
该蠕虫病毒是一种到目前变种极多,且多数使用了变形加密手段逃避杀毒软件查杀。Kido蠕虫使用Microsoft Windows的MS08067漏洞在局域网内大肆传播,造成网络瘫痪,该蠕虫病毒在溢出过程中由于其他因素可能造成网络共享不能够正常使用。
该病毒传播到本地后调用如Rundll32.exe加以随机7位字符的参数执行病毒加载功能,然后以远程线程注入方式将自身植入Svchost.exe进程获取系统服务权限,如果远程线程执行失败则改用APC方式。该病毒使用了独占打开方式,使之其他程序无法对其进行打开,绕过了杀毒软件扫描功能。
当该蠕虫以服务权限运行后,则开启多个线程实现病毒传播功能:
获取本地IP地址段,通过ARP方式判断主机是否存活,如果存活则对其进行溢出,溢出成功后将自身副本文件拷贝到对方IE临时目录中。
监视本地可移动磁盘设备消息,如果发现可移动磁盘插入,拷贝自身副本到磁盘CREYLE目录中,释放经过变形的Autorun.inf指向rundll32.exe执行病毒文件,对所释放的病毒文件更换NTFS所有者SID,使得计算机中正常用户对其没有访问权限。