Hai Lúa

Forum Hai lúa chào đón mọi người đã ghé thăm !!!
 
Trang ChínhTrang Chính  PortalPortal  CalendarCalendar  Trợ giúpTrợ giúp  Tìm kiếmTìm kiếm  Thành viênThành viên  NhómNhóm  Đăng kýĐăng ký  Đăng NhậpĐăng Nhập  
Chào mừng bạn ghé thăm forum Hailuavn.tk Những gì mình làm cho forum là cho bạn và mọi người. Hy vọng bạn sẽ là thành viên tích cực cho forum.
Kiến thức là kho báu không phải của riêng ai. Vì vậy bạn đừng ngần ngại khi chia sẽ cho mọi người.
Hai lúa thông báo tuyển BQT nhằm đưa kiến thức CNTT đến với tất cả mọi người yêu thích thế giới ảo.....
[b]
Bài gửiNgười gửiThời gian
Crack Internet download manager 6.03 beta tăng tốc độ download lên 500% Sat Sep 24, 2011 10:12 am
Cậu bé 3 tuổi hút thuốc lá ! Thu Aug 18, 2011 9:37 am
Hướng dẫn tải Torent bằng Utorrent 3.0 Thu Aug 18, 2011 9:29 am
Hai Lúa đã quay trở về với 4rum... Thu Aug 18, 2011 8:54 am
Bán Đồ gỗ mỹ nghệ cực độc làm bằng chất liệu gỗ " Thủy Tùng " Sun Aug 07, 2011 12:59 am
fish oil benefits weight loss Wed Aug 03, 2011 9:21 am
NPA Comments On Parliamentary Debate About Pharmacy Payments And Claw-Back, UK Wed Aug 03, 2011 6:03 am
Best free online calendar I can display on my webpage? Wed Aug 03, 2011 3:36 am
Why is my new hard drive so slow? Tue Aug 02, 2011 6:25 am
the benefits of taking fish oil Mon Aug 01, 2011 4:34 pm
free online casino bonus Mon Aug 01, 2011 1:56 pm
i put a mixpod playlist on2 my myspace profile & when i click play/next it goes 2 another pg & says error? Mon Aug 01, 2011 10:36 am


Share | 
 

 Tiêu diệt Net-Worm.Win32.Kido bằng KidoKiller v3.0

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down 
Tác giảThông điệp
HaiLua
Admin
Admin
avatar


Bài gửiTiêu đề: Tiêu diệt Net-Worm.Win32.Kido bằng KidoKiller v3.0   Tue Aug 17, 2010 1:31 am

Tiêu diệt Net-Worm.Win32.Kido bằng KidoKiller v3.0

Net-Worm.Win32.Kido là một loại sâu máy tính nguy hiểm với nhiều biến thể khác nhau đang lan truyền mạnh mẽ trên rất nhiều máy tính. Vừa mới xuất hiện từ cuối năm 2008, đầu năm 2009, nhưng nó có mức lây lan khá nhanh: “Theo số liệu của F-Secure, chỉ trong vòng một tháng, Kido Worm đã lây nhiễm hơn 8.9 triệu máy tính khắp nơi trên thế giới". Nó lợi dụng lỗ hổng bảo mật của Microsoft Windows (MS08-067) để phát tán.

Đây là lỗ hổng nghiêm trọng có ảnh hưởng đến cả Windows 2000, XP, Vista, Windows Server 2003, 2008 và ngay cả phiên bản Windows 7 beta.
Kido Worm này có khả năng vô hiệu hóa tính năng System Restore của Windows, ngăn cản sự truy cập vào các trang web bảo mật, hơn nữa còn tải về những phần mềm độc hại khác kèm theo gây nguy hiểm cho máy tính bị lây nhiễm. Nó có khả năng phát tán thông qua mạng nội bộ và các thiết bị lưu trữ di động.

Theo trang web Viruslist.com, ba biến thể phức tạp khác nhau của Kido Worm được phát hiện và hoạt động tương tự nhau. Khi xâm nhập vào máy tính, Kido Worm sẽ sao chép fle thực thi của nó đến thư mục hệ thống của Windows như sau:

%System%\<rnd>.dll với <rnd> là một chuỗi các kí tự ngẫu nhiên.
Đồng thời Kido Worm cũng tạo ra một dịch vụ bảo đảm nó chắc chắn sẽ được kích hoạt mỗi khi Windows khởi động, tạo ra khóa registry sau:

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
Và thay đổi giá trị khóa registry:

[HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVer-sion\SvcHost]"netsvcs" = "<original value> %System%\<rnd>.dll"
Lây nhiễm qua mạng

Kido Worm có khả năng phát tán nhanh chóng qua mạng bằng cách kích hoạt một HTTP server với cổng TCP ngẫu nhiên trên máy tính của nạn nhân. Server này mục tiêu để tải fle thực thi của nó lên các máy tính khác.
Sau đó Kido Worm tiếp tục thu thập địa chỉ IP của những máy tính trong cùng mạng với nạn nhân và tấn công chúng thông qua lỗ hổng tràn bộ đệm. Nó sẽ gửi một yêu cầu RPC (Remote Procedure Call) tới port 139 (NETBIOS) và 445 (Direct hosted SMB) của máy tính tìm được, làm tràn bộ đệm khi gọi chức năng wcscpy_s trong thư viện netapi32.dll. Điều này làm kích hoạt đoạn code có chức năng tải fle worm về máy, sau đó thực thi và cài đặt nó lên máy nạn nhân mới.

Để khai thác lỗ hổng đã được miêu tả ở trên, Kido Worm sẽ dò tìm mật khẩu quản trị của máy tính nạn nhân để chiếm quyền điều khiển.
Lây nhiễm qua thiết bị lưu trữ
Ngoài ra Kido Worm cũng lan truyền qua các thiết bị lưu trữ di động. Thông qua các thiết bị này, nó sao chép fle thực thi như sau:
<X>:\RECYCLER\S-5-3-42xxx90-858988-8715005-3665\<rnd>.vmx với <rnd> là một chuỗi các kí tự ngẫu nhiên, X là ổ đĩa.

Sau đó fle worm này sẽ thiết lập trên các ổ đĩa gốc fle tự thực thi: <X>:\autorun.inf.

Và fle này bảo đảm cho fle thực thi của nó hoạt động mỗi khi người sử dụng mở các ổ đĩa đã bị lây nhiễm bằng Windows Explorer.

Phòng tránh Kido Worm
Để ngăn ngừa khả năng phát tán Kido Worm, các hãng bảo mật khuyên người dùng nên thực hiện các bước sau:

-Cập nhật bản vá MS08-067, MS08-068, MS09-001 của Microsoft cho tất cả máy trạm và máy chủ.
-Đặt mật khẩu tài khoản quản trị máy tính khó dò tìm hơn
-Tắt tính năng autorun của máy tính
Hiện tại các hãng phần mềm diệt virus đã tìm và diệt được các loại biến thể của Kido Worm này.

Tuy nhiên, người dùng vẫn có thể sử dụng các công cụ chuyên biệt hoặc thực hiện bằng tay để xóa nó ra khỏi hệ thống.



Về Đầu Trang Go down
Xem lý lịch thành viên http://hailua.forumotion.com
 
Tiêu diệt Net-Worm.Win32.Kido bằng KidoKiller v3.0
Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang 
Trang 1 trong tổng số 1 trang

Permissions in this forum:Bạn không có quyền trả lời bài viết
Hai Lúa :: CÔNG NGHỆ THÔNG TIN :: PHẦN MỀM :: ATV & Securitiy-
Chuyển đến