Kido病毒介绍(新)

9、删除所有感染之前的还原点，使安全的还原失效；
10、简单的验证其DLL的大小，验证失败则自杀；
11、调整自己的文件日期为本地的Kernel32.dll文件的日期；
12、置其文件映像的 NTFS 文件权限，以防止写入和删除权限；
13、安装完成，该DLL为netsvcs.exe或Svchost.exe创建远程线程，这取决于操作系统（OS）版本。
Kido危害性 Kido危害性
危害性： 危害性：
1、造成被感染计算机运行缓慢，性能下降；（通常是因为Kido正在尝试破解其它计算机口令） 2、造成局域网络缓慢，甚至瘫痪；（每台被感染Kido计算机在尝试对其它计算机传播，与网络结构和计 算机数量有关）； 3、传播迅速，变种能力强，平均每4天出现一个新变种； 4、通过已感染Kido传播Kido变种和其它恶意程序； 5、被感染计算机成为僵尸网络中的僵尸计算机，而局域网络将成为一个子僵尸网络； 6、Windows自动更新服务被关闭； 7、阻止防病毒产品更新； 8、涉密信息的安全受到严重威胁。
程序行为特性分析
Kido程序行为分析： Kido程序行为分析： 程序行
7、安装复制自身到用户的文件系统，配置注册表以实现开机自启动，为了混淆其安装主体文件和其 存在的具体位置，它还插入各种无关的随后闲置的注册表项；
8、将自身以一个随机命名的DLL复制到位于System32目录， Program Files目录，或用户的临时文件 夹中；
Kido相关问答 Kido相关问答
Kido相关问答： Kido相关问答： 相关问答
3、修补系统MS08-067漏洞后，能阻止Kido的传播吗？ 不能，因为Kido除了采用MS08-067漏洞传播外，还通过暴力破解计算机口令方式和移 动存储设备进行传播。 4、微点主动防御软件拦截Kido后，如何找到Kido传播源？ 微点主动防御软件在安全日志中的【创建者】字段中记录Kido传播源的计算机名称或IP 地址。 5、怎样更好的防御Kido的危害？ 1）提高计算机登录口令强度，避免弱口令； 2）关闭网络共享，如果必须使用共享办公，提高计算机登录口令强度； 3）结合单位特点，采用Vlan模式管理网络； 4）有条件的情况下，尽量限制U盘等移动设备在网络内的无序使用； 5）有条件的情况下，及时修补系统漏洞； 6）安装微点主动防御产品，发挥行为判断的优势，防御更多的恶意程序。
Kido蠕虫病毒，最早发现于2008年11月，变种能力强，以每年平均100多个新的变种的速度递增,已经成 为计算机和网络的头号杀手。。
Kido蠕虫病毒先后导致法国空军和海军网络指挥系统瘫痪。
Kido蠕虫病毒又先后引发英国、德国军事系统瘫痪。
微软悬赏二十五万美元的奖金，奖励提供制造Conficker作者信息的人。
Kido易感染群体 Kido易感染群体
易感染群体，具有如下特点： 易感染群体，具有如下特点： 群体
1、登录口令较弱的计算机。这类群体非常普遍，几乎遍布各行各业； 2、计算机共享功能开放较多的网络。这类群体非常普遍，几乎遍布各行各业。其中，医院 是重灾区，因为医院门诊普遍使用的HIS应用软件必须开放计算机的共享功能； 3、U盘等移动设备随意使用的网络。这类群体非常普遍，公安系统最为典型。因为公安需 要使用U盘等移动存储设备到外部计算机收集各类电子证据，并与检察院、法院之间传递信息。 4、未修补MS08067补丁。该现象尤以与互联网物理隔离的网络居多，如政府、公安、检察 院、法院、医院、军队，无法实现及时修补漏洞。
Kido判断技巧指南 Kido判断技巧指南
针对Kido判断技巧： 针对Kido判断技巧： Kido判断技巧
3、如果用户网络环境中存在与1、2中多个问题，那用户环境中存Kido几率将会很大，可以采用如下方 式进行验证 ： 1）选中一台符合1、2两项中问题点较多的计算机； 2）安装微点主动防御软件； 3）建立共享问题夹（可读写权限）、登陆密码更改为弱口令，如：123； 注：此步操作需根据现场情况而定 4）用微点软件进程信息、网络监控两项对系统进行程序使用端口、数据流量等信息进行监控； 4、微点对发现的未知Kido病毒，将会报未知木马或未知蠕虫，同时病毒体是位于在system32目录下随 机命名的DLL。
传播行为特性分析
传播行为特性分析： 传播行为特性分析：
1、程序启动后尝试使用ARP响应方式枚举所在网段局域网主机，如果枚举成功则使用MS08067漏洞利 用代码尝试溢出，漏洞发生在net32api.dll中NetpwPathCanonicalize函数（该函数用于格式化网络路径字符 串）中，通过封装特殊的RPC请求包则可以触发该漏洞，漏洞被利用后则下载该蠕虫到本地主机并执行安装 操作；（利用操作漏洞传播） 2、如果溢出失败则尝试使用弱口令进行密码暴力破解，密码暴力破解成功则使用admin$进行共享传播， 上传文件到目标系统%SystemRoot%目录中，远程添加计划任务指向被上传的蠕虫文件（利用网络共享传 播） 3、拦截设备接入通知，当遇到可移动存储设备接入时获取盘符，利用相关漏洞构建非本地计算机用户 SID（ Security Identifiers：安全标识符），创建一SID名称的目录并将所有者指向该SID，使得该目录及其 中存放文件默认不具有被操作系统打开的权限，当可移动存储设备被移动至其他主机，则通过Rundll32进程 执行AutoRun.inf中包含的漏洞利用代码重新获取权限，执行非法SID目录中的蠕虫程序。（利用移动设备自 动播放功能传播） 该程序无论以上述哪种方式进行传播，被执行后都将尝试挂钩net32api.dll中NetpwPathCanonicalize的 API调用检查传出字符串的大小，以防止再次造成缓冲区溢出进行自身攻击免疫。
典型案例： 典型案例：
1、由于Kido传播，江苏某地市各银行单位被通讯管理局连续通报，部署微点主动防御软件 后，问题得到彻底解决。 2、北京某著名三甲医院，由于Kido导致网络瘫痪，造成医院HIS就诊信息系统无法应用， 门诊工作停止。通过局部部署微点主动防御软件，定位网络内Kido传播源，然后先重点处理这 些传播源计算机，使得网络很快恢复正常，全部部署微点后得到彻底解决。 3、上海某外资企业，采用域管理模式，由于Kido采用暴力破解计算机口令方式传播，造成 员工域账户经常被关闭禁用，严重影响正常工作，全面部署微点主动防御软件后恢正常。
5、启动一个禁用安全产品线程，这个线程禁用主机的关键安全服务，如Windows Defender的，以及 Windows服务，有效地防止受害主机接收自动软件更新。线程还禁用安全更新的通知，并停用safeboot模式；
6、再产生一个新的终止安全软件进程的线程，监控并关闭与列入黑名单（23个安全产品，补丁和安全性 的诊断工具）的名字相匹配进程；
Kido感染症状 Kido感染症状
被感染症状： 被感染症状： 症状
1、被感染计算机运行缓慢，性能下降； 2、系统网络变得异常缓慢，丢包现象严重；易形成僵尸网络； 3、在Windows计划任务管理中创建计划任务(rundll32.exe)； 4、windows系统更新、部分安全厂商、安全工具有关的网站无法访问（屏蔽关键词：rising、kav、 symantec 、nod32、 mcafee、 avast、 microsoft 、kido、conficker、 ms08-06等） 5、自动禁用Windows某些应用服务功能：自动更新，后台智能传输服务（BITS ）， WindowsDefender和错误报告服务； 6、自动复位帐户锁定策略； 7、采用域管理的网络，域控制器对客户机请求回应变得缓慢； 8、采用域管理的网络，网络终端计算机频繁出现域登陆账户被锁定，造成无法登录域的现象； 9、检查接入终端的移动设备中是否频繁被创建autorun.inf文件，且无法删除； 10、网络内ARP数据包异常增多。
Kido相关问答 Kido相关问答
Kido相关问答： Kido相关问答： 相关问答
1、安装了反病毒产品为什么无法有效清除Kido？ 1）反病毒产品必须收集到Kido程序文件，才能提取特征码通过升级方式识别和清除Kido； 2）Kido变种能力极强，平均每4天出现一个新变种，有效对抗了反病毒产品的识别机制； 3）Kido具有很强自我保护能力，反病毒产品即使发现也无法清除Kido程序文件； 4）物理隔离网络环境无法及时更新病毒特征码库和相关系统漏洞。 2、为什么微点主动防御软件能够有效防御Kido的危害？ 1）微点主动防御软件与传统反病毒产品理念不同，不依赖更新特征码来识别恶意程序； 2）微点主动防御软件通过监控程序行为，并自主分析判断程序行为是否具有恶意程序特 性，进而主动防御恶意程序的危害； 3）无论Kido如何变种，其恶意程序危害行为没有发生本质变化； 4）微点主动防御软件能够彻底击破Kido的自我保护能力，有效清除Kido程序。
Kido微点防御效果 Kido微点防御效果
微点防御效果： 微点防御效果：
1、全面清除本地已感染已知、未知的KIDO全部变种及其所创建的计划任务； 2、拦截并准确定位对本机实施感染传播的KIDO病毒传播源； 3、微点无需升级即可防御KIDO后续变种及更新版本。
Kido防护典型案例 Kido防护典型案例
Kido判断技巧指南 Kido判断技巧指南
针对Kido判断技巧： 针对Kido判断技巧： Kido判断技巧
1、从Kido传播方式着手了解用户网络日常管理是否存以下问题： 1）操作系统是否采用弱口令登陆； 2）是否采用网络共享方式进行内部文件访问； 3）对移动介质接入是否管控； 4）是否及时进行系统补丁更新操作； 2、从Kido感染后症状着手了解用户网络中是否存在以下问题： 1）用户安装使用的安全软件是否无法运行、升级、安全厂商网站无法访问； 2) 网络是否缓慢，某台或者某个区域数据流入、流出量过大； 3) 终端是否存在被创建大量的计划任务、或者任务管理器存在大量rundll32.exe运行现象存在； 4）windows自动更新、安全中心、WindowsDefender和错误报告服务被停用；
Kido蠕虫病毒 Kido蠕虫病毒 网络杀手
V1.0
目
录
Kido简介 Kido感染症状 Kido传播途径和方法 Kido危害性 Kido易感染群体 Kido微点解决方案 Kido微点防御效果 Kido防护典型案例 Kido相关问答 Kido判断技巧指南 Kido病毒技术特性分析
Kido简介 Kido简介
概述： Kido 概述：
Kido蠕虫病毒，又名Conficker ，也被称作Downup，Downadup。该病毒是安装在windows操作系统 %SystemRoot%system32目录下的dll文件,注册操作系统win32服务，病毒再采用复杂算法加密后又经UPX加壳, 属于网络蠕虫类,主要利用可移动存储设备/内网弱口令/MS08067漏洞传播。
Kido防护措施 Kido防护措施
防护措施： 防护措施：
1、使用对所有计算机都唯一的强管理员密码 2、不要使用域管理凭据或具有对所有计算机的访问权限的凭据登录到计算机 3、确保所有系统都以应用最新的安全更新 4、禁用自动播放功能 5、删除过多共享权限，包括删除对任何共享根目录的写入权限
。
Kido病毒技术特性分析 Kido病毒技术特性分析
Kido传播途径和方法 Kido传播途径和方法
传播途径和方法： 传播途径和方法：
1、采用自动播放功能，利用移动存储设备进行传播，如U盘、移动硬盘、数码相机、手机等； 2、通过Windows系统漏洞（ MS08-067）进行传播； 3、采用暴力破解计算机口令方式通过进行网络共享传播； 4、从50000个域名中随机挑选500个域名，通过网络连接病毒服务器，进行版本更新、恶意 指令接收、其它恶意程序下载； 5、采用点对点（P2P）机制，被感染计算机之间相互进行版本更新、传达攻击指令、下载其 它恶意程序。该特点的目的是实现快速传播和避免Kido升级服务器被发现。
Kido微点解决方案 Kido微点解决方案
微点解决方案： 微点解决方案： 方案
微点主动防御软件不仅能够很好的防御Kido及其各类变种的攻击、感染、传播，更能 够准确定位Kido的攻击源和传播源。 1、在不同网段内选择一台具有感染KIDO表象的终端部署微点主动防御软件（一般具有弱口 令、大量网络共享、频繁接入移动设备、未修补MS08067补丁等特点）； 2、根据已部署终端上微点的拦截报警日志，定位追踪到的KIDO感染传播攻击源，然后进行 优先处理； 3、为了全面解决Kido的危害，在全网各计算机上部署微点主动防御软件，实现全网防御；
程序行为特性分析
程序行为分析： Kido 程序行为分析：
1、病毒传播到本地后初始化安装文件*.dll，并调用Rundll32.exe加以随机7位字符的参数执行加载功能；
2、检查三个互斥体文件，避免在目标主机上进行重复感染
3、为DLL安装一些内存补丁，并嵌入了自保机制以阻止安全软件发现它的存在。
4、修改主机域名服务（ DNS ）的应用程序接口（patch dnsapi.dll）来阻止各种安全相关的网络连接, 并安装一个伪补丁修复445/TCP的漏洞,这个伪补丁保护主机排除由Kido作者或其它感染的Peers以外的来源的 缓冲区溢出；