เตือนภัยหนอนWin32.Kido จู่โจมผ่านช่องโหว่วินโดวส์
posted on 14 Jan 2009 12:04 by warbandit in Virus-Riskวันนี้อยู่ๆมันก็มี Windows Update ขึ้นมาครับ พร้อมกับให้ลง Malicious Removal Tool ของไมโครซอฟท์ แสดงว่าอาจมีเรื่องผิดปกติเกิดขึ้น
วันนี้ผมได้รับเมล์จาก Kaspersky มาครับ เรื่องเป็นแบบนี้
หนอนตัวนี้ชื่อว่า Net-Worm.Win32.Kido.bt ข้อมูลเพิ่มเติมคลิกที่ชื่อเลยครับ
ซึ่งตอนนี้ก็มีการกลายพันธ์เกิดขึ้นมากมาย ข้อมูล คลิกที่นี่ เอ็นทรีที่เกี่่ยวข้อง
ชื่ออื่นๆ (ข้อมูลจาก VirSCANl)
Avast : Win32.Confi [Wrm]
AVG : Dropper.Generic.AFNC
Avira : Worm/Kido.DH
BitDefender : Win32.Worm.Kido.K
Mcafee : W32/Conficker.worm.gen.b
Sophos : Mal/Conficker-A
Symantec : W32.Downadup.B
Hauri : Worm.Win32.Conficker.173318
Microsoft : Worm:Win32/Conficker.B
Nod32 : a variant of Win32/Conficker.AA.Worm
== ลักษณะการทำงาน ==
1. เพิ่มไฟล์ %System%\<ชื่อแบบสุ่ม>.dll
2. เพิ่มค่ารีจิสตรี
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
และ
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" = " %System%\.dll"
เพื่อให้รันตัวเองทุกครั้งตอนเปิดเครื่อง
3.ไม่สามารถ เข้า Share Drive ใน Server ได้ แต่ยัง Ping เจอ เล่นงาน NOS Monitor แต่ Nos มันขึ้นว่า Clean (อันนี้คนในพันทิปมาเล่าให้ฟัง)
4. ยิง Package ไปทุกเครื่องบนเครือข่าย ความถี่ ประมาณ 10-15 นาทีต่อครั้ง
5. สุ่มหาไอพีจากเครือข่าย และเดา Password ดังนี้
- 99999999
- 9999999
- 999999
- 99999
- 9999
- 999
- 99
- 9
- 88888888
- 8888888
- 888888
- 88888
- 8888
- 888
- 88
- 8
- 77777777
- 7777777
- 777777
- 77777
- 7777
- 777
- 77
- 7
- 66666666
- 6666666
- 666666
- 66666
- 6666
- 666
- 66
- 6
- 55555555
- 5555555
- 555555
- 55555
- 5555
- 555
- 55
- 5
- 44444444
- 4444444
- 444444
- 44444
- 4444
- 444
- 44
- 4
- 33333333
- 3333333
- 333333
- 33333
- 3333
- 333
- 33
- 3
- 22222222
- 2222222
- 222222
- 22222
- 2222
- 222
- 22
- 2
- 11111111
- 1111111
- 111111
- 11111
- 1111
- 111
- 11
- 1
- 00000000
- 0000000
- 00000
- 0000
- 000
- 00
- 0987654321
- 987654321
- 87654321
- 7654321
- 654321
- 54321
- 4321
- 321
- 21
- 12
- super
- secret
- server
- computer
- owner
- backup
- database
- lotus
- oracle
- business
- manager
- temporary
- ihavenopass
- nothing
- nopassword
- nopass
- Internet
- internet
- example
- sample
- love123
- boss123
- work123
- home123
- mypc123
- temp123
- test123
- qwe123
- abc123
- pw123
- root123
- pass123
- pass12
- pass1
- admin123
- admin12
- admin1
- password123
- password12
- password1
- default
- foobar
- foofoo
- temptemp
- temp
- testtest
- test
- rootroot
- root
- fuck
- zzzzz
- zzzz
- zzz
- xxxxx
- xxxx
- xxx
- qqqqq
- qqqq
- qqq
- aaaaa
- aaaa
- aaa
- sql
- file
- web
- foo
- job
- home
- work
- intranet
- controller
- killer
- games
- private
- market
- coffee
- cookie
- forever
- freedom
- student
- account
- academia
- files
- windows
- monitor
- unknown
- anything
- letitbe
- letmein
- domain
- access
- money
- campus
- explorer
- exchange
- customer
- cluster
- nobody
- codeword
- codename
- changeme
- desktop
- security
- secure
- public
- system
- shadow
- office
- supervisor
- superuser
- share
- adminadmin
- mypassword
- mypass
- pass
- Login
- login
- Password
- password
- passwd
- zxcvbn
- zxcvb
- zxccxz
- zxcxz
- qazwsxedc
- qazwsx
- q1w2e3
- qweasdzxc
- asdfgh
- asdzxc
- asddsa
- asdsa
- qweasd
- qwerty
- qweewq
- qwewq
- nimda
- administrator
- Admin
- admin
- a1b2c3
- 1q2w3e
- 1234qwer
- 1234abcd
- 123asd
- 123qwe
- 123abc
- 123321
- 12321
- 123123
- 1234567890
- 123456789
- 12345678
- 1234567
- 123456
- 12345
- 1234
- 123
6. ติดต่อทางแฟลชไดรฟ์ โดยลูกไม้เดิมๆคือ สร้าง
:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\<ชื่อแบบสุ่ม>.vmx
และ autorun.inf เพื่อรันตัวเองตอนดับเบิ้ลคลิกเข้าไดรฟ์
7. ปิด System Restore อัตโนมัติ
8. บล๊อคเว็บไซท์ และ หน้าต่างที่มี Title ที่มีคำต่อไปนี้
- windowsupdate
- wilderssecurity
- threatexpert
- castlecops
- spamhaus
- cpsecure
- arcabit
- emsisoft
- sunbelt
- securecomputing
- rising
- prevx
- pctools
- norman
- k7computing
- ikarus
- hauri
- hacksoft
- gdata
- fortinet
- ewido
- clamav
- comodo
- quickheal
- avira
- avast
- esafe
- ahnlab
- centralcommand
- drweb
- grisoft
- eset
- nod32
- f-prot
- jotti
- kaspersky
- f-secure
- computerassociates
- networkassociates
- etrust
- panda
- sophos
- trendmicro
- mcafee
- norton
- symantec
- microsoft
- defender
- rootkit
- malware
- spyware
- virus
9. พยายามดาวน์ดหลดไฟล์จาก http://traffic*********.biz/*****/antispyware/*******.exe
* เท่ากับตัวอักษร
10. ดักค่า Input จากเว็บต่อไปนี้
- http://www.w3.org
- http://www.ask.com
- http://www.msn.com
- http://www.yahoo.com
- http://www.google.com
- http://www.baidu.com
เลือก Os และการทำงานให้ถูกด้วยเน้อ
เปิด Firewall และ Antivirus และ Update เป็นตัวล่าสุดแบะลองสแกนไวรัสดูด้วยนะครับ
แล้วก็ ถ้าเล่นเกมอยู่ในบริษัท ไม่รุ้ว่าโดนหนอนตัวนี้รึเปล่า ก็อย่าปิด Firewall และ Antivirus เด็ดขาดนะครับ ขอเตืิอนด้วยความหวังดี (จริงๆนะ 
)
ตอนนี้คุณผู้อ่านสามารถโหลดตัวแก้ได้ที่เอ็นทรี
"โหลดตัวแก้ Conflicker, Kido หรือ Downadup" ได้ที่นี่
Dear visitor Now you can download removal tools from this entry
"Removal tools of Conflicker, Kido or Downadup"
เค้าไม่รู้เรื่องน้า อิอิ
#1 By iQ180 on 2009-01-14 13:25