Trang chủĐăng kýĐăng nhập Cộng đồng tin học
Chủ nhật, 2018-08-19, 1:35 AM
Khung đăng nhập

http://congdongtinhoc.net
Site menu

Chuyên mục
Phần cứng - Drivers [46]
Điểm Game [37]
Tin tức - Sự kiện [128]
Bảo mật - Security [104]
Mạng Lan, WAN - Internet [44]
Phần mềm tiện ích miễn phí [51]
Điện thoại - Thiết bị số [54]
Máy tính xách tay - Laptop [71]
Tin học văn phòng - MS Office [19]
Đồ họa - thiết kế [27]
Thủ thuật máy tính [116]
Kiến thức cơ bản [48]
Hệ điều hành [51]

Bài viết lưu trữ

Tìm kiếm

Từ khóa tìm kiếm
Email thủ thuật Apple bảo mật Adobe windows 7 tăng tốc tang toc Microsoft windows xp hệ điều hành Laptop acer Lenovo sony compaq netbook miễn phí Wi-Fi download trình duyệt Google Chrome internet Firefox 3.5 Microsoft Office Chrome Internet Explorer 8 safari Công cụ cấu hình dịch vụ google IE virus spyware Bing khám phá firefox 3.6 lỗ hổng zero-day máy tính khắc phục sự cố cập nhật trojan linux ubuntu windows vista Registry Windows tiện ích pc Core i7 bộ xử lý activex control HP nâng cấp thu thuat Mozilla Toshiba Mac dell Việt Nam twitter hotmail intel phần cứng phan cung hacker USB facebook Symantec thiết bị số điện thoại di động Top 10 office card đồ họa Card đồ hoạ IpoD 3G asus mạng xã hội mien phi Blackberry game AMD nVIDIA iphone chỉnh sửa ảnh wan ROUTER hệ thống opera psp Wii hành động Xbox 360 firefox Internet Explorer Android cảm ứng

Bài mới diễn đàn
  • BIDV triển khai gói 10.000 tỷ đồng cho v...
  • cho em quảng cáo cái
  • Kinh nghiệm cài Windows XP cho netbook
  • Máy của em đây,em muốn mua Ram,các anh t...
  • Visual Basic v6.0sp6 (With Components)
  • Tối nay tao đốt nhà mày
  • VALENTINE: Cách được hôn bạn gái cho nhữ...
  • Students PSD template
  • Ebook - Hướng dẫn làm web bằng ASP.net
  • Cấm đăng nhập Yahoo! Messenger chỉ với m...

  • User tích cực
  • Hung@info
  • thangbom
  • Hung@webmater
  • hebeo
  • giodaingan
  • david15
  • whitecat
  • luutruthongtin
  • vunguyenblue179
  • pham2408

  • Lịch
    «  Tháng 8 2010  »
    SuMoTuWeThFrSa
    1234567
    891011121314
    15161718192021
    22232425262728
    293031

    Thăm dò ý kiến
    Rate my site
    Total of answers: 12

    Địa chỉ của bạn
    IP

    Thống kê

    Tổng số trực tuyến: 1
    Khách: 1
    Thành viên: 0

    Trang chủ » 2010 » Tháng 8 » 31 » Tổng quan về mẫu Net-Worm.Win32.Kido.ih
    8:33 AM
    Tổng quan về mẫu Net-Worm.Win32.Kido.ih
    Được phân loại thuộc nhóm Net-Worms vô cùng độc hại, chúng có thuộc tính lây lan mạnh mẽ qua mạng máy tính, tính năng dễ phân biệt nhất của chúng là tự nhân bản và lây lan mà không cần đến sự tác động của người dùng. Đặc biệt, loại sâu này thường xuyên tìm kiếm các lỗ hổng bảo mật có trong các phần mềm hệ thống chạy trên các máy tính có kết nối với nhau hoặc Internet, qua đó chúng sẽ dễ dàng lây lan và phát tán hơn đến các máy tính thông qua các gói dữ liệu đặc biệt đã được chuẩn bị từ trước (gọi chung là exploit), và kết quả là mã độc của 1 phần hoặc toàn bộ "con sâu” này sẽ xâm nhập vào máy tính của nạn nhân và tự kích hoạt các chế độ hoạt động của chúng. Đôi khi, những gói dữ liệu lưu chuyển qua lại này chỉ chứa 1 phần nào đó của sâu, và những đoạn mã này có nhiệm vụ tải và thực thi các module còn lại của chúng qua con đường khác. Mặt khác, 1 số loại sâu chuyên phát tán và lây lan qua hệ thống mạng có xu hướng lây lan đồng loạt, để tăng tốc độ nhân bản mà chúng đã xâm nhập vào máy tính của nạn nhân trước đó.

    Theo thông tin từ Kaspersky Lab, mẫu sâu này xuất hiện vào khoảng 20/02/2009 lúc 07:04 GMT, chính thức hoạt động và lây lan vào ngày 20/08/2009 lúc 19:33 GMT và được phát hiện vào cùng ngày 20/08/2009 lúc 14:52 GMT.

    Mô tả chi tiết về mặt kỹ thuật

    Loại sâu này chủ yếu lây lan qua hệ thống mạng local và các thiết bị lưu trữ cắm ngoài như USB, ổ cứng di động… bản thân nó dựa trên file hệ thống PE DLL của Windows, dung lượng chung dao động trong khoảng 155KB tới 165KB và được đóng gói bằng cách thức UPX.

    Khi cài đặt, chúng sẽ tự sao lưu các file thực thi vào hệ thống với các tên được đặt ngẫu nhiên như sau:

    %System%\<rnd>dir.dll
    %Program Files%\Internet Explorer\<rnd>.dll
    %Program Files%\Movie Maker\<rnd>.dll
    %All Users Application Data%\<rnd>.dll
    %Temp%\<rnd>.dll
    %System%\<rnd>tmp
    %Temp%\<rnd>.tmp

    Trong đó <rnd> là các chuỗi ký tự ngẫu nhiên. Tiếp theo, để đảm bảo rằng các file thực thi này sẽ được kích hoạt trong lần hệ thống khởi động tiếp theo, chúng tiếp tục tạo ra dịch vụ khởi động như của Windows và trỏ đường dẫn tới các file *.exe trên. Khóa registry sau được tạo ra trong bước này:

    [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

    Đồng thời, chúng sẽ thay đổi giá trị của khóa registry sau:

    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
    "netsvcs" = "<original value> %System%\<rnd>.dll"

    Quá trình nhân bản

    Để bắt đầu quá trình này, chúng sẽ "tạo lập” 1 hệ thống server HTTP trên 1 cổng TCP bất kỳ, sau đó sẽ sử dụng cổng này để tải các phần thực thi còn lại tới các máy tính khác trên cùng hệ thống mạng. Chúng sẽ thu nhận địa chỉ IP của các máy tính trong cùng lớp mạng cũng như các máy tính đã bị lây nhiễm khác, và thực hiện các cuộc tấn công thông qua lỗ hổng MS08-067 của dịch vụ Server. Cụ thể, chung sẽ gửi những gói dữ liệu RPC – đã được chuẩn bị sẵn tới các máy tính bị điều khiển. Quá trình này sẽ gây ra hiện tượng tràn bộ nhớ, và 1 vùng dữ liệu sẽ bị phá hoại khi các hàm wcscpy_s được gọi ra trong netapi32.dll, đồng thời sẽ tiếp tục tải các file thực thi của sâu tới máy tính của nạn nhân, và tự động kích hoạt chúng. Và quá trình này sẽ tiếp diễn trên các máy tính bị lây nhiễm tiếp theo.

    Để khai thác các lỗ hổng trong phần mềm như đã nhắc đến bên trên, loại sâu này sẽ tìm mọi cách để kết nối tới tài khoản Administrator trên máy tính bị điều khiển, và chúng sẽ sử dụng các mật khẩu dưới đây để áp dụng vào tài khoản đó:


    99999999
    9999999
    999999
    99999
    88888888
    8888888
    888888
    88888
    8888
    888
    88
    8
    77777777
    7777777
    777777
    77777
    7777
    777
    77
    7
    66666666
    6666666
    666666
    66666
    6666
    666
    66
    6
    55555555
    5555555
    555555
    55555
    5555
    555
    55
    5
    44444444
    4444444
    444444
    44444
    4444
    444
    44
    4
    33333333
    3333333
    333333
    33333
    3333
    333
    33
    3
    22222222
    2222222
    222222
    22222
    2222
    222
    22
    2
    11111111
    1111111
    111111
    11111
    1111
    111

    explorer
    exchange
    customer
    cluster
    nobody
    codeword
    codename
    changeme
    desktop
    security
    secure
    public
    system
    shadow
    office
    supervisor
    superuser
    share
    super
    secret
    server
    computer
    owner
    backup
    database
    lotus
    oracle
    business
    manager
    temporary
    ihavenopass
    nothing
    nopassword
    nopass
    Internet
    internet
    example
    sample
    love123
    boss123
    work123
    home123
    mypc123
    temp123
    test123
    qwe123
    abc123
    pw123
    root123
    pass123
    pass12
    pass1
    admin123
    admin12
    admin1
    password123
    password12
    password1

    9999
    999
    99
    9
    11
    1
    00000000
    0000000
    00000
    0000
    000
    00
    0987654321
    987654321
    87654321
    7654321
    654321
    54321
    4321
    321
    21
    12
    fuck
    zzzzz
    zzzz
    zzz
    xxxxx
    xxxx
    xxx
    qqqqq
    qqqq
    qqq
    aaaaa
    aaaa
    aaa
    sql
    file
    web
    foo
    job
    home
    work
    intranet
    controller
    killer
    games
    private
    market
    coffee
    cookie
    forever
    freedom
    student
    account
    academia
    files
    windows
    monitor
    unknown
    anything
    letitbe
    letmein
    domain
    access
    money

    campus
    default
    foobar
    foofoo
    temptemp
    temp
    testtest
    test
    rootroot
    root
    adminadmin
    mypassword
    mypass
    pass
    Login
    login
    Password
    password
    passwd
    zxcvbn
    zxcvb
    zxccxz
    zxcxz
    qazwsxedc
    qazwsx
    q1w2e3
    qweasdzxc
    asdfgh
    asdzxc
    asddsa
    asdsa
    qweasd
    qwerty
    qweewq
    qwewq
    nimda
    administrator

    Admin
    admin
    a1b2c3
    1q2w3e
    1234qwer
    1234abcd
    123asd
    123qwe
    123abc
    123321
    12321
    123123
    1234567890
    123456789
    12345678
    1234567
    123456
    12345
    1234
    123




    Chuyên mục: Bảo mật - Security | Lượt xem: 515 | Thêm bởi: Hung@info | Tags: ứng dụng, tìm hiểu, giới thiêu, phần mềm độc hại, tổng quan, net-worm.win32.kido.ih, virus | Đánh giá: 0.0/0
    Đăng nhập để bình luận.
    [ Đăng ký | Đăng nhập ]
    + Các bài viết khác

      Copyright Cộng đồng tin học © 2018