微點(diǎn)Kido蠕蟲病毒專殺工具

微點(diǎn)公司發(fā)布的一款能夠?qū)�kido蠕蟲病毒進(jìn)行專殺處理的軟件，完美殺毒成功

中毒現(xiàn)象:

1、局域網(wǎng)被殺毒軟件頻繁報(bào)警發(fā)現(xiàn)Kido病毒卻屢殺不盡，造成網(wǎng)絡(luò)癱瘓
2、可移動(dòng)磁盤根目錄存在Autorun.inf，刪除時(shí)系統(tǒng)提示沒(méi)有權(quán)限刪除
3、每次啟動(dòng)計(jì)算機(jī)后RPC服務(wù)奔潰，導(dǎo)致諸如網(wǎng)絡(luò)共享等功能無(wú)法使用

技術(shù)分析:

該蠕蟲病毒是一種到目前變種極多，且多數(shù)使用了變形加密手段逃避殺毒軟件查殺。Kido蠕蟲使用Microsoft Windows的MS08067漏洞在局域網(wǎng)內(nèi)大肆傳播，造成網(wǎng)絡(luò)癱瘓，該蠕蟲病毒在溢出過(guò)程中由于其他因素可能造成網(wǎng)絡(luò)共享不能夠正常使用。
該病毒傳播到本地后調(diào)用如Rundll32.exe加以隨機(jī)7位字符的參數(shù)執(zhí)行病毒加載功能，然后以遠(yuǎn)程線程注入方式將自身植入Svchost.exe進(jìn)程獲取系統(tǒng)服務(wù)權(quán)限，如果遠(yuǎn)程線程執(zhí)行失敗則改用APC方式。該病毒使用了獨(dú)占打開(kāi)方式，使之其他程序無(wú)法對(duì)其進(jìn)行打開(kāi)，繞過(guò)了殺毒軟件掃描功能。
當(dāng)該蠕蟲以服務(wù)權(quán)限運(yùn)行后，則開(kāi)啟多個(gè)線程實(shí)現(xiàn)病毒傳播功能：
獲取本地IP地址段，通過(guò)ARP方式判斷主機(jī)是否存活，如果存活則對(duì)其進(jìn)行溢出，溢出成功后將自身副本文件拷貝到對(duì)方IE臨時(shí)目錄中。
監(jiān)視本地可移動(dòng)磁盤設(shè)備消息，如果發(fā)現(xiàn)可移動(dòng)磁盤插入，拷貝自身副本到磁盤CREYLE目錄中，釋放經(jīng)過(guò)變形的Autorun.inf指向rundll32.exe執(zhí)行病毒文件，對(duì)所釋放的病毒文件更換NTFS所有者SID，使得計(jì)算機(jī)中正常用戶對(duì)其沒(méi)有訪問(wèn)權(quán)限。