Net-Worm.Win32.Kido.ih蠕蟲病毒專殺工具

Net-Worm.Win32.Kido.ih蠕蟲病毒專殺工具,完美解決問題

中毒現象:

1、局域網被殺毒軟件頻繁報警發(fā)現Kido病毒卻屢殺不盡，造成網絡癱瘓
2、可移動磁盤根目錄存在Autorun.inf，刪除時系統提示沒有權限刪除

3、每次啟動計算機后RPC服務奔潰，導致諸如網絡共享等功能無法使用?

技術分析:

該蠕蟲病毒是一種到目前變種極多，且多數使用了變形加密手段逃避殺毒軟件查殺。Kido蠕蟲使用Microsoft Windows的MS08067漏洞在局域網內大肆傳播，造成網絡癱瘓，該蠕蟲病毒在溢出過程中由于其他因素可能造成網絡共享不能夠正常使用。

該病毒傳播到本地后調用如Rundll32.exe加以隨機7位字符的參數執(zhí)行病毒加載功能，然后以遠程線程注入方式將自身植入Svchost.exe進程獲取系統服務權限，如果遠程線程執(zhí)行失敗則改用APC方式。該病毒使用了獨占打開方式，使之其他程序無法對其進行打開，繞過了殺毒軟件掃描功能。

當該蠕蟲以服務權限運行后，則開啟多個線程實現病毒傳播功能：
獲取本地IP地址段，通過ARP方式判斷主機是否存活，如果存活則對其進行溢出，溢出成功后將自身副本文件拷貝到對方IE臨時目錄中。
監(jiān)視本地可移動磁盤設備消息，如果發(fā)現可移動磁盤插入，拷貝自身副本到磁盤CREYLE目錄中，釋放經過變形的Autorun.inf指向rundll32.exe執(zhí)行病毒文件，對所釋放的病毒文件更換NTFS所有者SID，使得計算機中正常用戶對其沒有訪問權限。