微點Kido蠕蟲病毒專殺工具

微點公司發(fā)布的一款能夠?qū)�kido蠕蟲病毒進(jìn)行專殺處理的軟件，完美殺毒成功

中毒現(xiàn)象:

1、局域網(wǎng)被殺毒軟件頻繁報警發(fā)現(xiàn)Kido病毒卻屢殺不盡，造成網(wǎng)絡(luò)癱瘓
2、可移動磁盤根目錄存在Autorun.inf，刪除時系統(tǒng)提示沒有權(quán)限刪除
3、每次啟動計算機后RPC服務(wù)奔潰，導(dǎo)致諸如網(wǎng)絡(luò)共享等功能無法使用

技術(shù)分析:

該蠕蟲病毒是一種到目前變種極多，且多數(shù)使用了變形加密手段逃避殺毒軟件查殺。Kido蠕蟲使用Microsoft Windows的MS08067漏洞在局域網(wǎng)內(nèi)大肆傳播，造成網(wǎng)絡(luò)癱瘓，該蠕蟲病毒在溢出過程中由于其他因素可能造成網(wǎng)絡(luò)共享不能夠正常使用。
該病毒傳播到本地后調(diào)用如Rundll32.exe加以隨機7位字符的參數(shù)執(zhí)行病毒加載功能，然后以遠(yuǎn)程線程注入方式將自身植入Svchost.exe進(jìn)程獲取系統(tǒng)服務(wù)權(quán)限，如果遠(yuǎn)程線程執(zhí)行失敗則改用APC方式。該病毒使用了獨占打開方式，使之其他程序無法對其進(jìn)行打開，繞過了殺毒軟件掃描功能。
當(dāng)該蠕蟲以服務(wù)權(quán)限運行后，則開啟多個線程實現(xiàn)病毒傳播功能：
獲取本地IP地址段，通過ARP方式判斷主機是否存活，如果存活則對其進(jìn)行溢出，溢出成功后將自身副本文件拷貝到對方IE臨時目錄中。
監(jiān)視本地可移動磁盤設(shè)備消息，如果發(fā)現(xiàn)可移動磁盤插入，拷貝自身副本到磁盤CREYLE目錄中，釋放經(jīng)過變形的Autorun.inf指向rundll32.exe執(zhí)行病毒文件，對所釋放的病毒文件更換NTFS所有者SID，使得計算機中正常用戶對其沒有訪問權(quán)限。