Net worm win32 kido ir что это
Перейти к содержимому

Net worm win32 kido ir что это

  • автор:

Как бороться с сетевым червем Net-Worm.Win32.Kido (Conficker, Downadup)

3. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.

4. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Краткое описание семейства Net-Worm.Win32.Kido:

»» Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\\RANDOM_NAME.vmx

»» В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll

»» Прописывает себя в сервисах — так же со случайным именем, состоящим из латинских букв, например knqdgsm.

»» Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.

»» Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним): «« »»
* http://www.getmyip.org
* http://getmyip.co.uk
* http://www.whatsmyipaddress.com
* http://www.whatismyip.org
* http://checkip.dyndns.org
* http://schemas.xmlsoap.org/soap/envelope/
* http://schemas.xmlsoap.org/soap/encoding/
* http://schemas.xmlsoap.org/soap/envelope/
* http://schemas.xmlsoap.org/soap/encoding/
* http://trafficconverter.biz/4vir/antispyware/loadadv.exe
* http://trafficconverter.biz
* http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz

Способы удаления:

Удаление сетевого червя производится с помощью специальной утилиты KKiller.exe

С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
»» Установить патчи, закрывающие уязвимости: «« »»
:. MS08-067
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

:. MS08-068
http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx

:. MS09-001
http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx

»» Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому — пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

»» Отключить автозапуск исполняемых файлов со съемных носителей.

Удаление сетевого червя утилитой KKiller.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.

Локальное удаление:

и распакуйте его в отдельную папку на зараженной машине.

2. Запустите файл KKiller.exe

По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y

3. Дождитесь окончания сканирования

Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

4. Выполните полную проверку компьютера с антивирусом, с обновленными антивирусными базами

Централизованное удаление:

и и распакуйте архив

2. В Консоли Kaspersky Administration Kit создайте инсталляционный пакет для приложения KKiller.exe. На этапе выбора дистрибутива приложения выберите вариант Создать инсталляционный пакет для приложения, указанного пользователем.

В поле Параметры запуска исполняемого файла укажите ключ -y для автоматического закрытия окна консоли после того, как утилита отработает.

Как бороться с сетевым червем Net-Worm.Win32.Kido (Conficker, Downadup)

3. На основе данного инсталляционного пакета создайте групповую или глобальную задачу удаленной установки для зараженных или подозрительных компьютеров сети.

Вы можете запустить утилиту KKiller.exe на всех компьютерах вашей сети

4. После того как утилита отработает, выполните сканирование каждого компьютера сети с помощью Антивируса Касперского

Если на компьютере, на котором запускается утилита KKiller.exe, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Ключи для запуска утилиты KKiller.exe из командной строки

-p :
Cканировать определённый каталог

-f:
Cканировать жёсткие диски

-n:
Cканировать сетевые диски

-r:
Cканировать flash-накопители

-y:
Не ждать нажатия любой клавиши

-s:
«Тихий» режим (без чёрного окна консоли)

-l :
Запись информации в лог-файл

-v:
Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l)

-z:
Восстановление служб
· Background Intelligent Transfer Service (BITS),
· Windows Automatic Update Service (wuauserv),
· Error Reporting Service (ERSvc/WerSvc)

:
Восстановление возможности показа скрытых и системных файлов

-a:
Отключение автозапуска со всех носителей

-m:
Режим мониторинга потоков, заданий, сервисов

-j:
Восстановление ветки реестра SafeBoot (при ее удалении компьютер не может загрузиться в безопасном режиме)

Эпидемия сетевого червя Net-Worm.Win32.Kido & утилита лечения

С начала года наблюдается глобальная эпидемия сетевого червя Net-Worm.Win32.Kido
Данный зверёк распространяется через локальную сеть и при помощи съемных носителей информации.
При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.
Червь для атаки использует уязвимость операционных систем семейства Windows, обнаруженную в конце октября 2008 года MS08-067 в сервисе «Сервер». Для того, чтобы воспользоваться уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора, последовательно перебирая пароли, заложенные создателем в теле вируса.
После запуска, на компьютере-жертве блокируется доступ к сайтам антивирусных компаний. Также блокируется доступ пользователей к доменным именам, содержащим слова «virus, rootkit, spyware» и прочим, с целью не позволить владельцам зараженных компьютеров пройти лечение на сайтах помощи пользователям.
Известны десятки модификаций данного червя.
Рекомендации по удалению выпущены всеми ведущими производителями АВ. ЛК выпустила специальную утилиту — KidoKiller для борьбы с сетевым червем Net-Worm.Win32.Kido, утилита содержит generic-детектирование всех известных модификаций червя.
Алгоритм лечения с помощью данной утилиты описан в данной статье www.kaspersky.ru/support/wks6mp3/error?qid=208636215

Подкатом — алгоритм лечения, скопирован с сайта ЛК, для не имеющих туда доступ в результате действий червя.

Во первых, сайты АВ компаний доступны по IP адресу. Сайт 195.27.181.35
Во вторых, вы можете посетить ресурс Virusinfo.info (216.246.90.119) — наши хелперы помогут Вам справиться с заражением.

Удаление сетевого червя производится с помощью специальной утилиты kidokiller.exe.

Внимание! С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

o Установить патч, закрывающий уязвимость MS08-067.

o Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому — пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

o Отключить автозапуск исполняемых файлов со съемных носителей.

Удаление сетевого червя утилитой kidokiller.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.

1. Скачайте архив KidoKiller_v2.zip (другой сайт 1, другой сайт 2) и распакуйте его в отдельную папку на зараженной машине.

2. Запустите файл KidoKiller.exe.

По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KidoKiller.exe с ключом -y.

3. Дождитесь окончания сканирования.

4. Выполните сканирование всего компьютера с помощью Антивируса Касперского.

Вирус Net-Worm.Win32.Kido | Лечение Kido

Если в данный момент вы подключены ко внешней сети и не видите прикреплённого выше этой надписи изображения, то ваш компьютер или ноутбук инфицирован и необходимо как можно скорее предпринять меры.

Если видите, но вас всё равно зафильтровали за сканирование сети, значит у вас другая модификация этого, либо другой вирус и все ниже перечисленные действия так же настоятельно рекомендуются для выполнения.

Описание вируса Kido.

Сетевой червь Net-Worm.Win32.Kido при распространении использует уязвимость в службе Сервер (Server) операционных систем семейства Windows. Данная уязвимость была обнаружена в конце октября 2008 года и описана в бюллетене безопасности Microsoft MS08-067. При успешной эксплуатации уязвимости вредоносное ПО создает файл со случайным именем в системном каталоге windows\system32\.

Характерной чертой активности представителей этого семейства вредоносных программ является блокирование доступа к ряду ресурсов сети Интернет. Наряду с ресурсами антивирусных компаний — «Лаборатории Касперского», «Доктор Веб», ESET — Net-Worm.Win32.Kido блокирует доступ пользователей к доменному имени содержащему слово «virus», с целью не позволить владельцам зараженных компьютеров пройти лечение на сайтах помощи пользователям. (с) Virusinfo

Способы заражения вирусом kido:

1) Через сеть. Вирус сканирует сеть arp запросами, на предмет наличия для себя новых носителей и атакует активные ip адреса используя уязвимость в службе удаленного вызова процедур (RPC)

2) Распространение на сменных носителях (USB-flash). В данном случае на флешке создаётся скрытая папка Recycler,
в ней подпапка S***********, (в которой находится сам вирус) и скрытый файл autorun.inf, с помощью которого происходит автоматическая установка вируса на машину.

Инструкции по удалению.

1. Перед началом дезинфекции внимательно прочитайте эту инструкцию, скачайте все нужные файлы из пункта 2 на жесткий диск и во время лечения выньте провод из сетевой платы.

2. Вам потребуется скачать на компьютер следующие файлы:
Все файлы архивом скачать
Критическое обновление безопастности KB957097 скачать
Критическое обновление безопастности KB958644 скачать
Критическое обновление безопастности KB958687 скачать
Утилита лаборатории Касперского для удаления Kido скачать
Утилита для удаления вредоносных программ от Microsoft скачать
Файл реестра, отключающий автозагрузку со сменных носителей и автошару скачать

3. Запустите на компьютере поочередно 3 критических обновления ОС, после установки каждого из них придется перезагрузить компьютер.

4. Запустите на компьютере утилиту Касперского kk.exe, появится черный экран с процессом сканирования. После завершения сканирования нажмите любую клавишу.

5. Проверьте компьютер на наличие других вирусов утилитой для удаления вредоносных программ от Microsoft

Net-Worm.Win32.Kido

При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов “svchost.exe”. Внедренный код выполняет основной деструктивный функционал червя:

  • отключает следующие службы:
  • блокирует доступ к адресам, содержащим следующие строки:

Также червь может скачивать файлы по ссылкам вида:

где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов:

Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.

Данный скрипт используется для запуска библиотеки червя из семейства Kido при подключении к компьютеру съемных носителей. Содержимое файла скрипта обфусцировано путем добавления случайного набора символов. Восстановив обфусцированные данные получаем следующий код скрипта автозапуска:

AcTION=Open folder to view files

Подразумевается, что библиотека червя находится в следующей папке на съемном носителе:

Данная версия скрипта отображает фразу “Открыть папку для просмотра файлов” на английском языке в диалоговом окне автозапуска.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *