Как бороться с вирусом kido и
В связи с большим количеством обращений пользователей "Лаборатория Касперского" подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup.
Вредоносная программа Kido представляет на данный момент серьезную угрозу для всего интернет-сообщества. Миллионы компьютеров, зараженных Kido, потенциально могут стать самым мощным ресурсом кибепреступников в Интернете. Эта вредоносная программа впервые была детектирована в ноябре 2008 года. Ее активизация ожидается 1 апреля: ботнет Kido начнет искать центр управления среди 50 000 доменов в день (ранее он подключался лишь к 250 доменам) и загружать на компьютеры пользователей новые версии других вредоносных программ. Последующие за этим действия злоумышленников на настоящий момент не поддаются прогнозированию.
В чем опасность Kido?
Таким образом, созданная авторами Kido гигантская зомби-сеть (ботнет) потенциально может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).
До последнего времени Kido распространялся через компьютерные сети и сменные носители информации. В частности, он проникал на компьютеры, используя критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года. По мнению экспертов, на значительной части машин патч не был установлен на момент пика распространения Kido в январе. Этот фактор, а также игнорирование эффективной антивирусной защиты и привели к эпидемии: в настоящее время различными версиями Kido заражены, по меньшей мере, от 5 до 6 миллионов компьютеров, имеющих доступ в сеть Интернет. В последних версиях Kido отсутствует явная возможность самораспространения. Программа лишь пытается укрепиться на уже зараженных компьютерах.
В Kido реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д.
Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.
Как избежать заражения вредоносной программой Kido?
Продукты "Лаборатории Касперского" успешно блокируют проникновение всех версий Kido на компьютеры пользователей. Проверьте, что автоматические обновления не отключены и, в том случае, если у вас есть подозрение, что Kido уже мог проникнуть на компьютер, выполните сканирование всего компьютера с помощью Антивируса Касперского. Своевременная установка патчей для ликвидации уязвимости MS08-067, безусловно, является обязательной мерой для предотвращения заражения, однако установленное решение Kaspersky Internet Security не позволит использовать уязвимость даже на непропатченной операционной системе.
Как понять, что произошло заражение сети или компьютера?
При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
Я – администратор локальной сети. Как мне быстрее и удобнее всего локализовать проблему?
Удаление сетевого вредоносной программы производится с помощью специальной утилиты KKiller.exe. С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер: Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001. Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
Отключить автозапуск исполняемых файлов со съемных носителей. Остановить службу Task Scheduler (Планировщик Задач) в Windows. Удаление вредоносной программы Kido утилитой KKiller.exe необходимо производить локально на зараженном компьютере.
Как бороться с Kido обычному пользователю домашнего компьютера?
Скачайте архив KKiller_v3.4.1.zip и распакуйте его в отдельную папку на зараженной машине. Запустите файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y. Дождитесь окончания сканирования.
Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
Сегодня столкнулся с вирусом Net-Worm.Win32.Kido или просто Kido.
Когда на одном из серверов остановилась служба Сетевой вход и Сервер и пропал доступ к его расшаренным папкам (такого не было никогда ранее). Мне сразу показалось что-то тут не чисто. Службы были перезапущены и все пошло своим путем. А позже я занялся изучением и поиском виновника. Итак, рассмотрим противника:
Net-Worm.Win32.Kido поражает Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.
I. На сайте Касперского предлагается решение по обнаружению и удалению вирусов семейства Net-Worm.Win32.Kido
Решение:
1. Скачать и установить патч от Microsoft, который закрывает уязвимость MS08-067 ( скачать ).
2. Скачать и запустить утилиту KidoKiller.exe из архива KidoKiller_v3.zip ( скачать )
3. Общая рекоммендация. Не забывать обновлять операционную систему высокоприоритетными обновлениями.
1. Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
MS08-067 ссылка ;
MS08-068 ссылка ;
MS09-001 ссылка ;
2. Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети.
3. Скачать текущую версию утилиты Dr.Web CureIt! ссылка на неинфицированном компьютере, перенести ее на инфицированный и просканировать все диски, тем самым произведя лечение системы.
4. Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.
При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
Вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.
Так же возможно отключение доступа к общим каталогам и прочим сетевым службам.
Ключевые слова: скачать утилиту kidokiller | kidokiller v3.zip | kidokiller v3 | worm.32.kido.hf | net-32.kido | kidokiller скачать
Добавлено 02.03.09 (для тех у кого не работают сайты касперского и микрософт, файлы для лечения с нашего сервера)
Обновленная утилита лечения от Касперского KidoKiller_v3.3.2.zip
Критическое обновление для Windows XP — WindowsXP-KB958644-x86-RUS.exe
Добавлено 11.03.09
По непроверенным данным kido не трогает машины, на которых установлена украинская раскладка клавиатуры.
Добавлено 01.04.09
Это не первоапрельский прикол, действительно уже появился KidoKiller версии 3.4.3 — KKiller_v3.4.3.zip
Добавлено 09.04.09
Обновилась утилита KidoKiller уже версия 3.4.4 — KKiller_v3.4.4.zip
Сегодня обнаружил такой факт — если запустить кидокиллера с пользовательскими правами (т.е. работая под учетной записью с правами Пользователь), то утилита работает секунд 5-10 и вылетает с ошибкой! (обратите на это внимание и не забывайте!)
Добавлено 14.04.09
Еще признаки kido
1. Создает на съемных носителях (также на сетевых дисках если доступно на запись) файл autorun.inf и файл RECYCLED\
2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\sfefs.dll
3. Прописывает себя в сервисах со случайным именем, состоящим из латинских букв, например gfjdsnk.
4. Атакует компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Добавлено 16.04.09
Новая версия — KidoKiller 3.4.5 скачать
Добавлено 20.04.09
Нашел утилиту скачать (утилита разработана компанией Positive Technologies)
С помощью этой утилиты системные администраторы смогут быстро и легко выявить уязвимые системы и установить соответствующие исправления. Для корректной работы утилиты на системе должен быть установлен .NET Framework.
Внимание! Утилита работает в режиме тестирования на проникновение, в связи с чем, не имеет возможности обнаружить узлы, зараженные червем Conficker.B, поскольку червь устраняет уязвимость MS08-067. Для проверки зараженных систем необходимо использовать механизмы аудита системы MaxPatrol или XSpider.
После последнего посещения вышеуказанных страниц с заплатками, мне показалось что у Микрософт, что-то наверчено и толком по тем ссылкам скачать не получается, вообщем я нашел у них все что нужно и добавляю информацию тут:
Критическое обновление для системы безопасности (заплатки от уязвимости MS09-001):
Критическое обновление для системы безопасности (заплатки от уязвимости MS08-068):
Критическое обновление для системы безопасности (заплатки от уязвимости MS08-067):
— Windows Server 2003 Rus (SP1, SP2) (KB958644) (MS08-067) — WindowsServer2003-KB958644-x86-RUS.exe
уязвимость описанная в MS08-065
Если у вас Microsoft Windows 2000 с пакетом обновления 4 (SP4), то обратите внимание!
Не подвержено уязвимости:
Windows XP с пакетом обновления 2 (SP2) или 3 (SP3)
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)
….
Была проблема (в самом начале эпопеи) — появилась на одном из сетевых дисков папка RECYCLER (типа корзина), но на самом деле не корзина, а создал ее кидо, сразу было видно кто создал (так как на сервере доступ был с паролями), пользователь был почищен и пропатчен, а вот папка не удалялась. Чтобы ее удалить нужно:
1. Войти в ту папку (лучше с коммандера FreeCommander, Total Commander, только не проводником, чтобы не вдруг не активизировать заразу) найти файл, который был не доступен к удалению даже администратору (там было что-то типа jwgkvsq.vmx), на него нужно добавить полный доступ Администратору, остальные можно удалить и можно сменить владельца на Администратор (это все если вы работаете под Администратором и тогда файл получится удалить.
2. Директории я удалил командами типа
rmdir /s /q «./S-5-3-
Добавлено 22.04.09
Новая версия — утилита для удаления вируса Kido — KidoKiller 3.4.6 скачать
Начиная с версии 3.4.6 в утилиту KK.exe добавлены коды возврата (%errorlevel%):
3 — Были найдены и удалены зловредные потоки (червь был в активном состоянии).
2 — Были найдены и удалены зловредные файлы (червь был в неактивном состоянии).
1 — Были найдены зловредные задания планировщика или перехваты функций (данная машина не заражена, но в этой сети могут находиться зараженные машины — администратору следует обратить на это внимание).
0 — Ничего не было найдено.
Добавлено 05.05.09
Новая версия утилиты для удаления вируса — KidoKiller 3.4.7 скачать
Добавлено 19.05.09
Ключи для запуска утилиты KK.exe из командной строки:
Добавлено 22.10.09
Новая версия утилиты для удаления вируса Kido — KidoKiller 3.4.13 скачать
Добавлено 01.02.2011
Оказывается тема кидо еще актуальна, добавляю последнюю версию
KidoKiller 3.4.14 скачать
Ключи использовании версии KidoKiller 3.4.14
запускаем cmd в каталоге где у нас лежит антикидо или прописываем к нему путь при запуске kk
и выполняем
kk -j -t -a -r -f
подробнее о ключах можно узнать выполнив kk --help
Новички
Здравствуйте!
Поймал я видимо недавно, а может и уже давно вирус в сеть. Kido
Провозился выходные каждую тачку отключал от сети и чистил. и был уверен, что вычистил сеть от этой гадости. не тут то было. На компе(1) стоит касперский 6 с новейшими базами. Проверка показала, что комп полностью чист. Вставляю в него флешку, форматирую, пихаю её в другой комп(2)(на нём такойже касперский) - хлоп! найдён вирус КИДО(вторун+recycler с инфицированым файлом). вывод- всётаки кидо на компе(1) есть. но каспер, КК и доктор веб не видят его тело(или как там оно называется) которое якобы должно быть в папке System32(ну или гдето ещё), которое как раз и создаёт эти авторуны на сменные носители и сетевые диски.
встают такие вопросы: 1) каким образом отследить наличие КИДО в системе, кроме как по знакомым симптомам. 2)существует ли модификации вируса, которые не искореняются способом, данным в ссылке(может он записывается в другие ветки реестра или ещё чтонить ещё. и эта методика уже не проканает?) 3) появляются ли "новые версии" КИДО, удаление руками которых по данной методике УЖЕ не помогает? (просто не хочется проделывать данные операции на всех машинах сети, при этом не зная на сколько они эффективны в моём случае и что за модификация КИДО сидит именно у меня. И опять же если нет способа проверить сработало ли это удаление руками или нет)
ВОБЩЕМ ЧТО ДЕЛАТЬ И КТО ВИНОВАТ?? -)))))
Участники
кидо, обычно не пускает на сайты kaspersky
и советую поставить 2010 версию антивируса!
а программки для кидо которые ты отписал, попробуй! я удалил кидо со своего пк с помощью лечилки какой то брал с сайта касперский. мне писали где то ссылку
Читайте также: