Как бороться с Kido (aka Conficker и Downadup)? Franky @ 18:52 В связи с большим количеством обращений пользователей «Лаборатория Касперского» подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup. Комментирует Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского». Что такое Kido Kido представляет серьезную угрозу для всего интернет-сообщества. Эта вредоносная программа впервые была обнаружена в ноябре 2008 года. По оценкам "Лаборатории Касперского", в настоящее время Kido заражено не менее 5 млн. компьютеров. Эта сеть зараженных машин потенциально может стать самым мощным ресурсом киберпреступников в Интернете. Например, она может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки). Анализ функционала этой программы не исключал возможной активизации 1-го апреля гигантской зомби-сети (ботнета), находящейся под управлением авторов Кидо, однако в этот день эксперты "Лаборатории Касперского" не зафиксировали какой-либо активности в обмене данными между зараженными машинами и потенциальными центрами управления ботнетом. Тем не менее, по-прежнему нельзя исключать возможности активизации ботнета, при этом последующие за ним действия злоумышленников пока не поддаются прогнозированию. Анализ ситуации показывает, что, активизация ботнета может произойти в любой день, начиная с 1 апреля. В чем опасность Kido Таким образом, созданная авторами Kido гигантская зомби-сеть (ботнет) потенциально может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки). До последнего времени Kido распространялся через компьютерные сети и сменные носители информации. В частности, он проникал на компьютеры, используя критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года. По мнению экспертов, на значительной части машин патч не был установлен на момент пика распространения Kido в январе. Этот фактор, а также игнорирование эффективной антивирусной защиты и привели к эпидемии: в настоящее время различными версиями Kido заражены, по меньшей мере, от 5 до 6 миллионов компьютеров, имеющих доступ в сеть Интернет. В последних версиях Kido отсутствует явная возможность самораспространения. Программа лишь пытается «укрепиться» на уже зараженных компьютерах. Более подробную техническую информацию о том, как Kido проникает в операционные системы семейства Windows можно посмотреть по адресам: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725 http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782733 http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782749 http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782790 В Kido реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д. Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей. Как понять, что произошло заражение сети или компьютера? При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit. Если вы подозреваете заражение своего компьютера, попробуйте открыть браузер и перейти на произвольную страничку любимого поискового движка. Если страница открылась — попытайтесь загрузить www.kaspersky.com или www.microsoft.com. Если этого сделать не удалось — то доступ к сайтам, скорее всего. блокирует вредоносная программа. Полный список ресурсов, заблокированных Kido, можно увидеть, например, здесь: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725 Как бороться с Kido обычному пользователю домашнего компьютера? Скачайте архив KKiller_v3.4.1.zip (152 КБ) и распакуйте его в отдельную папку на зараженной машине. Запустите файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y. Дождитесь окончания сканирования. Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер. Материал утащен с ixbt.com =================== Quote Постоянно выскакивает ошибка Svchost.exe Ошибка приложения.инстру-ия по адресу 0x6fe216e2 обратилась к памяти по адресу 0x00f5005c память не может быть written. еще стоит антивирус аваст 4.8, постоянно сообщает что в папке win32 и Network service обнаружен вирус confi, но почему то не удаляет!что делать? VirusInfo сообщает об эпидемии сетевого червя Net-Worm.Win32.Kido -------------------------------------------------------------------------------- VirusInfo, ведущий российский информационно-аналитический ресурс в сфере лечения персональных компьютеров от вредоносных программ, участник Альянса профессионалов в области анализа безопасности (Alliance of Security Analysis Professionals, ASAP), зафиксировал масштабное распространение вредоносного программного обеспечения "Net-Worm.Win32.Kido" (наименование по классификации "Лаборатории Касперского"), имеющее эпидемический характер. Признаки присутствия вредоносного ПО Net-Worm.Win32.Kido на компьютерах пользователей отмечаются специалистами VirusInfo с начала 2009 года. За время наблюдения (01.01.2009 - 12.01.2009) было зафиксировано 22 случая инфекции представителями данного семейства вредоносных программ; пик обращений пользователей по данной проблеме пришелся на 10 января текущего года, когда было обнаружено и устранено 6 случаев заражения (не менее 15% от общего количества обращений). Сетевой червь Net-Worm.Win32.Kido при распространении использует уязвимость в службе Сервер (Server) операционных систем семейства Windows. Данная уязвимость была обнаружена в конце октября 2008 года и описана в бюллетене безопасности Microsoft MS08-067 (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx). При успешной эксплуатации уязвимости вредоносное ПО создает файл со случайным именем в системном каталоге %SystemRoot%\system32\. Характерной чертой активности представителей этого семейства вредоносных программ является блокирование доступа к ряду ресурсов сети Интернет. Наряду с ресурсами антивирусных компаний - "Лаборатории Касперского", "Доктор Веб", ESET - Net-Worm.Win32.Kido блокирует доступ пользователей к доменному имени содержащему слово "virus", с целью не позволить владельцам зараженных компьютеров пройти лечение на сайтах помощи пользователям, в том числе и на VirusInfo. По мнению экспертного сообщества ресурса, этот факт в частности, наглядно демонстрирует, сколь велика та опасность, которую VirusInfo представляет для авторов вредоносных программ благодаря своему сервису бесплатного лечения компьютеров от инфекций. VirusInfo советует пользователям, пострадавшим от Net-Worm.Win32.Kido, установить срочное обновление операционной системы Windows, исправляющее уязвимость в службе Сервер (Server), и пройти бесплатное лечение на ресурсе. В случае недоступности последнего администрация VirusInfo рекомендует использовать сервисы анонимного доступа к сети (анонимайзеры) или обращаться к ресурсу по его IP-адресу (216.246.90.119). =================== Quote у нас завелся Kido.bt. 1. Ключей в реестре как в http://av-school.ru/news/a-186.html не создает. 2. на Windows Server 2003 падают службы Сервер, Рабочая Станция, Вторичный вход в систему, Обозреватель компьютеров, Диспетчер логических дисков и т.п. 3. серверы с Windows server 2000, как-будто бы не заражены. 4. на машинах с windows XP prof касперский несколько раз в час обнаруживает в c:\windows\system32 экземпляры Kido.bt, несмотря на то, что все обновления системы установлены. Данный зловред весьма интересен. Dr.Web его идентифицирует как Win32.HLLW.Autoruner.5555.(до обновления 11.01.2009 не видел вообще) Антивирусная утилита от Касперского - Net-Worm.Win32.Kido.bt(видел), Eset Nod32 - Модифицированный Konficer.AA.(видел и прибивал). Сам с ним борюсь уже трое суток в домене windows на базе w2k sp4 . Ситуация такая: компьютер (сервер, рабочая станция) могут быть заражены 2-мя путями - 1) заражение собственно через сеть. Используя механизм удаленного вызова процедур (RPC) и службу удаленного реестра заливают файл с телом вируса на атакуемую платформу (в нашем случае использовалось соединение через порты http://...:3605 http://...:6629, но думаю что он может и в другие порты полезть). Вредоносный код располагается в папке %systemdir% имеет имя в виде произвольного набора символов размер 164768b, как правило расширение dll но не всегда, свойства архивного, скрытого и т.д. Второе место где он прячется -c:\Documents and Settings\ в папках профилей различных пользователей в папке ...\Local Settings\Temporary Internet Files\Content.IE5\ имеет расширение .jpeg,bmp... размер тот же. Кроме того на серверных платформах создаются назначенные задания вроде rundll32.exe <имя зловреда>. 2) распространение через флэш диски и сетевые диски. В корневом каталоге последних создаются файл Autoru.inf а так же папка Recycled/S-............... (длинное название в которой лежит файл с именем произвольного набора символов и расширением WMX. Как многие уже догадались при опросе такого диска , в случае если не запрещен авто запуск с данного устройства – получаем инфицированный компьютер. Теперь самое интересное . Что он творит кроме этого? Сканирует сеть на предмет свободных «носителей» для себя. Постоянно долбится в Активку. Если кто чего добавит, особенно касательно того как с ним бороться буду признателен. Да и еще, установка исправления http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx не помогла. **** пункт 3. поправка: на Win2000 Net-Worm.Win32.Kido.bt нашелся в : \Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\ **** Далее ==================== Вирус Conflicker (Kido) Сегодня мною был обнарйжен и частично обезврежен вирус Conficker по информации из сети в мире заражено порядка 10милионов компьютеров, и их число неуклонно растет В общем, можно говорить об эпидемии одним из признаков его наличия является невозможность зайти на сайты антивирусных компаний(Касперский,NOD, etc...) и microsoft.com Заражение происходит через относительно недавно обнаруженную уязвимость в винде. Эта уязвимость активно используется им для распространения по локальным сетям и интернету посредством NetBIOS протокола Негативное врздействие его выражается в возможности удаленного управления вашей системой,его постоянным самообновлением, и мгновенным распространением(помимо локалки еще передается через флешки.создает файл AUTORAN.INF размером порядка 60КБ) О лечении: если вы еще не заражены, то обновитесь по ссылке(на разные ос в аттачах внизу), либо поставьте SP3(там вроде уязвимости нет) если уже заражены, то можете воспользоватся утилиткой, приаттаченной к теме. она его эффективно находит(я с ее помощью вылечился) В процессе лечения очень желаетельно отключится от сети также можете поискать другие способы лечения тут После лечения не забудьте обновить систему, дабы не заразится вновь Также рекомендуется обновить свой антивирус, и просканировать всю систему, для чистки того, что вирус наплодил ВОт кажется и все Прикрепленные файлы anti_Downadup_EN.zip ( 318,34 килобайт ) === Рекомендую обновить операционную систему как минимум до Vista SP1(регулярно обновляться с Windows Update) или для более опытных пользователей переползать на Windows 7 preRC1 он же билд 7077. Не лазить по подозрительным сайтам, и не качать всякую ересь из сети ================== Conficker и способы его лечения Новый интернет-Новый интернет-червь Downadup, известный также как Conficker, передал под контроль неизвестных хакеров 3,5 миллиона зараженных компьютеров, говорится на сайте. Это модифицированный вариант достаточно известного червя W32.Downadup.А, известного так же под именами Win32/Conficker.A [Computer Associates], W32/Downadup.A [F-Secure], Conficker.A [Panda Software], Net-Worm.Win32.Kido.bt [Kaspersky]. Как и старший собрат, W32.Downadup.B, так же известен под различными именами: W32/Downadup.AL [F-Secure], Win32/Conficker.B [Computer Associates], W32/Confick-D [Sophos], WORM_DOWNAD.AD [Trend] Вирус проникает на компьютер с использованием Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability. Как отмечает в своем блоге русскоязычный сотрудник F-Secure, Downadup использует уязвимость в реализации протокола RPC Microsoft. Проверить, заражен ли компьютер, можно, попытавшись зайти на сайт F-Secure или «Лаборатории Касперского». Червь их блокирует, и на зараженных компьютерах они не открываются. Убрать червя с компьютера можно, скачав специальную программу, ссылка на которую приведена ниже. http://depositfiles.com/files/pe2mlxyfk http://depositfiles.com/files/rbfcvcsfs === Я нашел програмулину здесь: http://www.liveinternet.ru/click?h....ck?http Насчет ее эффективности не знаю, но сайты антивирусной направленности теперь грузятся.
|