PDA

Просмотр полной версии : Червь Kido - обзор и лечение



IMPERIAL
25.04.2009, 21:09
Kido

http://i054.radikal.ru/0904/b7/de515d18cfec.jpg


Вирус написан на MS Visual C++
Владельцы Mac, а также Linux'оводы спят спокойно


О черве в целом (+ симптомы):

Известный под разными именами (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based и т д) и во множестве вариациях, Kido был обнаружен впервые ещё осенью прошлого года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители («флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов и спокойно занимается лавинным размножением (подробности будут чуть далее). Данная вредоносная программа по мнению F-Secure создана для формирования бот-сетей с целью извлечения из нее прибыли или пакетной продажи. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет. Также, «Создатели этого вируса еще по-настоящему не использовали его. Но они могут в любой момент сделать с зараженными машинами все, что захотят», — говорит главный советник по вопросам безопасности все того же F-Secure - Патрик Руналд (Patrik Runald).

Сетевой червь, распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован при помощи UPX.

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.


Характерными признаками наличия данного вируса может быть:

1. обнаружение антивирусным ПО зараженных файлов

%все папки общего доступа% RECYCLERS-%Число%%случайная буквенная комбинация%.vmx
%ProgramFiles%Internet Explorer%случайная буквенная комбинация%.dll
%ProgramFiles%Movie Maker%случайная буквенная комбинация%.dll
%System%%случайная буквенная комбинация%.dll
%Temp%%случайная буквенная комбинация%.dll
%ALLUSERSPROFILE%Application Data%случайная буквенная комбинация%.dll

2. остановка служб (и отсутствие возможности их запуска.):

server
workstation
отсутствие звука системы и вообще
отключена служба восстановления системы;
Блокировка обновления ВСЕХ популярных антивирусников, так же захода на их странички!
Частый ребут

3. наличие в системе назначенных задний формата At1.job, At2.job,..

Также вредоносное ПО может модифицировать ряд веток реестра, что может повлечь за собой некорректную работу ряда сервисов.
После успешной установки себя в качестве службы вирус предпринимает попытки дальнейшего растространения, а также пытается подобрать пароли к учетным записям. Учетные записи перебираются по очереди, для каждой из них используется статичный набор простых паролей (порядка 100).


Лечение:



Решение от Лаборатории Касперского (http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215) | Скачать лечилку (http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip)
Решение от Компании «Доктор Веб» (http://news.drweb.com/show/?i=204&c=5&p=0) | Скачать лечилку (ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe)



3 заплатки на Windows XP2 и одна Windows XP3:


MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx)
MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx)
MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx)



Атаки с зараженных компьютеров будут продолжаться и дальше поэтому установите если у вас еще нет антивирус ( в настоящий момент все антивирусы на него реагируют) и специальный софт для блокирования любой заразы поступающей с "флэшек" или съемных дисков.

Альтернатива:

Набор состоящий из трех заплаток от Microsoft для Windows XP2/XP3 RUS и двух специальных бесплатных утилит от Лаборатории Касперского и Компании «Доктор Веб» - Dr.Web CureIt!® от 01.02.2009 и KidoKiller 3.1 одним архивом (22 Mb)

LetItBit (http://letitbit.net/download/2d2d47686618/KidoCleanerPack.zip.html)
Народ (http://narod.ru/disk/5495297000/KidoCleanerPack.zip.html)

Сашок
18.11.2009, 10:42
А если ни одна из предложенных утилиток не помогла? Что делать? :(

IMPERIAL
22.11.2009, 16:11
Скачать свежую версию бутового антивируса. По идеи код червя уже известен и хорошие антивирусы должны иметь его в базах. Опять же лечение с флешки.

SNEG0vik
06.12.2009, 19:14
Спасибо, помогло, вирус убился и каспер обновился наконецно))))))))))

Доктор Хаус Рулит!!!!))))

к52
07.01.2010, 12:19
К чему все эти ссылки на лечилки, если все странички блокируются вирусом. Бред. Может есть еще варианты? Есть лицензионный Касперский, не можем активтровать. Что делать?

IMPERIAL
07.01.2010, 15:47
К чему все эти ссылки на лечилки, если все странички блокируются вирусом. Бред.
к52 http://i054.radikal.ru/0909/58/8ed04296ca71.gif

Альтернатива:

Набор состоящий из трех заплаток от Microsoft для Windows XP2/XP3 RUS и двух специальных бесплатных утилит от Лаборатории Касперского и Компании «Доктор Веб» - Dr.Web CureIt!® от 01.02.2009 и KidoKiller 3.1 одним архивом (22 Mb)

* LetItBit
* Народ

Habanera
21.08.2010, 11:23
ссылки не работают, перезалейте...

Geroy_in
24.08.2010, 04:06
Здравствуйте, вот у меня проблема, не могу зайти на оф. странички антивирусов, на вашем форуме узнал про этот вирус, и как с ним бороться. Но тут начал лечение Доктором Веб, самым новым, и он после проверки пишет ...у вас изменён "какой то" протокол, он служит для перехвата АйПи адресов сайтов, что бы восстановить протокол в начальное состояние нажмите "ОК"... я нажимаю, антивирус выключается, но доступ на оф сайты так и не появился, Касперский эту гадость не видит вообще((
В общем меня эта зараза не особо то и напрягает, тем более через пару месяцев хочу переустановить винду, и тогда форматирование ей обеспечено, стоит ли лечить?

OceanBreeze
13.02.2011, 11:03
c:\windows\system32\drivers\etc\hosts
зайди в файл hosts через блокнот, и удали всё, кроме 127.0.0.1 localhost.
После этого доступ на сайты антивирусов должен восстановиться.