Если в данный момент вы подключены ко внешней сети и не видите прикреплённого выше этой надписи изображения, то ваш компьютер или ноутбук инфицирован и необходимо как можно скорее предпринять меры.
Если видите, но вас всё равно зафильтровали за сканирование сети, значит у вас другая модификация этого, либо другой вирус и все ниже перечисленные действия так же настоятельно рекомендуются для выполнения.
Описание вируса Kido.
Сетевой червь Net-Worm.Win32.Kido при распространении использует уязвимость в службе Сервер (Server) операционных систем семейства Windows. Данная уязвимость была обнаружена в конце октября 2008 года и описана в бюллетене безопасности Microsoft MS08-067. При успешной эксплуатации уязвимости вредоносное ПО создает файл со случайным именем в системном каталоге windows\system32\.
Характерной чертой активности представителей этого семейства вредоносных программ является блокирование доступа к ряду ресурсов сети Интернет. Наряду с ресурсами антивирусных компаний — «Лаборатории Касперского», «Доктор Веб», ESET — Net-Worm.Win32.Kido блокирует доступ пользователей к доменному имени содержащему слово «virus», с целью не позволить владельцам зараженных компьютеров пройти лечение на сайтах помощи пользователям. (с) Virusinfo
Способы заражения вирусом kido:
1) Через сеть. Вирус сканирует сеть arp запросами, на предмет наличия для себя новых носителей и атакует активные ip адреса используя уязвимость в службе удаленного вызова процедур (RPC)
2) Распространение на сменных носителях (USB-flash). В данном случае на флешке создаётся скрытая папка Recycler,
в ней подпапка S***********, (в которой находится сам вирус) и скрытый файл autorun.inf, с помощью которого происходит автоматическая установка вируса на машину.
Инструкции по удалению.
1. Перед началом дезинфекции внимательно прочитайте эту инструкцию, скачайте все нужные файлы из пункта 2 на жесткий диск и во время лечения выньте провод из сетевой платы.
2. Вам потребуется скачать на компьютер следующие файлы:
Все файлы архивом скачать
Критическое обновление безопастности KB957097
Критическое обновление безопастности KB958644
Критическое обновление безопастности KB958687
Утилита лаборатории Касперского для удаления Kido
Утилита для удаления вредоносных программ от Microsoft
Файл реестра, отключающий автозагрузку со сменных носителей и автошару
3. Запустите на компьютере поочередно 3 критических обновления ОС, после установки каждого из них придется перезагрузить компьютер.
4. Запустите на компьютере утилиту Касперского kk.exe, появится черный экран с процессом сканирования. После завершения сканирования нажмите любую клавишу.
На личном опыте, так сказать
Руководство: борьба с KIDO\CONFICKER в сети (рабочая группа). V.2.0
Спойлер: руководство
(в моем случае в сети 50 компьютеров+файлопомойка без домена, DHCP, DNS сервер без AD, прокся)
Определение заражения:
Лезем в реестр и проверяем параметр netsvcs
в ветке
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
если в списке служб в самом конце
есть бессмысленный набор букв(типа xpprdjj) и вы не можете ассоциировать это название с легальными службами (у каждой службы кроме длинного есть короткое имя например - Автоматическое обновление:
Wuauserv
) - (Можно посмотреть в остнастке службы либо с помощью любой другой утилиты, например, autoruns)
Вышесказанное относится к модификациям вируса Win32/Conficker.A - .C
. Более новая модификация Win32/Conficker.D
записывает свою службу в параметре netsvcs
не в конец списка, а в произвольное место списка, что усложняет ее поиск! Вот таблица типичных "валидных" служб для примера (взял отсюда):
Служба, выделенная красным - это пример записи, которую создает вирус Win32/Conficker в папаметре netsvcs
в разделе реестра SVCHOST
.
- Реальный список служб может включать дополнительные записи в зависимости от программ, установленных в системе.
- В таблице указаны службы, запускаемые в конфигурации Windows по умолчанию.
Запись, добавляемая в список вирусом Win32/Conficker, может служить примером техники запутывания. В выделенной записи вируса первая буква кажется буквой «L» в нижнем регистре, но на самом деле это буква «I» в верхнем регистре. Из-за начертания шрифта, используемого в операционной системе, буква «I» в верхнем регистре похожа на букву «L» в нижнем регистре.
Вобщем если есть неопознанная служба поздравляю - скорее всего вы счастливый обладатель самого новейшего вируса
Также надо проверить ветку реестра
Код:
Если такая есть это точно Kido. Однако не во всех модификациях вируса такая ветка создается.
После этого в сети и на каждом компьютере необходим целый комплекс противовирусных мероприятий:
I В сети предприятия.
1. Планируется глобальная политика безопастности - способ входа в систему длинна пароля, количество попыток при вводе неправильного пароля, меняются все пароли на сложные не меньше 6 знаков, раздаем права доступа на NTFS, Всех выгоняем из УЗ Администратора. Вобщем вспоминаем за что платят админам деньги2. Закрываем на всех компьютерах ВСЕ общие папки, в т.ч. на серверах. Это заодно будет стимулом быстрее перевести всех на файловый сервер и быстрее пролечить сеть
Легче всего эту задачу выполнить - остановив на каждом компьютере службу Server
.
3. В настройках прокси\брэндмауэра запрещаем P2P сети! Это важно- именно по этому протоколу зараза обменивается информацией и обновляется.
4. Заодно можно на время отключить сетевую службу Доступ к файлам и принтерам , дабы закрыть 139, 445 порт(я так не делал, а просто запретил порты на проксе\DNS)
5. Отключить сервер и полноценно проверить его без доступа к сети. Установить на него заплатки (все необходимые). Используйте Microsoft Baseline Security Analizer .(нужен интернет, так что делайте до отключения сети).
II. На каждом компьютере отдельно. (в т.ч. на серверах )
1. Удаляем сначала вирусную службу определенную ранее из списка служб в параметре netsvcs (в конце должна быть пустая строка
) и убив саму службу в
Код:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Удалив указанную в соответстующей вирусу ветке dll-ку.
Здесь интересный момент: Зайдя, например, в случае как на картинке, в раздел реестра, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rhlnccbs вы не увидите весь раздел и имени запускаемой dll. Вирус использует наше же оружие - он закрывает через разрешения доступ к своей ветке всем кроме System. Чтобы справится с вирусом меняем разрешения на ветку: Заходим в Разрешения для данной ветки - нажимаем Дополнительно, затем выбираем галочку "Наследовать от родительского объекта... ", и вуаля- видим ветку вирусного драйвера целиком с путем и имененм dll- вот и попался голубчик!
Удаляем ветку, если она есть
Код:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
2. Запрещаем доступ к ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
для всех на изменение значений.
ПКМ на разделе SvcHost- Разрешения- добавить пользователя Все
(на англ ОС- Everyone)-
далее в раздел дополнительно и выбрав пользователя Все задаем ему специальное разрешение(в данном случае запрещение ) - запрещаем право ЗАДАНИЕ ЗНАЧЕНИЯ
Важно:
При закрытии этой ветки реестра на запись становится невозможным устанавливать новые службы использующие Svchost. На время лечения ветка должна быть закрыта на всех компьютерах сети!!! Иначе процедура лечения бессмысленна!
Подробнее о нюансах связанных с блокированием ветки реестра Svchost см.
3. Удаляем как советует майкрософт запланированные задания:
Код:
At /delete /yes
4. Качаем и устанавливаем обновление WindowsXP-KB958644.
Также установите
Сегодня столкнулся с вирусом Net-Worm.Win32.Kido или просто Kido.
Когда на одном из серверов остановилась служба Сетевой вход и Сервер и пропал доступ к его расшаренным папкам (такого не было никогда ранее). Мне сразу показалось что-то тут не чисто. Службы были перезапущены и все пошло своим путем. А позже я занялся изучением и поиском виновника. Итак, рассмотрим противника:
Net-Worm.Win32.Kido поражает Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.
I. На сайте Касперского предлагается решение по обнаружению и удалению вирусов семейства Net-Worm.Win32.Kido
Решение:
1. Скачать и установить патч от Microsoft, который закрывает уязвимость MS08-067 (скачать).
2. Скачать и запустить утилиту KidoKiller.exe из архива KidoKiller_v3.zip (скачать)
3. Общая рекоммендация. Не забывать обновлять операционную систему высокоприоритетными обновлениями.
II. Компания «Доктор Веб» информирует о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based (известного также под именем Conficker.worm, Downadup и Kido) и предлагает метод лечения:
1. Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
MS08-067 ссылка ;
MS08-068 ссылка ;
MS09-001 ссылка ;
2. Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети.
3. Скачать текущую версию утилиты Dr.Web CureIt! ссылка на неинфицированном компьютере, перенести ее на инфицированный и просканировать все диски, тем самым произведя лечение системы.
4. Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.
На заметку.
При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
Вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.
Так же возможно отключение доступа к общим каталогам и прочим сетевым службам.
P.S. я использовал первый метод защиты (лечения), но повторно проверял так же и утилитой Dr.Web CureIt! от «Доктора Веб» ссылка .
Дополнительно можно почитать:
от компании «Доктор Веб» — ссылка
от Вирусной Энциклопедии — ссылка
от Лаборатории Касперского — ссылка
Ключевые слова: скачать утилиту kidokiller | kidokiller v3.zip | kidokiller v3 | worm.32.kido.hf | net-32.kido | kidokiller скачать
Добавлено 02.03.09
(для тех у кого не работают сайты касперского и микрософт, файлы для лечения с нашего сервера)
Обновленная утилита лечения от Касперского
Критическое обновление для Windows XP —
Добавлено 03.03.09
Критическое обновление для Windows Server 2003 Service Pack 1 и Windows Server 2003 Service Pack 2 — (очень рекомендую не забывать обновлять сервера, спешить конечно тоже не стоит и накатывать всё на все, но и не забывайте! )
Добавлено 11.03.09
По непроверенным данным kido не трогает машины, на которых установлена украинская раскладка клавиатуры.
Добавлено 14.03.09
Разработчики антивируса BitDefender также сделали утилиту для удаления Kido или как они его называют Win32.Worm.Downadup.Gen, скачать можно с ссылка
А так же у них есть «The 30-second Antivirus Scan: BitDefender QuickScan Beta» (30 секундное антивирусное он-лайн сканирование ПК)
P.S. зараженных машин под рукой не было, поэтому эффективность инструмента мной не проверена, но продукты BitDefender штука не плохая.
Добавлено 01.04.09
Это не первоапрельский прикол, действительно уже появился KidoKiller версии 3.4.3 —
Добавлено 09.04.09
Обновилась утилита KidoKiller уже версия 3.4.4 —
Сегодня обнаружил такой факт — если запустить кидокиллера с пользовательскими правами (т.е. работая под учетной записью с правами Пользователь), то утилита работает секунд 5-10 и вылетает с ошибкой! (обратите на это внимание и не забывайте!)
Добавлено 14.04.09
Еще признаки kido
1. Создает на съемных носителях (также на сетевых дисках если доступно на запись) файл autorun.inf и файл RECYCLED\{SID}\random_name.vmx
2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\sfefs.dll
3. Прописывает себя в сервисах со случайным именем, состоящим из латинских букв, например gfjdsnk.
4. Атакует компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Добавлено 16.04.09
Новая версия — KidoKiller 3.4.5
Добавлено 20.04.09
Нашел утилиту (утилита разработана компанией Positive Technologies)
С помощью этой утилиты системные администраторы смогут быстро и легко выявить уязвимые системы и установить соответствующие исправления. Для корректной работы утилиты на системе должен быть установлен.NET Framework.
Внимание! Утилита работает в режиме тестирования на проникновение, в связи с чем, не имеет возможности обнаружить узлы, зараженные червем Conficker.B, поскольку червь устраняет уязвимость MS08-067. Для проверки зараженных систем необходимо использовать механизмы аудита системы MaxPatrol или XSpider.
После последнего посещения вышеуказанных страниц с заплатками, мне показалось что у Микрософт, что-то наверчено и толком по тем ссылкам скачать не получается, вообщем я нашел у них все что нужно и добавляю информацию тут:
Критическое обновление для системы безопасности (заплатки от уязвимости MS09-001):
— Windows XP (SP2, SP3) (KB958687) (MS09-001) —
— Windows Server 2003 (SP1, SP2) (KB958687) (MS09-001) —
Критическое обновление для системы безопасности (заплатки от уязвимости MS08-068):
— Windows XP (SP2, SP3) (KB957097) (MS08-068) —
— Windows Server 2003 (SP1, SP2) (KB957097) (MS08-068) —
Критическое обновление для системы безопасности (заплатки от уязвимости MS08-067):
— Windows XP Rus (SP2, SP3) (KB958644) (MS08-067) —
— Windows Server 2003 Rus (SP1, SP2) (KB958644) (MS08-067) —
уязвимость описанная в MS08-065
Если у вас Microsoft Windows 2000 с пакетом обновления 4 (SP4), то обратите внимание!
Не подвержено уязвимости:
Windows XP с пакетом обновления 2 (SP2) или 3 (SP3)
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)
….
Была проблема (в самом начале эпопеи) — появилась на одном из сетевых дисков папка RECYCLER (типа корзина), но на самом деле не корзина, а создал ее кидо, сразу было видно кто создал (так как на сервере доступ был с паролями), пользователь был почищен и пропатчен, а вот папка не удалялась. Чтобы ее удалить нужно:
1. Войти в ту папку (лучше с коммандера FreeCommander, Total Commander, только не проводником, чтобы не вдруг не активизировать заразу) найти файл, который был не доступен к удалению даже администратору (там было что-то типа jwgkvsq.vmx), на него нужно добавить полный доступ Администратору, остальные можно удалить и можно сменить владельца на Администратор (это все если вы работаете под Администратором и тогда файл получится удалить.
2. Директории я удалил командами типа
rmdir /s /q «./S-5-3-~1»
rmdir /s /q RECYCLER
(до этого я тоже добавил доступ к директориям Админу)
Добавлено 22.04.09
Новая версия — утилита для удаления вируса Kido — KidoKiller 3.4.6
Начиная с версии 3.4.6 в утилиту KK.exe добавлены коды возврата (%errorlevel%):
3 — Были найдены и удалены зловредные потоки (червь был в активном состоянии).
2 — Были найдены и удалены зловредные файлы (червь был в неактивном состоянии).
1 — Были найдены зловредные задания планировщика или перехваты функций (данная машина не заражена, но в этой сети могут находиться зараженные машины — администратору следует обратить на это внимание).
0 — Ничего не было найдено.
P.S. В сети где используется домен(ы) нужно в первую очередь лечить контроллеры домена и компьютеры, на которых залогинены пользователи, входящие в группы «Administrators» и «Domain Admins» в домене. Иначе, лечение бесполезно — все компьютеры, входящие в домен, будут постоянно заражаться.
P.S.S. Смотрим ключи KK
Добавлено 05.05.09
Новая версия утилиты для удаления вируса — KidoKiller 3.4.7
Добавлено 19.05.09
Ключи для запуска утилиты KK.exe из командной строки:
| Параметр | Описание |
| -p | Cканировать определённый каталог |
| -f | Cканировать жёсткие диски, сканировать переносные жесткие диски |
| -n | Cканировать сетевые диски |
| -r | Cканировать flash-накопители |
| -y | Не ждать нажатия любой клавиши |
| -s | «Тихий» режим (без чёрного окна консоли) |
| -l | Запись информации в лог-файл |
| -v | Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l) |
| -z | Восстановление служб · Background Intelligent Transfer Service (BITS), · Windows Automatic Update Service (wuauserv), · Error Reporting Service (ERSvc/WerSvc) |
| -х | Восстановление возможности показа скрытых и системных файлов |
| -a | Отключение автозапуска со всех носителей |
| -m | Режим мониторинга потоков, заданий, сервисов |
| -j | Восстановление ветки реестра SafeBoot (при ее удалении компьютер не может загрузиться в безопасном режиме) |
| -help | Получение дополнительной информации об утилите |
Добавлено 22.10.09
Новая версия утилиты для удаления вируса Kido — KidoKiller 3.4.13
Сейчас в сети миллионы компьютеров заражены вирусом Kido / Conficker . Если у вас не открываются сайты kaspersky.com и microsoft.com (а также других антивирусных компаний) то вы заражены вирусом. Для борьбы с этим вирусом/трояном нужно удалить сам вирус, и затем поставить обновление системы, чтобы предотвратить повторное заражение.
Вот прога которая удаляет вирус и заплатка.
Полезная информация:
Известный под разными именами (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based и т д) и во множестве модификаций, Kido был обнаружен впервые ещё осенью 2008 года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства Microsoft Windows. Благодаря изощренной механике Kido заразил к настоящему моменту более девяти миллионов машин и продолжает распространяться далее. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль - используется перечисление популярных паролей) и съёмные накопители («флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к целому ряду антивирусных сайтов и спокойно занимается лавинным размножением.
Этот троян распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован при помощи UPX. При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.
Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер». Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.
Симптомы "запущенного" состояния: отключена служба восстановления системы; заблокирован доступ к адресам сайтов вирусной безопасности; невозможно включение отображения скрытых папок в Documents and Settings; в локальной сети настает непомерный объем сетевого трафика.
(2
votes, average: 5,00
out of 5)
Многие, наверное слышали о вирусе (configer, kido – это один и тот же вирус), у него ещё много названий. Разные антивирусы определяют название по- своему. Первая версия этого вируса распространялась только по сети, а все последующие версии «научились» распространяться через флеш карты. Вирусом были заражены миллионы компьютеров, во многих странах. Компания Майкрософт, даже обещала награду тому, кто даст информацию о создателе. Так, что же он делает, попав в компьютер?
Первое – пропадает звук на компьютере. Второе – отключается интернет, причём значок уведомления, о том, что интернет подключен не исчезает. Повторное подключение интернета не получается. Помогает только перезагрузка компьютера. Появляется и звук и интернет, но только на то время, пока вирус не начнёт свою очередную атаку. И тут уж, как повезёт- может пройти пять часов, а может и пятнадцать минут. Если вирус не начнёт свою атаку сразу, то может даже показаться, что его и вовсе нет.
Обновлённые версии антивирусов, практически все видят и успешно борются с этим вирусом. Но, если у вас антивирус не обновлялся, то вирус обнаружится только тогда, когда попадёт в систему. Что делать в этом случае?
Если у вас компьютер подключен по сети, к другим компьютерам, то надо отключить сеть. Затем нужно «закрыть дыры», через которые kido проникает к вам, для этого вам нужно обновить систему, полное обновление не обязательно, достаточно скачать вот эти обновления (если у вас хр.): KB957097-x86-RUS, KB958644-x86-RUS, KB958687-x86-RUS. Затем, с помощью программы kidokiller, уничтожаем вирус. После всех этих процедур, поставьте себе хороший антивирус, но тут уж, как говорится на вкус и цвет товарищей нет. Каждый отдаёт предпочтение своему излюбленному антивирусу.
