Симптомы заражения в сети
- При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
- Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
- Часто вылетают звуковые драйвера.
- Ошибка generic host process failed.
- Блокировка адресов автоматических обновлений , антивирусов и microsoft.com
Краткое описание семейства Net-Worm.Win32.Kido.
- Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED{SID<….>}RANDOM_NAME.vmx
- В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:windowssystem32zorizr.dll
- Прописывает себя в сервисах — так же со случайным именем, состоящим из латинских букв, например knqdgsm.
- Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
- Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
- http://www.getmyip.org
- http://getmyip.co.uk
- http://www.whatsmyipaddress.com
- http://www.whatismyip.org
- http://checkip.dyndns.org
- http://schemas.xmlsoap.org/soap/envelope/
- http://schemas.xmlsoap.org/soap/encoding/
- http://schemas.xmlsoap.org/soap/envelope/
- http://schemas.xmlsoap.org/soap/encoding/
- http://trafficconverter.biz/4vir/antispyware/loadadv.exe
- http://trafficconverter.biz
- http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz
Способы удаления
Удаление сетевого червя производится с помощью специальных утилит:
Утилита от ESET EConfickerRemover.
kkiller_v344 (обновленная)
Ключи для запуска утилиты KK.exe из командной строки:
Параметр | Описание |
-p <путь для сканирования> | Cканировать определённый каталог. |
-f | Cканировать жёсткие диски. |
-n | Cканировать сетевые диски. |
-r | Cканировать flash-накопители. |
-y | Не ждать нажатия любой клавиши. |
—s | «Тихий» режим (без чёрного окна консоли). |
-l <имя файла> | Запись информации в лог-файл. |
-v | Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l) |
—z | Восстановление служб · Background Intelligent Transfer Service (BITS), · Windows Automatic Update Service (wuauserv), · Error Reporting Service (ERSvc/WerSvc) |
-х | Восстановление возможности показа скрытых и системных файлов. |
—a | Отключение автозапуска со всех носителей. |
—m | Режим мониторинга потоков, заданий, сервисов. |
-j | Восстановление ветки реестра SafeBoot (при ее удалении компьютер
не может загрузиться в безопасном режиме) |
-help | Получение дополнительной информации об утилите. |
Например, для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита KK.exe) используйте следующую команду:
kk.exe -r -y -l report.txt -v
А вот еще 2 утилитки
Обновленные версии Утилиты от BitDefender :
И еще утилита для Сетевого лечения:
Лечит сразу несколько компьютеров в сети (требуется аутентификация)
Так же обновилось средство удаления вредоносного кода от самой Microsoft:
С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
- Установить патч, закрывающий уязвимость MS08-067. Линки на патчи ниже)
- Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому — пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
- Отключить автозапуск исполняемых файлов со съемных носителей.
Линки на патчи для разных ОС:
Windows XP:
Windows XP x64 Edit:
windowsserver2003windowsxp-kb958644-x64-enu
Windows Vista:
Windows 2003 Server:
После сканирования одной из утилит (или всемми для верности, но по идее хватит и любой из них) устанавиваем пачти из архива для Вашей ОС.
Удачи !!!
ЗЫ. От себя добавлю что на Windows Vista (SP1) и Windows 7(c WU) эта гадость не пролезла.
ЗЫЫ. Утилиты обновлены от 14.04.09
Действовал согласно указанным инструкциям, реально помогло!!!
Immunohistochemistry was performed on 4 Ојm formalin fixed, paraffin embedded kidney sections using antibodies as indicated
Published 07 December 2010 Kinoshita S, Oshiden K, Awamura S, Suzuki H, Nakamichi N, Yokoi N, et al
Can you be more specific about the content of your article? After reading it, I still have some doubts. Hope you can help me.