Симптомы заражения в сети
- При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
- Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
- Часто вылетают звуковые драйвера.
- Ошибка generic host process failed.
- Блокировка адресов автоматических обновлений , антивирусов и microsoft.com
Краткое описание семейства Net-Worm.Win32.Kido.
- Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED{SID<….>}RANDOM_NAME.vmx
- В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:windowssystem32zorizr.dll
- Прописывает себя в сервисах — так же со случайным именем, состоящим из латинских букв, например knqdgsm.
- Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
- Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
- http://www.getmyip.org
- http://getmyip.co.uk
- http://www.whatsmyipaddress.com
- http://www.whatismyip.org
- http://checkip.dyndns.org
- http://schemas.xmlsoap.org/soap/envelope/
- http://schemas.xmlsoap.org/soap/encoding/
- http://schemas.xmlsoap.org/soap/envelope/
- http://schemas.xmlsoap.org/soap/encoding/
- http://trafficconverter.biz/4vir/antispyware/loadadv.exe
- http://trafficconverter.biz
- http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz
Способы удаления
Удаление сетевого червя производится с помощью специальных утилит:
Утилита от ESET EConfickerRemover.
kkiller_v344 (обновленная)
Ключи для запуска утилиты KK.exe из командной строки:
Параметр | Описание |
-p <путь для сканирования> | Cканировать определённый каталог. |
-f | Cканировать жёсткие диски. |
-n | Cканировать сетевые диски. |
-r | Cканировать flash-накопители. |
-y | Не ждать нажатия любой клавиши. |
—s | «Тихий» режим (без чёрного окна консоли). |
-l <имя файла> | Запись информации в лог-файл. |
-v | Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l) |
—z | Восстановление служб · Background Intelligent Transfer Service (BITS), · Windows Automatic Update Service (wuauserv), · Error Reporting Service (ERSvc/WerSvc) |
-х | Восстановление возможности показа скрытых и системных файлов. |
—a | Отключение автозапуска со всех носителей. |
—m | Режим мониторинга потоков, заданий, сервисов. |
-j | Восстановление ветки реестра SafeBoot (при ее удалении компьютер
не может загрузиться в безопасном режиме) |
-help | Получение дополнительной информации об утилите. |
Например, для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита KK.exe) используйте следующую команду:
kk.exe -r -y -l report.txt -v
А вот еще 2 утилитки
Обновленные версии Утилиты от BitDefender :
И еще утилита для Сетевого лечения:
Лечит сразу несколько компьютеров в сети (требуется аутентификация)
Так же обновилось средство удаления вредоносного кода от самой Microsoft:
С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
- Установить патч, закрывающий уязвимость MS08-067. Линки на патчи ниже)
- Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому — пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
- Отключить автозапуск исполняемых файлов со съемных носителей.
Линки на патчи для разных ОС:
Windows XP:
Windows XP x64 Edit:
windowsserver2003windowsxp-kb958644-x64-enu
Windows Vista:
Windows 2003 Server:
После сканирования одной из утилит (или всемми для верности, но по идее хватит и любой из них) устанавиваем пачти из архива для Вашей ОС.
Удачи !!!
ЗЫ. От себя добавлю что на Windows Vista (SP1) и Windows 7(c WU) эта гадость не пролезла.
ЗЫЫ. Утилиты обновлены от 14.04.09
