Страница 1 из 5

KIDO вирус

СообщениеДобавлено: 10 фев 2009 10:03
Diesel
утилита для удаления вируса: ftp://ftp.freedom-vrn.ru/support/kidoKiller/kk.zip (Текущая версия 3.4.10)
Скачайте архив KK.zip и распакуйте его в отдельную папку на зараженной машине.

Запустите файл KK.exe .


По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KK.exe с ключом -y.

Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KK.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.


Лечение Generic Host
Сами патчи можно скачать тут: ftp://ftp.freedom-vrn.ru/updates/Generic_host_err_fix/
правда для XP
для Windows XP SP1 - KB921883 и KB923414;
для Windows XP SP2 - KB923414, KB924270 и KB958644;
для Windows XP SP3 - KB958644

Еще вышло какое-то новое. Лучше его тоже установить. KB958687

СообщениеДобавлено: 13 фев 2009 21:05
Diesel
Net-Worm.Win32.Kido он же Downadup он же Conficker Недавно разразилась эпидемия. Около 10 миллионов компьютеров было заражено данным зловредом, большая часть из зараженных компьютеров пришлась на Россию. Эпидемия разрасталась как снежный ком, этим самым в начале очень озаботив своими темпами заражения всех. Вирус использовал уязвимость Windows. 23 октября майкрософт выпустил обновление безопасности, нацеленное на закрытие лазейки через которую проникает вирус на компьютер. Хотя обновление вышло в конце октября, основной пик заражения пришелся на январь.
Каждая копия вируса синхронно генерирует 250 доменных имен и пытается связаться с соответствующими серверами.
Пока сильной деструктивной деятельности кроме процесса размножения и внедрения своего кода в адресное пространство одного из запущенных системных процессов svchost.exe, что влечет за собой отключение восстановления системы и блокировки ряда адресов, выключения обновления антивируса установленного на зараженной машине не обнаружено.
Но есть очень неприятный момент. Данный вирус способен скачивать с некоторых адресов некоторые файлы и прописывать их в Windows (%System%) не скрывая своего имени и ту же запускать на выполнение. Вот это уже самый тревожный симптом, говорящий о том, что на вашем компьютере открыты ворота, а вот что в эти ворота пролезет через очередные модификации остается гадать.

Настало время поговорить об основных симптомах, которые вызывают вирусы данного семейства.
Начнем с того, что данный зловред устанавливает свой исполняемый файл, т.е тело в
<буква диска>\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\случайная последовательность символов, так же в корень диска вирус устанавливает свой сопровождающий файл <буква диска>:\autorun.inf с помощью которого вызывается само тело вируса.

Основным и первым симптомом заражения является невозможность просмотра скрытых файлов на компьютере. Вирус создает после запуска архивный системный файлик с атрибутами скрытый и только для чтения, вот именно этим отключением скрытых файлов он себя и укрывает в системе.
Ещё одним симптомом является увеличение сетевого трафика. Атакует по 445 или 139 TCP портам, т.е повышенная активность именно на этих портах
Следующий неприятный симптом - это отключение вирусом прав администратора на редактирование своего файла, оставляя ему только права чтения. Из-за этого многие попытки удалить вирус заканчивались неудачей, так как он снова восстанавливал себя.
Следующим симптомом является то, что вирус создает правило исключения себя для фаервола. Эти исключения можно удалить из настроек фаервола в последствии.
В общем при всей простоте укрытия червь достаточно сильно веселится в реестре, и даже после полного удаления он может оставлять следы в Temporary Internet Files.

Но не все так плохо. Наконец-то вендоры антивирусного ПО встряхнулись от оцепенения и начали борьбу. Лаборатория Касперского и ESET выпустили специальные утилиты для лечения именно этого типа вирусов. Данные утилиты примечательны тем, что их можно запускать на уже зараженной машине, когда основной антивирус уже не справляется.
Лаборатория Касперского выпустила утилиту kidokiller.exe.
Для сканирования и лечения надо скачать утилиту прямая ссылка на скачивание с лаборатории касперского распаковать и запустить, желательно с ключом с ключом -y. Если запустить без этого ключа, то для закрытия активного окна командной строки придется нажать любую клавишу. С ключом окно закроется автоматически после работы. Для тех, у кого установлен Agnitum Outpost Firewall потребуется ребут после работы утилиты.

Компания ESET тоже уже выпутила утилиту по борьбе с данным вирусом. Утилита называется EConfickerRemover.exe Прямая ссылка на скачивание с eset.com

Пока удалось остановить эпидемию вируса, теперь его распространение не так активно. Будем надеяться на лучшее. Установите обновление безопасности от майкрософт, закройте порты 445 и 139 TCP на вход и выход, и не "болейте", потому что лучше предотвратить чем лечить.

СообщениеДобавлено: 18 фев 2009 21:58
I{@p@T|Y3
утилиты тупо зачищают реестр, лучше сию срань не ловить. либо придется ручками ковыряться. а военные самолеты в Париже из-за этой бяки не взлетели :). что-то новенькое :)

СообщениеДобавлено: 19 фев 2009 15:12
Diesel
А если все же кто то поймал, то что??? Облить системник напалмом и поджечь а то что осталось под пресс пустить?? Хорошо что у США стелсы не зависли в воздухе и шатл не упал.

СообщениеДобавлено: 19 фев 2009 20:40
Edo
К сожалению я стал одним из счастливых обладателей вышеописанного вируса. Мало того,сам того не подозревая, заразил и ноутбук.Антивирус (нод32)и утилиты майкрософта кое-как остановили агрессию-но видимо многое уже попорчено.Окна со всякими svhost.exe,ps.exe и т.п. до сих пор выскакивают, хотя уже не беспокоят,как раньше. Полагаю придется переустанавливать windows,что скажете?

СообщениеДобавлено: 19 фев 2009 21:07
Diesel
Да что тут посоветуешь.... сохранить инфу на носитель типа болванка обыкновенная, отформатировать винт и ставить систему на чистый, только сразу с заплатками.

СообщениеДобавлено: 19 фев 2009 21:17
Edo
Спасибо! Так и думал! Кстати при просмотре записанного фильма на DVD плеере, меню показало наличие еще одной папки на диске -"RECYCLER" - вот ведь какая дрянь, всюду лезет!

СообщениеДобавлено: 20 фев 2009 00:22
I{@p@T|Y3
Diesel писал(а):А если все же кто то поймал, то что??? Облить системник напалмом и поджечь а то что осталось под пресс пустить?? Хорошо что у США стелсы не зависли в воздухе и шатл не упал.
http://aborche.livejournal.com/2342.html . Когда-то статья этого автора "PE_SALITY. корпоративная угроза !!!" уже цитировалась :). А так часа полтора под пиво и усе... Far, AVZ, regedit...

СообщениеДобавлено: 20 фев 2009 04:16
Diesel
Я не спорю, но не каждый полезет ковырять реестр. Некоторые еще не знают как компьютер правильно включать и выключать... а тут реест. Спасибо за ссылку, может кому она и поможет.

СообщениеДобавлено: 20 фев 2009 21:45
Edo
Diesel писал(а): Некоторые еще не знают как компьютер правильно включать и выключать... а тут реест

Совершенно согласен! Мне ,например, как среднестатистическому пользователю, ссылка не помогла, а ведь таких как я - тысячи. Многие в отчаянии - что делать? Ведь так не хочется все сносить.

СообщениеДобавлено: 20 фев 2009 22:44
I{@p@T|Y3
Edo писал(а):Мне ,например, как среднестатистическому пользователю, ссылка не помогла, а ведь таких как я - тысячи. Многие в отчаянии - что делать? Ведь так не хочется все сносить.
Уже другие изменения есть :(. Поэтому пояндексить или погуглить что-то типа "kido (Конфикер) лечение", скачать заплатки на винду и лечилки на выбор либо от каспера, либо от вэба (предпочитаю, имхо), отрубить комп от сетки, отлечиться, малая толика кривизны со временем исчезнет до следующей мудификации :) а может ее и не будет (кривизны). И взять все же какой-нибудь твик (настройщик) хоть бы и триальный (с ограничением по времени работы) и отрубить нахфик автозапуски на будущее, не надо лениться хоть что-то ручками делать :) Найти файло средствами проводника не удастся, т.к. будет не видно скрытых файлов, а в свойствах папок возможность изменения исчезает. Либо ставить Far Manager, либо Total Commander. Но лучше личилками от профи... которые может и сами вирусню написали ;). Удачи.
З.Ы. Если компы в корпоративной локалке, то лучше позвать знающего друга и не пользоваться личилками "левых" (хоть и правых фирм) последствия могут оказаться плачевными. Прецеденты есть. Или Кашперовича или дохтура хватает.

СообщениеДобавлено: 21 фев 2009 20:30
Diesel
если о дохтуре какой от drweb то ну его в топку. Более дырявого антивируса я еще не видел.

СообщениеДобавлено: 24 фев 2009 22:09
SHPALA
Народ, посоветуйте как быть? Поставил заплатку от вируса, мне помогло интернет прерстал отваливаться! Друг ставил, тоже всё отлично! А вот племяшка(по моему совету :oops: ) поставила, комп у неё сразу сам начал перезагружаться и теперь постоянно, после включения сам перезагружаеться! Что надо сделать, чтоб остановить этот бесконечный процесс? Спасите, иначе она меня порвёт! :suicide:

СообщениеДобавлено: 24 фев 2009 22:33
Michael
SHPALA
В безопасном режиме получается загрузиться?

СообщениеДобавлено: 24 фев 2009 22:38
SHPALA
Michael
Ну я не пробовал, комп не у меня дома. А она (племяшка), в нём не разбераеться.
Как она говорит, комп включаеться, появляетья рабочий стол и сразу следует перезагрузка...