Служба технической поддержки уведомляет клиентов Лаборатории Касперского о том, что в настоящий момент возросло количество обращений по факту заражения рабочих станций и серверов под управлением операционных систем Windows штаммами сетевого червя Net-Worm.Win32.Kido.
Симптомы заражения в сети
1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
Краткое описание семейства Net-Worm.Win32.Kido.
1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
3. Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
4. Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
5. Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
* http://www.getmyip.org
* http://getmyip.co.uk
* http://www.whatsmyipaddress.com
* http://www.whatismyip.org
* http://checkip.dyndns.org
* http://schemas.xmlsoap.org/soap/envelope/
* http://schemas.xmlsoap.org/soap/encoding/
* http://schemas.xmlsoap.org/soap/envelope/
* http://schemas.xmlsoap.org/soap/encoding/
* http://trafficconverter.biz/4vir/antisp ... oadadv.exe
* http://trafficconverter.biz
* http://www.maxmind.com/download/geoip/d ... oIP.dat.gz
Способы удаления
Удаление сетевого червя производится с помощью специальной утилиты KKiller.exe.
ВниманиеС целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
o Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001.
o Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
o Отключить автозапуск исполняемых файлов со съемных носителей.
Удаление сетевого червя утилитой KKiller.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.
Локальное удаление:
1. Скачайте архив KKiller_v3.4.3.zip и распакуйте его в отдельную папку на зараженной машине.
2. Запустите файл KKiller.exe .
Замечание
По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y.
3. Дождитесь окончания сканирования.
ВниманиеЕсли на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
4. Выполните сканирование всего компьютера с помощью Антивируса
патчи:
http://www.microsoft.com/technet/securi ... 8-067.mspx
http://www.microsoft.com/technet/securi ... 8-068.mspx
http://www.microsoft.com/technet/securi ... 9-001.mspx