Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Статьи » Как бороться с сетевым червем Net-Worm.Win32.Kido (Conficker, Downadup)
Статьи

Как бороться с сетевым червем Net-Worm.Win32.Kido (Conficker, Downadup)

автор: Administrator | 12 апреля 2009, 12:54 | Просмотров: 11183
теги: Kido, Conficker, Downadup, описание, удаление, Ключи, утилита, KKiller, Симптомы, заражение



Симптомы заражения:
1. Отключены и/или не можете включить службы:
Windows Update Service
Background Intelligent Transfer Service
Windows Defender
Windows Error Reporting Services

2. Блокирует доступ к адресам, содержащим следующие строки: «« »»

3. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.

4. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.


Краткое описание семейства Net-Worm.Win32.Kido:
»» Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx

»» В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll

»» Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.

»» Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.

»» Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):«« »»


Способы удаления:
Удаление сетевого червя производится с помощью специальной утилиты KKiller.exe

С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
»» Установить патчи, закрывающие уязвимости:«« »»

»» Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

»» Отключить автозапуск исполняемых файлов со съемных носителей.

Удаление сетевого червя утилитой KKiller.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.


Локальное удаление:
1. Скачайте архив KKiller_v3.4.4.zip «« »» и распакуйте его в отдельную папку на зараженной машине.


2. Запустите файл KKiller.exe

По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y


3. Дождитесь окончания сканирования

Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.


4. Выполните полную проверку компьютера с антивирусом, с обновленными антивирусными базами


Централизованное удаление:
1. Скачайте архив KKiller_v3.4.4.zip «« »» и и распакуйте архив


2. В Консоли Kaspersky Administration Kit создайте инсталляционный пакет для приложения KKiller.exe. На этапе выбора дистрибутива приложения выберите вариант Создать инсталляционный пакет для приложения, указанного пользователем.

В поле Параметры запуска исполняемого файла укажите ключ -y для автоматического закрытия окна консоли после того, как утилита отработает.
Как бороться с сетевым червем Net-Worm.Win32.Kido (Conficker, Downadup)



3. На основе данного инсталляционного пакета создайте групповую или глобальную задачу удаленной установки для зараженных или подозрительных компьютеров сети.

Вы можете запустить утилиту KKiller.exe на всех компьютерах вашей сети


4. После того как утилита отработает, выполните сканирование каждого компьютера сети с помощью Антивируса Касперского

Если на компьютере, на котором запускается утилита KKiller.exe, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.


Ключи для запуска утилиты KKiller.exe из командной строки
-p :
Cканировать определённый каталог

-f:
Cканировать жёсткие диски

-n:
Cканировать сетевые диски

-r:
Cканировать flash-накопители

-y:
Не ждать нажатия любой клавиши

-s:
"Тихий" режим (без чёрного окна консоли)

-l :
Запись информации в лог-файл

-v:
Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l)

-z:
Восстановление служб
· Background Intelligent Transfer Service (BITS),
· Windows Automatic Update Service (wuauserv),
· Error Reporting Service (ERSvc/WerSvc)

:
Восстановление возможности показа скрытых и системных файлов

-a:
Отключение автозапуска со всех носителей

-m:
Режим мониторинга потоков, заданий, сервисов

-j:
Восстановление ветки реестра SafeBoot (при ее удалении компьютер не может загрузиться в безопасном режиме)

-help:
Получение дополнительной информации об утилите


Например, для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита KKiller.exe) используйте следующую команду:

kkiller.exe -r -y -l report.txt -v


источник:
kaspersky.ru
microsoft.com

@ Миха
26 мая 2009, 17:26 | |  
Аватар пользователя Миха
карма:
комментариев: 0
новостей: 0
группа: Гости
Очень интересная информация. Всё что касается NOD32 ТО ЭТО ПОЛНОЕ ФУФЛО ДЕЛАЕТ ВОЛНЫ В ТАЗИКЕ орёт как бешенный а не фига удалить не моет help rtfm
@ Administrator
26 мая 2009, 18:07 | |  
Аватар пользователя Administrator
карма: +4676.166
комментариев: 239
новостей: 1005
группа: SysOp
Проблема в том, что для удаления Конфликера, нужно использовать специальную утилиту и не имеет значение какой антивирус Вы используете.

А для надежной защиты, нужно установить последние обновления ПО.
@ Elena37
28 июля 2009, 09:16 | |  
Аватар пользователя Elena37
карма: 0
комментариев: 1
новостей: 0
группа: Посетители
Что мне делать, установила версию kk3.4.7 , но программа не обнаружила ни одного вируса. Тем не менее, диспетчер задач отключен и реестр тоже, открываются только после запуска файла по восстановлению диспетчера задач и реестра. Компьютер домашний, опыта системного администратора у меня нет. Доступа к сайтам безопасности нет. Обнаружила, что инфицирован комп, когда попыталась установить лицензионного касперского, выскочило сообщение, что касперский 2009 установлен. И как мне теперь быть?
@ Administrator
29 июля 2009, 16:06 | |  
Аватар пользователя Administrator
карма: +4676.166
комментариев: 239
новостей: 1005
группа: SysOp
Elena37,
Попробуете сканировать компьютер с помощью бесплатной утилиты Dr.Web CureIt!

Более подробную информацию об этой утилиты можно читать по адресу:
http://www.securrity.ru/soft/263-drweb-cureit.html
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.