Атака на вируса Kido) - Технологии - Компютър
kido, познат под различни имена (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based и т.н.) и в множество вариации, Kido беше открит за първи път миналата есен, почти веднага след оповестяването на информацията за уязвимостта MS08-67 в операционните системи от фамилията MS Windows.
Действия на вируса kido
В допълнение към атаката на "пропусклива" услуга, вирусът Kido може да зарази мрежови устройства (избиране на парола, ако е необходимо) и сменяеми устройства ("флаш устройства"): Kido оставя файл autorun.inf върху тях, който се стартира автоматично при отваряне на диск или дори при обикновено свързване на "флаш устройство" - разбира се, ако потребителят не е деактивирал функцията за автоматично стартиране. Веднъж попаднал на компютъра, вирусът kido дезактивира някои системни услуги, за да предотврати откриването и премахването му, блокира достъпа до впечатляващ брой антивирусни сайтове със същата цел и тихо лавинообразно се разпространява. Благодарение на сложната механика, Kido е заразил повече от девет милиона машини до момента и продължава да напредва. Тази злонамерена и не много небрежна програма, според F-Secure, е създадена, за да формира ботнети, за да извлече печалба от нея или да продава на едро. За съжаление, в момента няма недостиг на търсене на работещи ботнети. Освен това, „Създателите на този kido вирус все още не са го използвали. Но те могат да правят каквото си искат със заразените машини по всяко време “, казва главният съветник по сигурността на F-Secure, Патрик Руналд.
Мрежовият червей kido се разпространява чрез локална мрежа или чрез преносим носител. Програмата е динамична библиотека на Windows (PE DLL файл). Размерът на компонентите е 165840 байта. Опаковано детес UPX. Разпространение на преносими носители
Вирусът kido копира своя изпълним файл на всички преносими устройства със следното име:
:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\ .vmx, където rnd е произволна последователност от малки букви, X е буквата на устройството.
Също така, заедно със своя изпълним файл, червеят поставя придружаващ файл в корена на всеки диск: :\autorun.inf
Този файл стартира изпълнимия файл на червея всеки път, когато потребител отвори заразен дял с помощта на програмата Explorer.
Червеят също изтегля файла от следната връзка: trafficconverter.biz/*****/antispyware/loadadv.exe
Изтеглените файлове се записват в системната директория на Windows (%System%) с оригиналните имена.
Когато компютър е заразен, червеят kido стартира HTTP сървър на произволен TCP порт, който след това се използва за изтегляне на изпълнимия файл на червея на други компютри.
Симптоми на инфекция и буйстване на вируса:
Лечение на влечуги (кидо вирус):
Изключете компютъра или всички компютри от локалната мрежа, деактивирайте автоматичното стартиране на сменяеми носители и приложете едно от решенията: Решение 1 от Kaspersky Lab Решение 2 от Doctor Web След това инсталирайте 3 корекции 2 на Windows XP2 и една на Windows XP3:
MS08-067 MS08-068 MS09-001
Kido атаките от заразени компютри ще продължат, така че ако все още нямате, инсталирайте антивирусна (в момента всички антивирусни реагират на нея) и специален софтуер, който да блокира всяка инфекция, идваща от "флашки" или сменяеми устройства.
Изтегляне: Инструментариум и отрова за KIDO Първият признак за инфекция с kido е, когато не можете да получите достъп до официалния уебсайт на лабораториятаKaspersky.
Най-лесният начин за лечение на компютър от Kido.bt (.wd .ws .wr .dd .fd .df .ss): 1 Поставете флаш устройство в компютъра (за предпочитане форматирано така, че да няма папка Recycler върху него, ще научите защо по-късно) 2 Папката Recycler се появява на флаш устройството (ако имате Kido, то така или иначе се изкачва на флаш устройството - един от методите за разпространение) 3 В тази папка Recycler намираме файла (той отново е сам в отделна папка) 4 Чрез Total Commander определяме дължината на файла в байтове 5 Отново чрез Total Commander търсим файл с точно тази дължина в папката System System32 (изисква се в байтове) 6 Унищожаваме всички намерени файлове (просто ВНИМАТЕЛНО гледайте кои файлове изтриваме, защото тази инфекция, особено Kido.ss, има тенденция да адаптиране към системни файлове)
Kidou действа като бомба! Не става от само себе си, а само с някакво действие, което дявол знае!
ВНИМАНИЕ! Ако Kaspersky намери kido на вашия компютър, но когато поставите флаш устройство и след няколко опита няма папка Recycler с файл вътре, тогава трябва да сте разочаровани. Кидо вирусът е МОДИФИЦИРАН! И да го хване вече не е реалистично. Остава само Format C: D: E:… само трябва да форматирате всички дискове, а не само на които е операционната система, няма друг изход, иначе след като форматирате например само C устройството и инсталирате Windows на него, след стартиране ще се изкачи от заразените дискове на C, има такава спецификация, ударете всичко, където можете да пропълзите и да спасите тялото си.
Има и друг начин за премахване на мрежовия червей Kido (за по-опитните, защото като промените нещо в системния регистър, можете да кажете сбогом на операционната система) Препоръки за премахване на вируса Kido
Ако вашият компютър не е бил защитен от антивирусна програма и е бил заразентази злонамерена програма, а след това, за да я премахнете, използвайте специална помощна програма и препоръки за премахване, които можете да изтеглите от следната връзка: Cure for Kido virus
или направете следното: Изтрийте ключа на системния регистър: [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] Изтрийте низа "%System%\.dll" от стойността на следната стойност на ключ на системния регистър: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" Рестартирайте компютъра Изтрийте оригиналния файл на червея (местоположението му на заразения компютър зависи от това как програмата е попаднала в компютъра). Изтриване на файл:
%System%\ .dll, където е произволна последователност от знаци. Изтрийте следните файлове от всички преносими носители: