Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 3 из 3

Тема: Как бороться с сетевым червем Net-Worm.Win32.Kido (другие названия: Conficker, Downad

Понравилась статья? Поделись с друзьями!
  1. #1
    Аватар для Aibolit
    Aibolit
    Aibolit вне форума

    Администратор
    Регистрация
    22.03.2011
    Сообщений
    941
    Поблагодарил(а)
    690
    Благодарностей
    304

    Как бороться с сетевым червем Net-Worm.Win32.Kido (другие названия: Conficker, Downad

    Краткое описание семейства Net-Worm.Win32.Kido

    • Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
    • В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
    • Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
    • Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
    • Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):

    Симптомы заражения

    1. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

      ВАЖНО!
      Постоянное появление сообщений об атаках свидетельствует о заражении удаленного компьютера (чей адрес указан в сообщении об атаке). Для предотвращения атак необходимо пролечить его, если есть такая возможность.
    2. Невозможно получить доступ к сайтам большинства антивирусных компаний, например, avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.
    3. Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно и возникает одна из ошибок:


    • Ошибка активации. Процедура активации завершилась с системной ошибкой 2.
    • Ошибка активации. Невозможно соединиться с сервером.
    • Ошибка активации. Имя сервера не может быть разрешено.

    Способы защиты от заражения

    Операционные системы MS Windows 95/MS Windows 98/MS Windows Me не подвержены заражению данным сетевым червем.

    С целью предохранения от заражения необходимо выполнить следующие действия:

    1. Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001 (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его).
    2. Отключить автозапуск исполняемых файлов со съемных носителей:


    • скачайте архив http://support.kaspersky.ru/downloads/utils/kk.zip и распакуйте его в отдельную папку на компьютере, например, на диск С;
    • запустите файл kk.exe с ключом -a с помощью командной строки:

    • Чтобы запустить командную строку

      • Для ОС Windows Vista: Пуск - Все программы - Стандартные - Выполнить - наберите команду cmd
      • Для ОС Windows XP/Server: Пуск - Выполнить - наберите команду cmd
    • Чтобы осуществить запуск файла kk.exe с ключом -a

      • Необходимо указать местоположение файла kk.exe.
      • Например, команда для запуска утилиты с ключом , сохраненной на диске С будет выглядеть вот так:
      • "С:\kk.exe -a" и нажмите Enter.

    Лечение компьютера от заражения
    1. Скачайте архив kk.zip и распакуйте его в отдельную папку на зараженном компьютере.
    2. Отключите компонент Файловый Антивирус на время работы утилиты, если у вас на зараженном компьютере установлены следующие программы Лаборатории Касперского:
      - Kaspersky Internet Security 2011;
      - Антивирус Касперского 2011;
      - Kaspersky Internet Security 2010;
      - Антивирус Касперского 2010;
      - Kaspersky Internet Security 2009;
      - Антивирус Касперского 2009;
      - Kaspersky Internet Security 7.0;
      - Антивирус Касперского 7.0;
      - Kaspersky Internet Security 6.0;
      - Антивирус Касперского 6.0.
    3. Запустите файл kk.exe.
      При запуске файла kk.exe без указания каких-либо ключей утилита останавливает активное заражение (удаляет потоки, снимает перехваты), выполняет сканирование основных мест, подверженных заражению, сканирует память, чистит реестр, проверяет flash-накопители.
    4. Дождитесь окончания сканирования.
      По окончании сканирования на компьютере утилита будет ожидать нажатия любой клавиши для закрытия.
      Если на компьютере, на котором запускается утилита KidoKiller, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
    5. Выполните сканирование всего компьютера с помощью Антивируса Касперского.


    Ключи для запуска файла kk.exe из командной строки



    Параметр Описание
    -p <путь для сканирования> Сканировать определенный каталог
    -f Сканировать жесткие диски, переносные жесткие диски
    -n Сканировать сетевые диски
    -r Сканировать flash-накопители
    -y Не ждать нажатия любой клавиши
    -s Silent- режим (без черного окна консоли)
    -l <имя файла> Запись информации в файл отчета
    -v Ведение расширенного отчета (параметр -v работает только в случае,
    если в командной строке указан также параметр -l)
    -z Восстановление служб:

    Background Intelligent Transfer Service (BITS),
    Windows Automatic Update Service (wuauserv),
    Error Reporting Service (ERSvc/WerSvc)
    Восстановление возможности показа скрытых и системных файлов
    -a Отключение автозапуска со всех носителей
    -m Режим мониторинга потоков, заданий, сервисов.
    В этом режиме утилита постоянно находится в памяти и периодически
    проводит сканирование потоков, сервисов, заданий планировщика -
    при обнаружении заражения выполняется лечение и продолжение
    мониторинга
    -j Восстановление ветки реестра Safe Boot (при ее удалении компьютер
    не может загрузиться в безопасном режиме)
    -help Получение дополнительной информации об утилите

    Например:
    для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится файл kk.exe) используйте следующую команду:
    kk.exe -r -y -l report.txt -v

    для сканирования другого раздела диска, например, D используйте команду:

    kk.exe -p D:\

    Источник support.kaspersky.ru

  2. 2 пользователей сказали cпасибо Aibolit за это полезное сообщение:

    ANDYBOND (25.09.2011), Дархан (13.07.2013)

  3. #2
    Аватар для Дархан
    Дархан
    Дархан вне форума

    Новичок
    Регистрация
    04.11.2011
    Адрес
    Кокшетау
    Сообщений
    26
    Поблагодарил(а)
    14
    Благодарностей
    2
    Если компьютер подключен к сети, желательно на время проверки отключить сеть, проверить KidoKillerom, установить патчи и только потом включать сеть. Довелось уже столкнуться с этой заразой. Кто знает как узнать с какого компьютера идет сетевая атака? Установлен Nod32 EES, постоянно удаляет один и тот же вирус в папке system32

  4. #3
    ololo11 вне форума

    Новичок
    Регистрация
    13.07.2016
    Сообщений
    8
    Поблагодарил(а)
    0
    Благодарностей
    0
    Была подобная проблема - посог только AVZ


 

 

Похожие темы

  1. Net-Worm.Win32.Kido.ih
    от Мирный Атом в разделе Описание вирусов
    Ответов: 1
    Последнее сообщение: 23.03.2011, 00:20
  2. Net-Worm.Win32.Kido.ir
    от Мирный Атом в разделе Описание вирусов
    Ответов: 0
    Последнее сообщение: 22.03.2011, 19:08

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •