Печать

[Scharchan]

 > С неделю назад на работе началось. Практически все компьютеры в сетке заразились Net-Worm.Win32.Kido. Советы дрвеба и касперского не помогают, заплатки от мелкософта тоже. Нода эта пакость просто пристрелила на месте!!! Администраторша уже серьёзно подумывает об увольнении. Так как вирус уже есть в сети на машине с правами администратора. В этом случае он распространяется через администраторские шары. И как сказали знающие люди тут только формат всех жёстких дисков... а если форматнуть усе машины, то начальство её точно убьёт! Утилита KidoKiller скачана и использовалась... без особого успеха. И Каспер, кстати, хреново его ловит. Отсекает исполняемую часть только. Если развернуть http сервер, кида успевает - все, машину под кидо-киллер.

"Лаборатория Касперского" сообщает о появлении новой версии полиморфного сетевого червя Kido (также известного как Downadup и Conficker), которая отличается от предыдущих разновидностей усиленным вредоносным функционалом.

Новая модификация вредоносной программы Kido, представленная Net-Worm.Win32.Kido.ip, Net-Worm.Win32.Kido.iq и другими вариантами, способна противодействовать работе антивирусных программ, запущенных на зараженном компьютере.

В новой версии существенно возросло количество сайтов, к которым вредоносная программа обращается за регулярными обновлениями: с 250 до 50 000 уникальных доменных имен в день.

"Угрозы возникновения вирусной эпидемии новой разновидности Kido пока нет, – говорит ведущий антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк. – Однако если обновленный Kido сможет собой заменить ранее установленные на зараженных компьютерах модификации, то это может вызвать серьезные проблемы в противодействии создателям вредоносной программы".

Kido представляет собой червя с функционалом типа Trojan-Downloader, то есть он осуществляет доставку других вредоносных программ на зараженный компьютер пользователя. Первые случаи заражения этой вредоносной программой были зафиксированы в ноябре 2008 года.

"Лаборатория Касперского" рекомендует всем пользователям установить обновление для Microsoft Windows http://www.microsoft.com/technet/security/...n/MS08-067.mspx, поскольку вредоносная программа использует критическую уязвимость операционной системы для распространения через локальные сети и съемные носители информации. Антивирусное решение с актуальными сигнатурными базами и настроенный сетевой экран также могут предотвратить заражение.

Кто уже сталкивался, как побороли?

[Nexia клуб - Екатеринбург]

[Георгий]

на "вторичной" работе был такой зверек.
скачать с касперского "кидо-киллер" и все.
запускать желательно на всех машинах в сети.

если не дает зайти на сайт - могу здесь выложить. утилитка осталась.

[Nexia клуб - Екатеринбург]

[Георгий]

http://www.viruslist.com/ru/alerts?alertid=203698715
http://support.kaspersky.ru/wks6mp3/error?qid=208636215

[Nexia клуб - Екатеринбург]

[Scharchan]

на "вторичной" работе был такой зверек.
скачать с касперского "кидо-киллер" и все.
запускать желательно на всех машинах в сети.

если не дает зайти на сайт - могу здесь выложить. утилитка осталась.

dzek, проблема то в следующем: каку-бяку вроде и убили, с контрольным выстрелом в голову... подключение к интернету и... через минуту-две каспер радостно сообщает, что эта пакость опять здесь... и бери лыко и мочало, начинаем всё с начала.... По сему вопрос: это что, сапоги дорогу знают? Как вариант, удаляется вирус не весь и при соединении с нетом, сам себя скачивает и восстанавливает... или такое не возможно? И ли как вариант кто-то эту дрянь постоянно подкидывает...

[Nexia клуб - Екатеринбург]

[Георгий]

лечили то чем? вот этим?
http://support.kaspersky.ru/wks6mp3/error?qid=208636215

этот гад, копирует свой код на все сьемные носители. так что не мудренно что после "лечения" вы его тут же получаете заново через туже флэшку.

[Nexia клуб - Екатеринбург]

[Scharchan]

Лечили этим! Да и чем только не лечили... И после лечения вроде всё гут, до подключения к интернету! Поэтому у меня и возникла версия, что эта бяка-закоряка удаляется не полностью, что-то остаётся чего каспер и кидокиллер не видит... и оно скачивает себя по новой.

[Nexia клуб - Екатеринбург]

[Георгий]

тогда делать анализ куда лезет в инете и заблокировать те ресурсы про которые написаны выше линки...

может еще такое быть. один вылечили, другой его тут же "заражает".
если конечно машин много и они в одной сети.

как вариант "собрать тело вируса" и отправить им на анализ.

[Eddy74]

после нового года эта бяка нам тоже сетку на работе свалила
админы до сих пор не победили
дома и свой рабочий комп защитил следующим образом:
скачал все заплатки которые рекомендует каспер и утилиту кидокиллер + нортон интернет секьюрити
физически отключился от сетки (выдернул кабель), прогнал кидокиллер, поставил заплатки мелкософта, поставил нортон, подключил сетку, обновил антивирусные базы
с тех пор почти забыл про него
иногда логи приходится просматривать для админов, просят ип адреса зараженных компов

[Scharchan]

Итак, мы его победили... по крайней мере уже около суток тишина.
Работать с правами администратора:
- отключить сеть
- В службах найти и отключить службы со случайными именами
- regedit - поиск имени службы, которую отключили. Удалить ключи. Только те, что в разделе services. LEGASY не трогать!!!
- в папке
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\ удалить все файлы .jpg. Не пытайтесь их посмотреть - это вирусы. Ну, заодно, по другим Temporary Internet Files\Content.IE5 пройтись надо.
Далее.
dll-ка сидит в System32. имя тоже случайное, с именем службы не совпадает wink.gif.
Замечательно лечится Trojan Remover'ом с базами не позже 25 декабря.
- перезагрузиться.
Ключи реестра удалять осторожно, лучше какой-нить прогой, что создает бэкапы. Потому что если удалите лишнее, в сетевом окружении пропадают значки подключений по локальной сети и восстановить их можно только переустановкой винды.
Ну, вот, собственно, и всё. Минут 30 на комп. Да, админские ресуры типа C$, admin$ ДОЛЖНЫ БЫТЬ ОТКЛЮЧЕНЫ!
Лечили эту штуку с помощью ZoneAlarm и Trojan remover. Быстро и эффективно.

[Nexia клуб - Екатеринбург]