Як боротися з мережним хробаком Net-Worm.Win32.Kido?

Мережевий черв'як Net-Worm.Win32.Kido при поширенні використовує уразливість в службі Сервер (Server) Операційних систем сімейства Windows. Дана уразливість була виявлена в кінці жовтня 2008 року і описана в бюлетені безпеки Microsoft MS08-067 . При успішній експлуатації уразливості шкідливе ПЗ створює файл з випадковим ім'ям в системному каталозі%SystemRoot% \ system32 \. Характерною рисою активності представників цього сімейства шкідливих програм є блокування доступу до низки ресурсів мережі Інтернет. Поряд з ресурсами антивірусних компаній – "Лабораторії Касперського", "Доктор Веб", ESETNet-Worm.Win32.Kido блокує доступ користувачів до доменного імені містить слово "virus", З метою не дозволити власникам заражених комп'ютерів пройти лікування на сайтах допомоги користувачам, в тому числі і на VirusInfo.

Симптоми зараження в мережі:

1.При наявності заражених комп'ютерів в локальній мережі підвищується обсяг мережного трафіку, оскільки з цих комп'ютерів починається мережева атака.

2.Антівірусние додатки з активним мережевим екраном повідомляють про атаку Intrusion.Win.NETAPI.buffer-overflow.exploit.

Короткий опис сімейства Net-Worm.Win32.Kido.

  • Створює на знімних носіях (іноді на мережевих дисках загального користування) файл autorun.inf і файл RECYCLED \ {SID} \ RANDOM_NAME.vmx
  • В системі хробак зберігається у вигляді dll-файлу з випадковим ім'ям, що складається з латинських букв, наприклад c: \ windows \ system32 \ zorizr.dll
  • Прописує себе в сервісах – так само з випадковим ім'ям, що складається з латинських букв, наприклад knqdgsm.
  • Намагається атакувати комп'ютери мережі по 445 або 139 TCP порту, використовуючи вразливість в ОС Windows MS08-067.

Як видалити даний вірус:

1. Відключити від мережі комп'ютер

2. Встановити патч від MS (MS08-067)

3. Встановити криптостійкі (пароль повинен містити не менше шести символів, з використанням різних регістрів і / або цифр) паролі для всіх локальних облікових записів.

4. Запустити утиліту Kido Killer.

5. Відключити автозапуск виконуваних файлів зі знімних носіїв.

Один із способів. Відкрийте блокнот. Скопіюйте наступний текст:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Cdrom] "AutoRun" = dword: 00000000 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ NoDriveTypeAutoRun] "NoDriveTypeAutoRun" = dword: 000000b1 [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer] "NoDriveTypeAutoRun" = dword: 000000b1

Збережіть у файл з розширенням. Reg і запустіть.

Використані наступні джерела:

  • virusinfo.info - провідний російський інформаційно-аналітичний ресурс у сфері лікування персональних комп'ютерів від шкідливих програм
  • support.kaspersky.ru - сторінка техпідтримки лабораторії Касперського

Category: Інтернет

Comments (Прокоментуй!)

There are no comments yet. Why not be the first to speak your mind.

Leave a Reply