Объявление

Хотите приглашение на сайт? Пишите: niikto@samovarchik.info


 

Re: Как бороться с сетевым червем Net-Worm.Win32.Kido

Статья:
Как бороться с сетевым червем Net-Worm.Win32.Kido (другие названия: Conficker, Downadup)

Краткое описание семейства Net-Worm.Win32.Kido.

Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
http://www.getmyip.org

http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://trafficconverter.biz/4vir/antisp … oadadv.exe
http://trafficconverter.biz
http://www.maxmind.com/download/geoip/d … oIP.dat.gz

Способы удаления

Удаление сетевого червя производится с помощью специальной утилиты KKiller.exe.

С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001.

Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому  - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

Отключить автозапуск исполняемых файлов со съемных носителей.

Локальное удаление:

Скачайте архив KKiler_v3.4.4.zip и распакуйте его в отдельную папку на зараженной машине.

Запустите файл KKiller.exe .


По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y.


Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Выполните сканирование всего компьютера

Редактировался P.S. (11.04.2009, 10:43:30)

Re: Как бороться с сетевым червем Net-Worm.Win32.Kido

Ключи для запуска утилиты KKiller.exe из командной строки:



Параметр
Описание
-p <путь для сканирования>
Cканировать определённый каталог.

-f
Cканировать жёсткие диски.

-n
Cканировать сетевые диски.

-r
Cканировать flash-накопители.

-y
Не ждать нажатия любой клавиши.

-s
"Тихий" режим (без чёрного окна консоли).

-l <имя файла>
Запись информации в лог-файл.

-v
Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l)

-z
Восстановление служб
·  Background Intelligent Transfer Service (BITS),
·  Windows Automatic Update Service (wuauserv),
·  Error Reporting Service (ERSvc/WerSvc)


Восстановление возможности показа скрытых и системных файлов.

-a
Отключение автозапуска со всех носителей.

-m
Режим мониторинга потоков, заданий, сервисов.

-j
Восстановление ветки реестра SafeBoot (при ее удалении компьютер
не может загрузиться в безопасном режиме)

-help
Получение дополнительной информации об утилите.

Например, для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита KKiller.exe) используйте следующую команду:

kkiller.exe -r -y -l report.txt -v

Информация скопирована  с сайта Антивируса Касперского Copyright © 1997 - 2009 Kaspersky Lab

Редактировался P.S. (11.04.2009, 10:47:56)

 

Дизайн сайта отсутствует
оформление: Группа «САМОВАРчик»

[ Сгенерировано за 0.021 сек, 8 запросов выполнено - Использовано памяти: 1.88 MiB (Пик: 1.94 MiB) ]