Вы не вошли.
Страницы 1
Статья:
Как бороться с сетевым червем Net-Worm.Win32.Kido (другие названия: Conficker, Downadup)
Краткое описание семейства Net-Worm.Win32.Kido.
Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://trafficconverter.biz/4vir/antisp … oadadv.exe
http://trafficconverter.biz
http://www.maxmind.com/download/geoip/d … oIP.dat.gz
Способы удаления
Удаление сетевого червя производится с помощью специальной утилиты KKiller.exe.
С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001.
Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
Отключить автозапуск исполняемых файлов со съемных носителей.
Локальное удаление:
Скачайте архив KKiler_v3.4.4.zip и распакуйте его в отдельную папку на зараженной машине.
Запустите файл KKiller.exe .
По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y.
Дождитесь окончания сканирования.
Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
Выполните сканирование всего компьютера
Редактировался P.S. (11.04.2009, 10:43:30)
Ключи для запуска утилиты KKiller.exe из командной строки:
Параметр
Описание
-p <путь для сканирования>
Cканировать определённый каталог.
-f
Cканировать жёсткие диски.
-n
Cканировать сетевые диски.
-r
Cканировать flash-накопители.
-y
Не ждать нажатия любой клавиши.
-s
"Тихий" режим (без чёрного окна консоли).
-l <имя файла>
Запись информации в лог-файл.
-v
Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l)
-z
Восстановление служб
· Background Intelligent Transfer Service (BITS),
· Windows Automatic Update Service (wuauserv),
· Error Reporting Service (ERSvc/WerSvc)
-х
Восстановление возможности показа скрытых и системных файлов.
-a
Отключение автозапуска со всех носителей.
-m
Режим мониторинга потоков, заданий, сервисов.
-j
Восстановление ветки реестра SafeBoot (при ее удалении компьютер
не может загрузиться в безопасном режиме)
-help
Получение дополнительной информации об утилите.
Например, для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита KKiller.exe) используйте следующую команду:
kkiller.exe -r -y -l report.txt -v
Информация скопирована с сайта Антивируса Касперского Copyright © 1997 - 2009 Kaspersky Lab
Редактировался P.S. (11.04.2009, 10:47:56)
Страницы 1
[ Сгенерировано за 0.021 сек, 8 запросов выполнено - Использовано памяти: 1.88 MiB (Пик: 1.94 MiB) ]