Атака вірусу Кідо) - Технології - Комп’ют
kido відомий під різними іменами (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based і т д) і в багатьох варіаціях, Kido був виявлений вперше ще восени минулого року, майже відразу після того, як оприлюднили інформацію про вразливість MS08-67 у операційних системах сімейства MS Windows.
Дії вірусу кідо
Крім атаки на «дірявий» сервіс, Вірус Кідо вміє інфікувати мережеві диски (підбираючи при необхідності пароль) та знімні накопичувачі («флешки»): на них Kido залишає файл autorun.inf, що автоматично запускається при відкритті диска або навіть простому підключенні "Флешки" - звичайно, якщо користувач не відключив функцію автозапуску. Потрапивши на комп'ютер, вірус кідо відключає деякі системні служби, щоб запобігти його виявленню та видаленню, з тією ж метою блокує доступ до великого ряду антивірусних сайтів і спокійно займається лавинним розмноженням. Завдяки витонченій механіці Кідо заразив наразі понад дев'ять мільйонів машин і продовжує прогресувати. Ця шкідлива і дуже небезпечна програма, на думку F-Secure, створена для формування бот-мереж з метою вилучення з неї прибутку або пакетного продажу. На жаль, браку попиту на працюючі бот-мережі в даний час немає. Також, «Творці цього вірусу kido ще по-справжньому не використовували його. Але вони можуть будь-якої миті зробити із зараженими машинами все, що захочуть», — каже головний радник з питань безпеки все того ж F-Secure — Патрік Руналд (Patrik Runald).
Мережевий черв'як kido поширюється через локальну мережу або за допомогою знімних носіїв інформації. Програма є динамічною бібліотекою Windows (PE DLL-файл). Розмір компонентів 165 840 байт. Запакований kidoза допомогою UPX. Поширення за допомогою змінних носіїв
Вірус кідо копіює свій файл на всі знімні диски з наступним ім'ям:
: \RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\ .vmx, де rnd - випадкова послідовність малих літер, X - літера знімного диска.
Також разом зі своїм виконуваним файлом черв'як поміщає в корінь кожного диска файл, що супроводжує: :\autorun.inf
Цей файл запускає виконуваний файл хробака щоразу, коли користувач відкриває заражений розділ за допомогою програми "Провідник".
Також черв'як завантажує файл за наступним посиланням: trafficconverter.biz/*****/antispyware/loadadv.exe
Завантажені файли зберігаються у системний каталог Windows (%System%) з оригінальними іменами.
При зараженні комп'ютера черв'як kido запускає HTTP сервер на випадковому TCP порту, який потім використовується для завантаження виконуваного файлу черв'яка на інші комп'ютери.
Симптоми Зараження та буяння вірусу:
Лікування гада (вірусу Кідо):
Вимкнути комп'ютер або всі комп'ютери від локальної мережі, відключити автозапуск змінних носіїв і застосувати одне з рішень: Рішення 1 від Лабораторії Касперського Рішення 2 від Компанії «Доктор Веб» Далі встановити 3 латки 2 на Windows XP2 та одну Windows XP3:
MS08-067 MS08-068 MS09-001
Атаки kido із заражених комп'ютерів будуть продовжуватися і далі тому встановіть якщо у вас ще немає -антивірус ( зараз всі антивіруси на нього реагують) і спеціальний софт для блокування будь-якої зарази з "флешок" або знімних дисків.
Завантажити: Пакет утиліт та отрута для КІДО Перша ознака зараження kido - це коли ви не можете зайти на офіційний сайт ЛабораторіїКасперського.
Найпростіший спосіб лікувати комп від Kido.bt (.wd .ws .wr .dd .fd .df .ss): 1 Вставляєте флешку в комп (бажано відформатовану, щоб на ній не було папки Recycler, далі дізнаєтеся чому) 2 На флешці з'являється папка Recycler (якщо у Вас Kido то він у будь-якому випадку лізить на флешку - один із способів поширення) 3 У цій папці Recycler знаходимо файл (він там один знову ж таки в окремій папці) >4 Через Total Commander визначаємо довжину файлу в байтах 5 Знову ж таки через Total Commander шукаємо в папці System System32 файл саме тієї довжини (обов'язково в байтах) 6 Всі файли, що знайшли, зносимо (тільки УВАЖНО дивимося які файли видаляємо, тому як ця зараза, особливо Kido.ss, має властивість підлаштовуватись під системні файли)
Кідо діє як бомба! Він спрацьовує не сам по собі, а лише за якоїсь дії, якою сам чорт знає!
УВАГА! Якщо Касперський виявив kido на вашому комп'ютері, але коли ви вставляєте флешку і після кількох спроб на флешці немає папки Recycler з файлом усередині, то мушу Вас засмутити. Вірус кідо МОДИФІКУВАВСЯ! І відловити його стає не реально. Залишається тільки Format C: D: E:… тільки форматувати треба всі диски, а не тільки на якому операційна система, що зробити іншого виходу немає, інакше після форматування, наприклад, тільки диска С, і установки на ньому вінди, після запуску він перелізе з заражених дисків на С, така вже в нього спицифікація, вражати все, куди тільки можна пролізти і зберегти своє тіло.
Є ще спосіб видалення мережевого хробака Кідо (для більш досвідчених, тому що змінивши в реєстрі щось не те, можна розпрощатися з операційною системою) Рекомендації з видалення Вірусу Кідо
Якщо ваш комп'ютер не був захищений антивірусом і виявився зараженимданою шкідливою програмою, то для її видалення скористайтеся спеціальною утилітою та рекомендаціями щодо видалення, які можна завантажити за наступним посиланням: Ліки від вірусу Кідо
або виконайте такі дії: Видалити ключ системного реєстру: [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] Видалити рядок "%System%\ .dll" зі значення наступного параметра ключа реєстру: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" Перезавантажити комп'ютер Видалити оригінальний файл хробака (його розташування на зараженому комп'ютері залежить від способу, яким програма потрапила на комп'ютер). Видалити файл:
%System%.dll, де - випадкова послідовність символів. Видалити такі файли з усіх знімних носіїв: