Kido - великий и ужасный

[Yankse]

Net-Worm.Win32.Kido

Известен еще как Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)

Краткая характеристика червя.

Сетевой червь, использующий для проникновения на компьютер достаточно «свежую» уязвимость, описанную в бюллетене MS08-067. Червь может загружать произвольные файлы и запускать их на выполнение. Файл вредоносной программы является библиотекой Windows (PE-DLL-файл). Многочисленно упакован различными утилитами паковки. Первый слой – UPX. Размер файла – 50-60 килобайт.

Способы распостранения:
Через "Сетевое окружение", через уязвимость MS08-067, через внешние носители посредством автозапуска. Все три способа используются одновременно.

Активные действия в системе:

При запуске червь создаёт свою копию в директории %SYSTEM% с произвольным именем. После чего проверят, какую операционную систему использует заражённый компьютер. Если это Windows 2000, то внедряет свой код в процесс services.exe. Если же операционная система отлична от указанной, то создаёт службу со следующими характеристиками:
Имя службы: netsvcs
Путь к файлу: %SYSTEM%svchost.exe -k netsvcs
В Висте червь отключает свои некоторые функции по настройке TCP/IP из-за невозможности отключения некоторых сервисов.

Отключаются следующие сервисы:
Windows Automatic Update Service (wuauserv)
Windows Security Center Service (mscsvc)
Windows Defender Service (WinDefend)
Windows Error Reporting Service

Создаёт следующий ключ реестра, обеспечивая себе автозапуск при следующей загрузке:
HKLMSYSTEMCurrentControlSetServicesnetsvcsParametersServiceDll = "%SYSTEM%ххх.dll"

Удаляет точки восстановления и блокирует сам сервис.
Увеличивает кол-во TCP подключений.
Коннектится к определенным сайтам, чтобы получить внешний IP машины.
Создает HTTP-сервер и с помощью его рассылает на другие машины свою копию.
Тело червя не содержит адреса конкретных управляющих серверов, он генерирует их взависимости от системной даты, полученной из интернета.
Скачивает с сервера троян и запускает его.

Блокирует доступ на сайты с названиями:
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
avast
avira
avp
avg
kaspersky
f-prot
nod

Другие действия

Червь производит обновление системы, закрывая тем самым описанную выше уязвимость. Делается это для того, чтобы таким же способом в систему не попали другие вредоносные программы.

Среда обитания:

%System%xxx.dll
%Program Files%Internet Explorerxxx.dll
%Program Files%Movie Makerxxx.dll
%All Users Application Data%xxx.dll
%Temp%xxx.dll
%System%xxx.tmp
%Temp%xxx.tmp

на сьемных носителях:
X:autorun.inf
X:RECYCLERS-xxx.vmx

где ххх - произвольное имя

Общие рекомендации по удалению:

Если ваш компьютер не был защищён антивирусом и оказался заражён данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. Удалить оригинальный файл червя (его расположение на заражённом компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл, созданный троянцем в каталоге: %SYSTEM%<название_файла>.dll
Посмотреть имя файла можно в ключе: HKLMSYSTEMCurrentControlSetServicesnetsvcsParametersServiceDll
3. Удалить ветку реестра: HKLMSYSTEMCurrentControlSetServicesnetsvcs
4. Произвести полную проверку компьютера антивирусом с обновлёнными антивирусными базами.

Можно проверить систему на наличие руткитов программой gmer http://www.securitylab.ru/software/274761.php

Способы удаления:

Для всех способов при проверке и удалении надо отключать сеть!!!

1-ый способ.

Установить патч http://www.microsoft.com/technet/securi ... 8-067.mspx ;
Запустить KB890830. Качать отсюда http://www.microsoft.com/downloads/deta ... b8eb148356

2-ой способ.

1.Отключить сеть
2.Очистить временные папки и кеш браузера
3.Установить заплатку WindowsXP-KB921883-x86-RUS
4.Запустить wwdc(сначала надо его скачать) , и напротив красных и желтых пометок жмете кнопочки, чтобы все стало зеленым
5.Проверить антивирусом с полностью свежими базами

3-ий способ.

1.Установить заплатки от майкрософта http://www.microsoft.com/technet/securi ... 8-067.mspx
2.Установить http://ccollomb.free.fr/unlocker/
3.после этого находим в %systemroot%/system32 файл размера 161612 это хиден dll с произвольным именем
4.клацаем на нем правой кнопкой и выбираем unlock
5.выбираем опцию unlock (разблокировать), кстати за компанию становится видно от какого он процесса
6.тут же по правой кнопке вгоняем этот файл в антивирус
7. следует экстренное лечение памяти с перезагрузкой.
8. проверка критической области сразу после перезагрузки компьютера дочищает остатки от вируса в темпах

[Yankse]

ESET предупреждает о возможных массовых атаках со стороны создателей Conficker.X

Компания ESET сообщила о том, что с 1 апреля возможно резкое увеличение DDoS и спам-атак с использованием крупнейшей в истории интернета бот-сети, состоящей из компьютеров, зараженных семейством червей Conficker.

Новая версия червя — Сonficker.X – взаимодействует с управляющим пулом из 50 тыс. доменов. Это существенно усложняет борьбу с угрозой, поскольку при таком количестве постоянно обновляемых url-адресов отследить и блокировать команды от владельцев бот-сети компьютерам-зомби будет практически невозможно. Эксперты предполагают, что 1 апреля станет датой начала широмасштабных атак на ПК пользователей. Это могут быть DDoS-атаки, рассылка спама, действия, направленные на заражение новых компьютеров и увеличение бот-нета.

Червь Conficker.X (также известный как Conficker.C или Conficker.D) был детектирован с помощью технологии компании ESET – ThreatSense. Вредоносная программа быстро распространяется по интернету и представляет собой еще большую угрозу, нежели ее предыдущие версии.

Первая версия червя — Conficker.A - была зафиксирована специалистами ESET в ноябре 2008 года. С тех пор принцип действия вредоносной программы не изменился — заражая компьютеры, червь объединяет их в бот-нет. Conficker блокирует антивирусное ПО и доступ к сайтам производителей антивирусов, вносит изменения в работу локальной службы DNS. Помимо собственной вредоносной функции червь выступает плацдармом для последующих атак, дополнительно скачивая и устанавливая другое вредоносное ПО.

Conficker.X использует уязвимость MS08-067 в операционной системе MS Windows, распространяется с помощью внешних носителей, через p2p-сети сети и общие папки внутри локальных сетей.

Чтобы избежать заражения, необходимо использовать лицензионное антивирусное ПО, детектирующее данную угрозу, и следить за тем, чтобы на компьютере было установлены актуальные обновления операционной системы Windows.

Источник:http://www.ixbt.com/news/soft/index.shtml?11/75/83

[Santa]

Эксперты "Лаборатории Касперского" сообщают о новых методах работы широко известного сетевого червя Conficker (в ЛК этот червь чаще называют Kido, еще одно название вредоносной программы - Downadup). Согласно последним данным, червь загружает на зараженные ПК поддельный антивирус SpywareProtect2009.

Работа в системе видна пользователям, чьи компьютеры заражены, и выглядит это, как сообщает CyberSecurity.ru примерно так: поддельный антивирус постоянно, каждые несколько минут, показывает на экране различные сообщения об обнаружении вирусов, сетевых атаках, проблемах с браузером и так далее.

Назойливость поддельного антивируса настолько велика, что неискушенный пользователь с большой вероятностью может кликнуть на предложение об оплате лечения и не только потерять 50 долларов США, но и подарить данные своей кредитной карточки злоумышленникам — с самым непредсказуемым результатом.

Кроме демонстрации многочисленных сообщений, SpywareProtect2009 пытается загрузить в систему еще один компонент — троян-загрузчик (Trojan-Downloader.Win32.FraudLoad.ecl). Этот троян, в свою очередь, должен обеспечивать загрузку новых версий SpywareProtect2009.

Ранее сообщалось, что Kido установил на зараженные компьютеры другого известного червя — Iksmas aka Waledac. Загрузка Iksmas производилась с сервера goodnewsdigital.com, который давно известен экспертам и является одним из основных источников распространения этого червя в настоящее время.

"Мы решили последить за жизнью ботнета и тем, что же будет делать червь-спамбот Iksmas, попав в компьютеры. За 12 часов, Iksmas неодократно подключался к своим центрам управления по всему миру и получал от них команды на рассылку спама", - говорят в компании.

Всего за 12 часов работы одного единственного бота он отправил 42298 спам-писем. В спаме есть ссылки на домены. Практически в каждом письме используется уникальный домен. Очевидно, что это сделано для того, чтобы антиспам-технологии не смогли обнаружить такую рассылку основываясь на методах анализа частоты использования конкретного домена.

"Нами было зафиксировано использование 40542 доменов третьего уровня и 33 доменов второго уровня. Все они принадлежат спамерам и компаниями, которые заказывают у них данные рассылки. Практически все эти сайты находятся в Китае и зарегистрированы на самых разных людей, вероятно, вымышленных" - сообщается в блоге "Лаборатории Касперского".

Один бот Iksmas отправляет примерно 80'000 писем в сутки. Если предположить, что общее количество зараженных машин составляет 5 000 000, то получается, что за одни сутки этот ботнет мог разослать примерно 400 000 000 000 (400 миллиардов) писем со спамом.

[kotmarshal]

А можно просто поставить Avast и не замарачиваться! уже видел эту хрень, так аваст сразу заблокировал сеть и сайт убил в заблокированые.... и всё сидим и радуемся... :Nezloy025:
А для профилактики ставим сканирования С диска и всех системных папок до загруски виндовс.. проверяем и радуемся снова :Nezloy025:
Иговорим вирусу :ASS: