# Форум на русском языке  > Работа проекта  > Информационные сообщения  >  VirusInfo сообщает об эпидемии сетевого червя Net-Worm.Win32.Kido

## NickGolovko

VirusInfo, ведущий российский информационно-аналитический ресурс в сфере лечения персональных компьютеров от вредоносных программ, участник Альянса профессионалов в области анализа безопасности (Alliance of Security Analysis Professionals, ASAP), зафиксировал масштабное распространение вредоносного программного обеспечения "Net-Worm.Win32.Kido" (наименование по классификации "Лаборатории Касперского"), имеющее эпидемический характер.

Признаки присутствия вредоносного ПО Net-Worm.Win32.Kido на компьютерах пользователей отмечаются специалистами VirusInfo с начала 2009 года. За время наблюдения (01.01.2009 - 12.01.2009) было зафиксировано 22 случая инфекции представителями данного семейства вредоносных программ; пик обращений пользователей по данной проблеме пришелся на 10 января текущего года, когда было обнаружено и устранено 6 случаев заражения (не менее 15% от общего количества обращений).

Сетевой червь Net-Worm.Win32.Kido при распространении использует уязвимость в службе Сервер (Server) операционных систем семейства Windows. Данная уязвимость была обнаружена в конце октября 2008 года и описана в бюллетене безопасности Microsoft MS08-067 (http://www.microsoft.com/technet/sec.../MS08-067.mspx). При успешной эксплуатации уязвимости вредоносное ПО создает файл со случайным именем в системном каталоге %SystemRoot%\system32\.

Характерной чертой активности представителей этого семейства вредоносных программ является блокирование доступа к ряду ресурсов сети Интернет. Наряду с ресурсами антивирусных компаний - "Лаборатории Касперского", "Доктор Веб", ESET - Net-Worm.Win32.Kido блокирует доступ пользователей к доменному имени содержащему слово "virus", с целью не позволить владельцам зараженных компьютеров пройти лечение на сайтах помощи пользователям, в том числе и на VirusInfo. По мнению экспертного сообщества ресурса, этот факт в частности, наглядно демонстрирует, сколь велика та опасность, которую VirusInfo представляет для авторов вредоносных программ благодаря своему сервису бесплатного лечения компьютеров от инфекций.

VirusInfo советует пользователям, пострадавшим от Net-Worm.Win32.Kido, установить срочное обновление операционной системы Windows, исправляющее уязвимость в службе Сервер (Server), и пройти бесплатное лечение на ресурсе. В случае недоступности последнего администрация VirusInfo рекомендует использовать сервисы анонимного доступа к сети (анонимайзеры) или обращаться к ресурсу по его IP-адресу (216.246.90.119).

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Shark

Убедительная просьба - опубликуйте, пожайлуста, признаки заражения.
Особо интересует поведение компьютера. Спасибо.

----------


## Гриша

Тут http://av-school.ru/news/a-186.html

----------


## LEON®

> Убедительная просьба - опубликуйте, пожайлуста, признаки заражения.
> Особо интересует поведение компьютера. Спасибо.


В предидущем посте написано:




> Характерной чертой активности представителей этого семейства вредоносных программ является блокирование доступа к ряду ресурсов сети Интернет. Наряду с ресурсами антивирусных компаний - "Лаборатории Касперского", "Доктор Веб", ESET - Net-Worm.Win32.Kido блокирует доступ пользователей к доменному имени virusinfo.info, с целью не позволить владельцам зараженных компьютеров пройти лечение на VirusInfo. По мнению экспертного сообщества ресурса, этот факт наглядно демонстрирует, сколь велика та опасность, которую VirusInfo представляет для авторов вредоносных программ благодаря своему сервису бесплатного лечения компьютеров от инфекций.


Так что раз ты написал свой пост, значит у тебя всё хорошо.

----------


## Vass

к стати если указать сервер обновление касперского по ip, обновление сработает,
например http://212.47.219.89 
но после того как касперский обновился вируса он не находит
нашел вот этим Portable Dr.Web Anti-Virus 5.00.0

----------


## Незарегистрированный

у нас завелся Kido.bt. 
1. Ключей в реестре как в http://av-school.ru/news/a-186.html не создает.
2. на Windows Server 2003 падают службы Сервер, Рабочая Станция, Вторичный вход в систему, Обозреватель компьютеров, Диспетчер логических дисков и т.п.
3. серверы с Windows server 2000, как-будто бы не заражены.
4. на машинах с windows XP prof касперский несколько раз в час обнаруживает в c:\windows\system32    экземпляры Kido.bt, несмотря на то, что все обновления системы установлены.

----------


## МИ_ХАСЬ

Данный зловред весьма интересен. Dr.Web его идентифицирует как Win32.HLLW.Autoruner.5555.(до обновления  11.01.2009 не видел вообще) Антивирусная утилита от Касперского - Net-Worm.Win32.Kido.bt(видел), Eset Nod32 - Модифицированный Konficer.AA.(видел и прибивал). Сам с ним борюсь уже трое суток в домене windows на базе w2k sp4 . Ситуация такая: компьютер (сервер, рабочая станция) могут быть заражены 2-мя путями - 1) заражение собственно через сеть. Используя механизм удаленного вызова процедур (RPC) и службу удаленного реестра заливают файл с телом вируса на атакуемую платформу (в нашем случае использовалось соединение через порты http://...:3605 http://...:6629, но думаю что он может и в другие порты полезть). Вредоносный код располагается в папке %systemdir% имеет имя в виде произвольного набора символов размер 164768b, как правило расширение dll но не всегда, свойства архивного, скрытого и т.д. Второе место где он прячется -c:\Documents and Settings\ в папках профилей различных пользователей в папке ...\Local Settings\Temporary Internet Files\Content.IE5\ имеет расширение .jpeg,bmp... размер тот же. Кроме того на серверных платформах создаются назначенные задания вроде rundll32.exe <имя зловреда>. 2) распространение через флэш диски и сетевые диски. В корневом каталоге последних создаются файл Autoru.inf а так же папка Recycled/S-............... (длинное название  :Smiley:  в которой лежит файл с именем произвольного набора символов и расширением WMX. Как многие уже догадались при опросе такого диска , в случае если не запрещен авто запуск с данного устройства – получаем инфицированный компьютер.  Теперь самое интересное . Что он творит кроме этого? Сканирует сеть на предмет свободных «носителей» для себя. Постоянно долбится в Активку. Если кто чего добавит, особенно касательно того как с ним бороться буду признателен. Да и еще, установка исправления http://www.microsoft.com/technet/sec.../MS08-067.mspx не помогла.

----------


## Groft

ссылочку на вирустотал можно по Net-Worm.Win32.Kido?

----------


## Гриша

Подробное описание  Net-Worm.Win32.Kido.bt

----------


## Незарегистрированный

пункт 3. поправка:
на Win2000 Net-Worm.Win32.Kido.bt нашелся в :	\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\

----------


## Гриша

> 4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).


Изначально он и есть во временных файлах...

----------


## Рвущийся в бой

Как вы считаете, стоит ли ждать обновлений сигнатур антивируса Касперского для Net-Worm.Win32.Kido.bt или можно начинать руками все машины в сети править?

----------


## Незарегистрированный

я не особо шарюсь...
если я перебью винду с помощью зеркалки - этот кидо сдохнит?

----------


## Гриша

> Как вы считаете, стоит ли ждать обновлений сигнатур антивируса Касперского для Net-Worm.Win32.Kido.bt или можно начинать руками все машины в сети править?


Модификация Net-Worm.Win32.Kido.bt детектируется антивирусом Касперского, но вот как с лечением, думаю сами знаете...




> если я перебью винду с помощью зеркалки - этот кидо сдохнит?


Если копия сделана до заражения, то конечно он пропадет...

Утилита Clwk обновлена http://support.kaspersky.ru/faq/?qid=180593202 добавлены следующие модификации:




> # Net-Worm.Win32.Kido.r
> # Net-Worm.Win32.Kido.t
> # Net-Worm.Win32.Kido.bw
> # Net-Worm.Win32.Kido.db
> # Net-Worm.Win32.Kido.fk
> # Net-Worm.Win32.Kido.fx
> # Net-Worm.Win32.Kido.fo
> # Net-Worm.Win32.Kido.s
> # Net-Worm.Win32.Kido.dh
> ...

----------


## Незарегистрированный

> Утилита Clwk обновлена http://support.kaspersky.ru/faq/?qid=180593202 добавлены следующие модификации:


Net-Worm.Win32.Kido.bt не ловит

----------


## Незарегистрированный

> Net-Worm.Win32.Kido.bt не ловит


У меня тоже. Признаки описанные на сайте касперского есть, а утилита ничего не определяет((

----------


## Рвущийся в бой

Появление описания на viruslist.com хороший знак товарищи!!!! Остаётся только надеяться на антивирусных дел мастеров из Лаборатории Касперского, дабы избавили они нас от этой заразы, раз и навсегда.

----------


## Незарегистрированный

Аналогичная проблема. Борюсь с этой гадостью уже вторую неделю. Корпоративная сеть, причём уже на всех компах эта зараза. Реально в реестре в сервисах нет этой заразы. Но НОД время от времени определяет 
13.01.2009 16:16:01	Защита файловой системы в режиме реального времени	файл	C:\WINDOWS\System32\nqsutyo.pbk	модифицированный Win32/Conficker.AA червь	очищен удалением - изолирован	NT AUTHORITY\SYSTEM	Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft Office\Office10\WINWORD.EXE.

----------


## Гриша

> Net-Worm.Win32.Kido.bt не ловит


Все верно, с списке модификаций которые подвластны утилите его нет...

----------


## МИ_ХАСЬ

Касательно лечения могу сказать следующее - Symantec с базами от 8 января его прибивает запросто, главное чтоб комп потянул. Касательно  Dr.Web v.4.44 с базами от 11 января его ловит но не всегда прибивает, но к сожалению он продолжает поражать компы с этим антивирусом. Так что приходится перелечивать, установив либо Symantec , либо NOD32(версии баз от 9 января). Отдаю предпочтение NOD32 потому что у него в логах четко видно с какого IP прошла атака. Кроме того даже если что и удается червячку засунуть в машину , то NOD32 это тут же прибивает. Остаются хвосты. На съемных и сетевых дисках папка RECYCLER \S-5-3-42-2819952290-8240758988-879315005-3665 которые можно удалить руками.

----------


## Гриша

Ну вы наверное мало случаев встречали, где и Нод, Симантек, Доктор Веб и весь мир бессилен...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Незарегистрированный

эу, так что Нод можно и не ставить? не бомбит? или все ж если от 9го числа , то да?
последний пост такой апокалиптический...

----------


## Khersonec

Нашли два метода борьбы с этой гадостью:
1. Снять винт и проверить его касперским на другой машине.
2. Найти в папке windous\system32 файл размером 164746 кб и удалить его, опять таки на другой машине. 
Желательно сделать эти действия на всех машинах одновременно и уж потом вкл. их в сеть. Обязательно установить фаервол.
Это все опыть четырех дней борьбы

----------


## Victorius87

У нас Касперский Work Station 6.0.3.837 ловит и отражает атаки. 
Кстати, снятие жесткого диска ничего не дало.

----------


## ValeryLedovskoy

> Касательно  Dr.Web v.4.44 с базами от 11 января его ловит но не всегда прибивает, но к сожалению он продолжает поражать компы с этим антивирусом.


Это не соответствует действительности. Dr.Web обнаруживает данный вирус и лечит от него систему.
Если компьютеры подключены к локальной сети, необходимо перед лечением отключить все компьютеры от локальной сети и подключать их постепенно после лечения.

----------


## Незарегистрированный

а какой именно версии  у вас Др.Веб прибил это Кидо?
а подключение к интернету этот зверек тоже может глючить?

----------


## МИ_ХАСЬ

> Это не соответствует действительности. Dr.Web обнаруживает данный вирус и лечит от него систему.
> Если компьютеры подключены к локальной сети, необходимо перед лечением отключить все компьютеры от локальной сети и подключать их постепенно после лечения.


Не хочу отрицать, да Dr.Web дейтствительно лечит систему, спору нет. Однако версия Dr.Web 4.44 к величайшему сожалению не отслеживает текущее заражение, не мониторит сетевые обращения (указанного выше зловреда) и не отражает их. А следовательно не выполняет основной своей задачи, обчеспечения работоспособности вычислительной системы, простои которой ведут к немалым затратам. Представьте себе сеть из N персоналок. За каждым компом сидит человек. Этот человек получает зарплату, таким образом получаем немалые потери. И руководство организации заинтересовано чтоб техника работала. А все остальное - полемика.Дальше думаю продолжать нет смысла. 
Так вот, NOD и Symantec позволяют продолжать работать системе. И позволяют отследить что где сидит , и оперативно реагировать на эти "звоночки". Если Dr.Web будет позволять то же - буду только рад.

----------


## devon

> Не хочу отрицать, да Dr.Web дейтствительно лечит систему, спору нет. Однако версия Dr.Web 4.44 к величайшему сожалению не отслеживает текущее заражение, не мониторит сетевые обращения (указанного выше зловреда) и не отражает их. А следовательно не выполняет основной своей задачи, обчеспечения работоспособности вычислительной системы, простои которой ведут к немалым затратам.


какие еще сетевые обращения? это задача файервола. лечить этот вирус в сети любым антивирусом (именно ав) не пропатча (как минимум тремя патчами) машины мало эффективно. пока одну пролечишь с другой уже приползет опять через дыру.

----------


## Незарегистрированный

> лечить этот вирус в сети любым антивирусом (именно ав) не пропатча (как минимум тремя патчами) машины мало эффективно. пока одну пролечишь с другой уже приползет опять через дыру.


на машины с Windows XP SP3 и со всеми обновлениями Net-Worm.Win32.Kido.bt всё равно лезет  :Sad:

----------


## Незарегистрированный

> весь мир бессилен...


Подхватил этот вирус через флешку( проблема еще у меня вот какя - почемуто скрытые папки перестали отображатся, через меню "СЕРВИС" в папках непомогает... ставлю галочку ОТОБРАЖАТЬ СКРЫТЫЕ ПАПКИ - ПРИНЯТЬ - ОК, а они всеравно скрытые, и даже в БЕЗОПАСНОМ РЕЖИМЕ... У вас тоже так или вирус модернизировали?  :Sad:

----------


## Гриша

Вам сюда http://virusinfo.info/forumdisplay.php?f=46 по правилам http://virusinfo.info/showthread.php?t=1235

----------


## Незарегистрированный

> Вам сюда http://virusinfo.info/forumdisplay.php?f=46 по правилам http://virusinfo.info/showthread.php?t=1235


Уважаемый...у нас например в конторе около 60 компов,и все разные и sp3 и sp2 и со всеми обновлениями,и все равно все заражены и атаки идут каждые 15-40 мин.И заплатки от Майкрасофта,это все фигня не помогают.

----------


## devon

> на машины с Windows XP SP3 и со всеми обновлениями Net-Worm.Win32.Kido.bt всё равно лезет


заплатки это не все. обязательно нужно сменить пароли на админские учетные записи сделать их не тривиальными (не 12345, root и т.п.), вирус подбирает их по словарю, наиболее простые (в большинстве случаев как видно хватает). тут заплатками не закрыть. либо отключайте скрытые админские шары ADMIN$/IPC$ на всех машинах.

----------


## [500mhz]

> обращаться к ресурсу по его IP-адресу (216.246.90.119)


шас автор продукта подправит 2 строчки и будет резольвить ИП, тогда пупец настанет

----------


## Siam

Всем привет, может кому-нибудь поможет наш алгоритм борьбы
имеется
Net-Worm.Win32.Kido.em
1.ставим заплатки от майкрософта о которых здесь неоднократно говорилось
2.берём выкачиваем и ставим http://ccollomb.free.fr/unlocker/
3.после этого находим в %systemroot%/system32 файл размера 161612 это хиден dll  с произвольным именем
4.клацаем на нем правой кнопкой и выбираем unlock 
5.выбираем опцию unlock (разблокировать), кстати за компанию становится видно от какого он процесса
6.тут же по правой кнопке вгоняем этот файл в пасть касперу
7. следует экстренное лечение памяти с перезагрузкой.
8. проверка критической области сразу после перезагрузки компьютера дочищает остатки от вируса в темпах
Каспер 6.0.3.837 b.c.d.e
надеюсь кому-нибудь поможет (сами 2 недели лечились безуспешно - всё равно игнорируя заплатки ЕМ лазит по сети и заново внедряется, у него немного другой механизм регистрации и маскировки, но очень похож на kido.tm)
p.s. khersonec спасибо за наводку про размер вирусного файла, до этого мы не могли его поймать.

----------


## Незарегистрированный

> 3.после этого находим в %systemroot%/system32 файл размера 161612 это хиден dll  с произвольным именем


у меня ненашло фаила с таким размером, но много фаилов с размером 1616, что делать?

----------


## Siam

Как я определил рамер:
у нас в корневых каталогах дисков появился каталог recycler\бла-бла-бла\(набор бковок).vmx
Конкретно у нас
вирус Net-Worm.Win32.Kido.em
Файл: G:\RECYCLER\2312312-31231231-321312\jwgkvsq.vmx
На нем мы посмотрели размер.
И потом по размеру стали искать dll в system32
Размер зависит от версии гадости
Причем каспер не смог удалить и вот этот jwgkvsq.vmx

----------


## МИ_ХАСЬ

> какие еще сетевые обращения? это задача файервола. лечить этот вирус в сети любым антивирусом (именно ав) не пропатча (как минимум тремя патчами) машины мало эффективно. пока одну пролечишь с другой уже приползет опять через дыру.


а вы уважаемый на инфицырованной машине в режиме командной строки выполните команду netstat -a, посмотрите листинг а потом посмотрите что вы в посте написали, может ваше мнение несколько изменится.
   Если поделитесь номерами заплаток буду признателен. Про KB958644 можно не писать, его уже многораз помянули, однако "Воз и ныне там". 

        Рекомендую обазательно проверять папку System Volume Information (если не отключено "Восстановление системы"), в ней как показывает практика лежит екземплярчик зловреда, который система успела забекапить. Проблема в том, что по умолчанию сия папочка имеет разрешения на доступ лишь от System. Надо добавить разрешение полного доступа от текушей учетки, после чего проверить папку антивирусом и прибить паршивца.

----------


## KonSer

У меня была модификация Kido.BW
Это полный пипец ))
В сети 250 машин. Больше суток мучались - пришлось всё же все отключать от сети (в т.ч. серваки), каждый лечить с помощью заплатки мелкософта + KLWK утилитки от Каспера - и только тогда обратно пускать в сеть с двумя перезагрузками...

http://www.life.ru/news/53165

----------


## МИ_ХАСЬ

> ...... каждый лечить с помощью заплатки мелкософта ...


подскажите какие заплатки ставили?

----------


## pig

Надо как минимум MS08-67, MS08-68, MS09-01. Плюс сильные пароли администраторов - или отключить административные шары системных дисков.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Незарегистрированный

*http://www.microsoft.com/downloads/d...1-7d32b64761e1*

Обратите Ваше внимание на бюлетен безопасности MS09-001 от 9 января 2009

----------


## devon

> а вы уважаемый на инфицырованной машине в режиме командной строки выполните команду netstat -a, посмотрите листинг а потом посмотрите что вы в посте написали, может ваше мнение несколько изменится.


и как прикажете отслеживать это *обычному* антивирусу? я в курсе про http сервер. и что дальше, мысль изложите свою до конца, а не загадками плиз. что конкретно нужно сделать по вашему ав? может есть дельная мысль и мы ее реализуем в докторе.



> Рекомендую обазательно проверять папку System Volume Information (если не отключено "Восстановление системы"), в ней как показывает практика лежит екземплярчик зловреда, который система успела забекапить. Проблема в том, что по умолчанию сия папочка имеет разрешения на доступ лишь от System. Надо добавить разрешение полного доступа от текушей учетки, после чего проверить папку антивирусом и прибить паршивца.


сканер, курит спокойно проверяет эту папку и без этих финтов, получив доступ через антируткит.

----------


## МИ_ХАСЬ

> и как прикажете отслеживать это *обычному* антивирусу? я в курсе про http сервер. и что дальше, мысль изложите свою до конца, а не загадками плиз. что конкретно нужно сделать по вашему ав? может есть дельная мысль и мы ее реализуем в докторе.


Спасибо что спросили, ну хотя бы добавьте в лог,который пишет антивирус адрес , с которого атака идет. Не знаю есть ли эта возможность в каких нить версиях (в версии 4.44 не нашел), кроме того было бы удобно если бы это все можно было отсылать к примеру net send командой администратору., заодно и лог в системном журнале  у админа.
[quote=сканер, курит спокойно проверяет эту папку и без этих финтов, получив доступ через антируткит.[/quote]

не согласен, хотя может я чего не так с настройками накрутил, подскажите пожалуйста что поправить. Заранее благодарю.

----------


## devon

> Спасибо что спросили, ну хотя бы добавьте в лог,который пишет антивирус адрес , с которого атака идет.


Я не зря выделил фразу. Я вам еще раз повторю, это может отследить файервол, ids , а не файловый антивирус. фаервол у нас в разработке сейчас. пока совместно с доктором нужно обязательно ставить фаервол, т.к. они дополняют друг друга, и каждый выполняет свою задачу.




> Не знаю есть ли эта возможность в каких нить версиях (в версии 4.44 не нашел), кроме того было бы удобно если бы это все можно было отсылать к примеру net send командой администратору., заодно и лог в системном журнале  у админа.


Все действия которые произвел файловый монитор над файлами можно отсылать как по сети так и на почту. а через шлюз и на смс.  :Smiley: 




> не согласен, хотя может я чего не так с настройками накрутил, подскажите пожалуйста что поправить. Заранее благодарю.


смотрите чтобы в логе сканера писалось сразу за шапкой: DwShield started.
если такой строки нет, значит антируткит не работает, лучше обратится в тех. поддержку. либо тут в разделе помогите проверится  :Wink:

----------


## splaiter

у меня была модификация Net-Worm.Win32.Kido.em.

Признаки, которые я заметил:
1) На флешке в папке \RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 был файл вируса jwgkvsq.vmx, размером 161612 байт.
2) Появился файл autorun.inf в корне флешки.
3) Перестал осуществляться доступ к антивирусным сайтам, а также к антивирусным базам.

Удалял так:
1) Сначала через диспетчер задач завершил работу процесса svchost.exe, который занимал больше всех оперативной памяти.
2) После этого нашел в папке Windows/system32 копию вируса, под именем yvdwjkui.dll, тоже размером 161612 байт. Изначально этот файл не детектился Касперским, но после завершения процесса svchost.exe - сразу обнаружился.
3) Также копия вируса была обнаружена в папке  *C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\MARASPFL\* 
под именем *uwwssi[1].bmp*
4) После удаления этих файлов были установлены 3 критических обновления: MS08-67, MS08-68, MS09-01.
5) С флешки были удалены файлы jwgkvsq.vmx и autorun.inf

----------


## rasclogin

1) Данный вирус запускается оригинальным SVCHOST.EXE с параметром заражённой библиотеки (random_name).dll, лежащей в SYSTEM32 (атрибут билиотеки установлен в "скрытый" или "ситемный"). Необходимо проверить права доступа для этой библиотеки. Как правило, кроме системы, никому доступ не разрешён. После переустановки прав (напр., Администраторы=полный доступ), можно убить его UNLOCKERом (http://ccollomb.free.fr/unlocker/).
2) В реестре всё-же запись есть. Необходимо искать абсолютно пустой (без параметров и подключей) ключ в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic  es (например HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic  es\dpiixcu), и также переустановить права доступа для ветки. Тогда (после обновления содержимого по F5) появится вся инфа, в т.ч. в подветке PARAMETERS ключ ServiceDll с именем и путём к вирусной библиотеке.
3) В файловом менеджере (не ПРОВОДНИК !!!) необходимо также проверить подпапки в "Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5" (либо Default User), где вирус под видом кешированных фалов прячет свои копии.

----------


## V.P.

> VirusInfo советует пользователям, пострадавшим от Net-Worm.Win32.Kido, установить срочное обновление операционной системы Windows, исправляющее уязвимость в службе Сервер (Server), и пройти бесплатное лечение на ресурсе.


Сочуствую сетевым админестраторам. Админестрировать свой домашний ПК помойму гораздо легче и без большого объема специальных знаний и навыкав.
Скажите пожалусто
есле юзер уже правильно выполнил заблаговременно ваши рекомендации по отключению уязвимых сервисов в своей ОС и по отключению автозапуска со сменных носителей, да еще и в учетной записи юзера сидит при активном UAC, то он не подвержен опасности быть инфицированным этими червями и без всяких патчей и вне зависимости от того какие антивирус с фаерволом у него установлены? Есле конечно он сам не накосячит =)

----------


## Doc18

Здравствуйте! У нас в локалке было сразу 2 модификации этого вируса. Больше всего попортила нервы Net-Worm.Win32.Kido.ih. После обновления баз НОДа32 и Аваста все части вируса, кроме находящейся в папке system32 были вычищены в автоматическом режиме, а этот файл они не находили с базами от 10 января. 
Числа 13 решил поставить Eset Smart Security (просто посмотреть, что это такое). Во время установки был обнаружен вирус _ 13.01.2009 4:07:07	Модуль сканирования файлов, исполняемых при запуске системы	файл	C:\WINDOWS\system32\hwapfqbj.dll	Win32/Conficker червь	очищен удалением (после следующего перезапуска)_ 	После перезагрузки данный файл никуда не делся. А в ходе последующих проверок отображолся синим цветом (как файл, доступ к которому заблокирован). Из безопасного режима тоже не удалялся. Самое непонятное для меня то, что я не смог его удалить и при загрузке с компакт диска. Файл вообще никак не открывался, его невозможно было ни просмотреть, ни удалить, ни скопировать.

При сканировании AVZ и антивирусной утилитой от касперского тоже ничего не находилось. AVZ даже не находил такую .dll. В реестре по названию файла также ничего не нашёл. То есть, он не оставлял в системе почти никаких следов. Воспользовавшись Process Explorer от Марка Русиновича определил, что эта dll внедрена в svchost.exe - хоть что-то! Процесс svchost.exe именно с этим ID давал неслабую нагрузку на систему. (что после удаления вируса устранилось).

Удалил его при помощи AVZ, а именно следующим скриптом.



> begin
> SearchRootkit(true, true);
> SetAVZGuardStatus(True);
>  DeleteFile('c:\windows\system32\hwapfqbj.dll');
> 
> BC_ImportDeletedList;
> ExecuteSysClean;
> BC_Activate;
> RebootWindows(true);
> end.


Остальные компьютеры лечил так:
1. Скачивал и ставил заплатки.
2. Проиводил полныю проверку НОДом, или Eset Smart Security.
3. В логах НОДа (ESS) находил заблокированные файлы в папке system32ю(обычно был один файл _*.dll_ - и это и был тот самый вирус.)
4. На всякий случай, проверял атрибуты файла и возможность их изменить.
5. После этого запускал приведённый выше скрипт (изменив имя файла, конечно) в AVZ.


P.S.: До запуска AVZ полую проверку антивирусом приходилось делать почти всегда, т.к. без этого либо не устанавливался "драйвер расширенного мониторинга процессов", либо не запускался режим "AVZ Guard".

----------


## Незарегистрированный

Господа! А заплатка MS09-01 эффективна?

----------


## Незарегистрированный

от повторного заражения нам помогло отключение общего ресурса ADMIN$. Ресурс IPC$ не отключали.

----------


## Незарегистрированный

Толку от MS09-001 нет! Проверено! Реально помогают только отключение шар ADMIN$.

----------


## Doc18

> Толку от MS09-001 нет! Проверено! Реально помогают только отключение шар ADMIN$.


MS09-001 устраняет дыру в самой системе. А наличие шары ADMIN$ - дыра в настройке системы, как и наличие учётной записи администратора с пустым или примитивным паролем. 

P.S.: на мой компьютер попытки проникновения червя из сети прекратились. Но ручаться за этот апдейт не могу. Шара ADMIN$ отключена давно, как и учётная запись админа. Также расшаренные папки открыты только на чтение.

----------


## Незарегистрированный

> MS09-001 устраняет дыру в самой системе. А наличие шары ADMIN$ - дыра в настройке системы, как и наличие учётной записи администратора с пустым или примитивным паролем. 
> 
> P.S.: на мой компьютер попытки проникновения червя из сети прекратились. Но ручаться за этот апдейт не могу. Шара ADMIN$ отключена давно, как и учётная запись админа. Также расшаренные папки открыты только на чтение.


Господа, подскажите как можно в AD политикой безопасности одним махом отключить у пользователей в домене шару ADMIN$. Заранее благодарности!

----------


## ACik

> Господа, подскажите как можно в AD политикой безопасности одним махом отключить у пользователей в домене шару ADMIN$. Заранее благодарности!


я скриптом создал вот это: В ветке HKLM\\SYSTEM\\CurrentControlSet\\Services\\LanmanS  erver\\Parameters создать параметр AutoShareWks тип DWORD, значение 0. Перезагрузить комп. и в Logon засунул, будем надеятся что катстрировал эту падлу )) во только в ручную чистить 600+ компов не очень

*Добавлено через 45 минут*

кстати, у меня касперыч арет на Kido.bt, а вут тот описание http://www.viruslist.com/ru/viruses/...rusid=21782725 везде пишут что он прописывает в реестре и нужно удалить пару ключей, ну нету у меня не наодном компьютере данного ключа в реестре  :Smiley:

----------


## Незарегистрированный

у нас в сети завелась модификация bx . Сразу на все тачки поставил апдейт от MS . Потом по списку все компы проверка на наличие патча, проверка DrWeb CureIt, он сделан на основе 5 версии и поэтому практически сразу или 2 второй день эпидемии у нас вирус начал удалять, после проверки всех компов по списку сетевые атаки прекратились, но на некоторых компах XP начал подглюкивать разшареный принтер (останавливалась служба диспетчер очереди печати). При лечении вирусов я вычислил само тело (dll) , обратил внимание что она хоть и все время случайное имя но установлены все атрибуты (скрытый, архивный и тд). за 2 часа состряпал скрипт проверяющий папку system32 на всех компах в сети по поиску таких dll . нашел еще 3 компа. вычистил вот жду результатов, что скажут сетевые принтеры...
на лечение сетки 200 компов ушло 6 рабочих дней (пока :Smiley:

----------


## Doc18

> Господа, подскажите как можно в AD политикой безопасности одним махом отключить у пользователей в домене шару ADMIN$. Заранее благодарности!


Для этого в винде есть команда "net share". В таком виде она покажет все расшаренные ресурсы. Далее выбираем нужный ресурс и в командной строке (Пуск->Выполнить->cmd) вводим команду *net share {имя ресурса} /delet*
таким образом для удаления ресурса ADMIN$ надо ввести команду *net share ADMIN$ /delet*.

есть другой вариант.
1. открываем блокнот 
2. набиваем там команды для удаления всех лишних шар, в моём случае это 


> net share C$ /delet
> net share J$ /delet
> net share K$ /delet
> net share L$ /delet
> net share I$ /delet
> net share Admin$ /delet
> net share print$ /delet


3. сохраняем файл с расширением .bat
4. Двойным кликом запускаем его.

Таким образом, я отключил расшаривание дисков C, J, K, L, I, админку и расшаривание принтеров.

----------


## ACik

У меня сетка 600 компов из них зараженных 192 это судя по тому кто обновления KB958644 во время не поставили, но даже после установки обновления на зараженные компы вирус по ним таки ходит, вчера попробовал отрубить везде ADMIN$ пока вроде тихо, больше всего что меня настараживает все кто описания вируса писал, похожесть только в одном проподает звук(без патча), и повышается активность сетки, в реестре ни одного левого ключа найти не получилось

отключил ADMIN$ вчера вечером, до сегоднишнего утра не одной атаке обноружено не было!!!

----------


## J-Dragon

Новая модификация вируса *Net-Worm.Win32.Kido.hf* , ниодин антивирус не находит основные файлы данного вируса.

_(Очень злой неуловимый вирус который самомодифицируется и распространяется по всей сети вне зависимости от установленной версии Windows)_

Начинать надо обязательно с домена и основных серверов, затем менее важные сервера, затем рабочие станции ИТ отдела, а лишь потом все остальные.

Порядок действий:

1) Ставим заплатки номер KB958644 от Майкрософта. (помогла, но не на всех компах, тупо перестала вылазить ошибка svchost.exe, поэтому лишней не будет).

2) Данный вирус запускается оригинальным SVCHOST.EXE с параметром заражённой библиотеки (random_name).dll, лежащей в SYSTEM32 (атрибут билиотеки установлен в "скрытый" или "ситемный"). Необходимо проверить права доступа для этой библиотеки. Как правило, кроме системы, никому доступ не разрешён. После переустановки прав 
(напр., Администраторы=полный доступ), можно убить его UNLOCKERом (http://ccollomb.free.fr/unlocker/).

Кстати Dr.Web CureIt! находит эти dll файлы (но на всякий случай лучше проверять еще и самому, удалять всё равно придется UNLOCKERом)

3) Проверка антивирусом Касперский (не ниже 6-й версии, т.к. 5-я уже не катит - проверено) добивает остатки вируса.

P.S.: И на последок, если вы сразу проверяли компьютер на вирусы и вирусов не нашлось, то это абсолютно не значит что на нём нету вирусов и даже скорее всего этот компьютер является разносчиком вируса (убедились в этом не раз). Первые признаки, постоянный вылет ошибки svchost.exe, ошибки может и не быть, но машина которая до этого всегда хорошо работала вдруг стала сильно тормозить и выбивать сеть без всяких причин – это вторая причина… 

Все эти действия помогли наладить работу домена и предотвратить дальнейшее распространение данного вируса по серверам домена. Теперь остались рабочие машины с которых вирус на сервера теперь не пробьется. В данный момент занимаемся пользователями… т.к. 6-й Касперский уже не даст распространиться телу вируса на машины где он установлен. (до этого везде стоял 5-й каспер).

*Добавлено через 40 минут*

Ах да, еще на Windows XP бывает запущено в процессах много rundll32.exe, что является ненормальным, это явное проявление вируса Kido, а копия вируса на этих машинах была обнаружена 5-м каспером в \Window\sistem32

----------


## RobinFood

Наверняка для кого-то эта новость давно устарела, но может быть кому-то и поможет.

Microsoft выпустил обновление для своего MRT (Malicious Software Removal Tool), которое видит и лечит kido (по крайней мере ту версию, которая гуляет у нас - fw).
Плюс на сайте Microsoft выложено подробное (хотя и не полное) описание, с детальным алгоритмом ручного удаления.

----------


## J-Dragon

> Наверняка для кого-то эта новость давно устарела, но может быть кому-то и поможет.
> 
> Microsoft выпустил обновление для своего MRT (Malicious Software Removal Tool), которое видит и лечит kido (по крайней мере ту версию, которая гуляет у нас - fw).
> Плюс на сайте Microsoft выложено подробное (хотя и не полное) описание, с детальным алгоритмом ручного удаления.


HF версия этой ерундой не находится, это модификация предыдущих версий...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Незарегистрированный

> Аж да, еще на Windows XP бывает запущено в процессах много rundll32.exe, что является ненормальным, это явное проявление вируса Kido, а копия вируса на этих машинах была обнаружена 5-м каспером в \Window\sistem32


у Вас в "Планировщике заданий" куча "левых" заданий пытающихся стартовать червя. Потрите всё.

----------


## J-Dragon

> у Вас в "Планировщике заданий" куча "левых" заданий пытающихся стартовать червя. Потрите всё.


Читай пост выше...

*Добавлено через 4 минуты*

Кстати Dr.Web CureIt! находит этот вирус (dll файлы), мы били в шоке...

----------


## rNix

Здравствуйте! В сети появилась по признакам одна из разновидностей этого вируса. На эту страницу попасть не мог, касперский не обнаруживал ничего, outpost firewall постоянно регистрировал исходящие и входящие пакеты по сети через службу netbios.
А главный признак наличия какой то заразы - это после удаления autorun.inf и папки RECYCLER с флешки, а затем её подключения, файлы снова появлялись. Причём дело было только с флешкой, жесткий были без autorun.inf

Занялся самолечением =)
1. Сначала сделал поиск в реестре по названию файла, лежащего в RECYCLER\S-...\ и удалил эти ключи
2. Нашел скрытую .dll в \system32: это можно сделать либо FAR'ом и найти единственную скрытую dll либо средствами windows
3. Используя ProcessExplorer я нашел процесс, котрый использовал эту dll - это был svchost.exe. Она была единственным файлом с полным путём и расширением.
4. С помощью этого же ProcessExplorer отключил использование этой dll
5. Выставил права на вкладке Безопасность для нее (dll) в system32
6. Удалил её
7. Запустил CCleaner и произвел поиск и устранение ошибок в реестре
8. Перезагрузился. 
В итоге исходящих пакетов в подсеть не стало, autorun.inf на флеху писать перестал. Для предупреждения проблемы поставил WindowsXP-KB958644-x86-RUS.
После этого запускал klwk и windows-kb890830-v2.6.exe - наличие:0
Возможно причина CCleaner, но ни левой службы, ни задания в реестре не обнаружено (разрешения высставлены).

Кроме того запускал f-downadup (подозрительная утилита). В конце-концов через час после празднования проблемы, обнаружил, что у меня стали открыты udp порты диапазоном длины около 650. 
CureIT сегодняшний ничего не обнаружил. Лишние udp потры не открылись после перезагрузки.

Остался вопрос, вредны ли и как бороться с входящими пакетами, которые вливают мне через Netbios_ns по 50-60 Кбайт. Полностью поставить фаервол на блокирование не могу, т.к. раздаю файлы по сети

----------


## Nexus

> я скриптом создал вот это: В ветке HKLM\\SYSTEM\\CurrentControlSet\\Services\\LanmanS  erver\\Parameters создать параметр AutoShareWks тип DWORD, значение 0. Перезагрузить комп. и в Logon засунул, будем надеятся что катстрировал эту падлу )) во только в ручную чистить 600+ компов не очень
> 
> *Добавлено через 45 минут*
> 
> кстати, у меня касперыч арет на Kido.bt, а вут тот описание http://www.viruslist.com/ru/viruses/...rusid=21782725 везде пишут что он прописывает в реестре и нужно удалить пару ключей, ну нету у меня не наодном компьютере данного ключа в реестре


Возможна модицикация, у мну тож нет таких ключей, а компы поражены...

----------


## J-Dragon

> Новая модификация вируса *Net-Worm.Win32.Kido.hf* , ниодин антивирус не находит основные файлы данного вируса.
> 
> _(Очень злой неуловимый вирус который самомодифицируется и распространяется по всей сети вне зависимости от установленной версии Windows)_
> 
> Начинать надо обязательно с домена и основных серверов, затем менее важные сервера, затем рабочие станции ИТ отдела, а лишь потом все остальные.
> 
> Порядок действий:
> 
> 1) Ставим заплатки номер KB958644 от Майкрософта. (помогла, но не на всех компах, тупо перестала вылазить ошибка svchost.exe, поэтому лишней не будет).
> ...


Мы уже устали с ним бороться нах.....

----------


## Незарегистрированный

2Doc18: Подскажите пожалуйста, по вашей подсказке удалил расшаренные ресурсы (диски и админ), после перезагрузки они снова появляются в шаре. Их можно закрыть насовсем???

----------


## Kuzz

> Их можно закрыть насовсем???


Специально в Чаво тема есть такая)

----------


## Незарегистрированный

2Kuzz: Спасибо! Все аутсорсинговые компутерщики нам ни фига не помогают, уповают на антивири, а kido уже все мозги прогрыз :Smiley:

----------


## zvs

В ходе борьбы с этой заразой обозначилась следующая проблема на некоторых копмах в сети.
Попробую описать на примере одного из них.

На компе стоит 6-й каспер. Комп изначально был не пропатчен, но потом все заплатки поставили. Описанных симптомов заражения нет. Антивирусы на нем ничего подозрительного не находят (и курит в сэйв моде, и сам каспер, и avz).
Вроде как все чисто....
На линуховом роутере, к которому подключен этот комп, tcpdump показал такую картину: он в соседнюю мою подсетку отправляет сначала пару ICMP пакетов, потом TCP син на 139 порт, потом на 445.
Удивляет точность попаданий: эти пакеты отправляются аккуратно на IP адреса недавно флудивших этой заразой в сеть компов, которые (само-собой) либо в этот момент в отключке, либо уже пролечены.
В целом это происходит, так сказать, не спешно. Сначало на один IP сунулись, минут через 5 на другой и так далее.
И чего спрашивается этому компу от них надо теперь?...

Может у кого-то имеет место что-то подобное?
К сожалению у нас уже поздно, так что более подробно разбираться буду только завтра.

----------


## Doc18

> В ходе борьбы с этой заразой обозначилась следующая проблема на некоторых копмах в сети.
> Попробую описать на примере одного из них.
> 
> На компе стоит 6-й каспер. Комп изначально был не пропатчен, но потом все заплатки поставили. Описанных симптомов заражения нет. Антивирусы на нем ничего подозрительного не находят (и курит в сэйв моде, и сам каспер, и avz).
> Вроде как все чисто....
> На линуховом роутере, к которому подключен этот комп, tcpdump показал такую картину: он в соседнюю мою подсетку отправляет сначала пару ICMP пакетов, потом TCP син на 139 порт, потом на 445.
> Удивляет точность попаданий: эти пакеты отправляются аккуратно на IP адреса недавно флудивших этой заразой в сеть компов, которые (само-собой) либо в этот момент в отключке, либо уже пролечены.
> В целом это происходит, так сказать, не спешно. Сначало на один IP сунулись, минут через 5 на другой и так далее.
> И чего спрашивается этому компу от них надо теперь?...
> ...


В этой теме уже не раз говорилось о том, что описанные симптомы наличия вируса присутствуют не всегда. О том, что было на моём компьютере я писал здесь.

Коротко повторю.
1. Антивирусы (Nod32, Avast, AVZ...) ничего не находили.
2. Никаких дополнительных ключей в реестре не было.
3. Данная .dll не отображалась ни AVZ ни Process Explorer'ом.

Был только странный файл в папке system32, имеющий атрибуты _"системный", "скрытый", "архивный" и "только для чтения"_, который был полностью заблокирован для любых манипуляций. *Я не смог его ни удалить, ни скопировать, даже ЗАГРУЗИВШИСЬ С КОМПАКТ ДИСКА!!!*. Воспользовавшись поиском в Process Explorer'е по имени .dll, я обнаружил, что она подгружена к процессу svchost, *но в списке используемых .dll она не отображалась*.

Исходя из всего описанного, я бы Вам посоветовал, на всякий случай, проверить папку system32. Искать нужно файл с именем *.dll и атрибутом "системный".

Как его удалять, тоже писали не раз:
1. Изменить права доступа у этого файла, после чего удалить анлокером.
_либо_
2. выполнить скрипт в AVZ (подставив правильное имя .dll)


```
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\hwapfqbj.dll');

BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
```

----------


## Phoenyx

Столкнулся с этим вирусом.
Панда молчала, даже когда я ей четко указал на файл (тот самый .dll)
Обнаруживается CureIt. Им же и удаляется. После перезагрузки становятся доступны сайты антивирусных компаний. Через некоторое время появляется снова.
Поставил NOD 4 Smart Security Beta.
Он его прибивает при Flood-атаке с других компьютеров сети или при попытке svhost.exe получить к нему доступ (если файл все-таки проник). 
Часто ему удается попасть в ...IE5\... (выше был указан точный адрес). 
Знаменитая заплатка от МS не помагает, файлу удается попасть на мой компьютер через атаку по http:. 

У меня вопрос. Если с компьютера доступны интернет-ресурсы по безопасности (антивирусные компании, вирус инфо и т.п.), означает ли это, что мой компьютер не заражен данным Конфикером. Или иначе, есть ли это обязательным симптомом??

http://tmace.com/images/4joa7s1p9lsxz5tk1kbi.jpg
Это картинка. Как видно, файл сохраняется во временных файлах с произвольным размером..

----------


## Doc18

> У меня вопрос. Если с компьютера доступны интернет-ресурсы по безопасности (антивирусные компании, вирус инфо и т.п.), означает ли это, что мой компьютер не заражен данным Конфикером. Или иначе, есть ли это обязательным симптомом??


Ответ есть в сообщении выше. У меня на компьютере никаких проблем не определялось, в т.ч. открывались все сайты.

----------


## Незарегистрированный

Поделюсь опытом! после лечения каспером бесплатной тулзой, проверил Dr.Web CureIt! он нашёл ещё дополнительно пару копий заразы в System Volume Information, после этого поставил Avast и тот тамже после доктор веба ещё штук 5 нашёл!!!, так что будте бдительны перепроверяйте несколькими антивирями. 
     а ещё потестите сетку вот этим: http://www.securitylab.ru/analytics/362523.php, не везде с первого раза стали заплатки,
     и кстати на вылеченых (вроде) машинах невозможно отобразить скрытые файлы может кто подскажет как боротся?

----------


## Dimon777

А есть ли 100% лекарство против этого червя? Например, если я поставлю новую винду, можно ли что нить установить, чтоб этот вирус не залез? Этот вирус сидит у нас на серваке в городской сети... Помогите, чем можете?

----------


## Незарегистрированный

> Поделюсь опытом! после лечения каспером бесплатной тулзой, проверил Dr.Web CureIt! он нашёл ещё дополнительно пару копий заразы в System Volume Information, после этого поставил Avast и тот тамже после доктор веба ещё штук 5 нашёл!!!, так что будте бдительны перепроверяйте несколькими антивирями. 
>      а ещё потестите сетку вот этим: http://www.securitylab.ru/analytics/362523.php, не везде с первого раза стали заплатки,
>      и кстати на вылеченых (вроде) машинах невозможно отобразить скрытые файлы может кто подскажет как боротся?


Отключил все компы от сети, проходил куритом, ставил заплатки, перегружался, снова куритом, снова перегружался, каждый раз находил что-то новенькое под разными именами в следующих местах (полный поиск - много времени): System 32, c:\doc&set, System Volume Inf, c:\prog files\Movie Maker, шары если есть, так до полной чистоты. После этого подключаю в сеть. Каждый день по нескольку машин, но вроде проблем пока нет. Попутно запрет на флешки (DeviceLock), иначе только за дверь, а там довольный пользователь снова втыкает зараженную флешку.

----------


## Doc18

> на вылеченых (вроде) машинах невозможно отобразить скрытые файлы может кто подскажет как боротся?


у меня тоже на всех вылеченных компах не восстанавливается отображение скрытых файлов.




> А есть ли 100% лекарство против этого червя? Например, если я поставлю новую винду, можно ли что нить установить, чтоб этот вирус не залез? Этот вирус сидит у нас на серваке в городской сети... Помогите, чем можете?


100% гарантии не даст никто. А свести вероятность до минимума можно:
1. Чистая винда.
2. ВСЕ!!! заплатки.
3. Антивирус со свежими базами.
4. фаервол (только не встроенный)
5. Отключить учётную запись админа СОВСЕМ!
6. Отключить учётную запись гостя.
7. Все расшаренные папки открывать только на чтение.
8. Отключить удалённый доступ и удалённого помощника.
9. Отключьть шару ADMIN$ и расшаривание всех дисков.
10. Отключить все ненужные службы.

Пункты 3 и 4 можно объединить, например, поставив KISS. ESS использовать не советую - там фаервол очень глючный (сам сейчас его испытываю - лажа полная).

Тонкая настройка винды - очень обширная тема. По ней много информации есть и на этом сайте. Ищите, читайте, учитесь.

----------


## Гриша

Лаборатория Касперского выпустила утилиту *KidoKiller* для борьбы с сетевым червем *Net-Worm.Win32.Kido*, утилита содержит generic-детектирование всех известных модификаций червя.

Алгоритм лечения с помощью данной утилиты описан в данной статье http://www.kaspersky.ru/support/wks6...?qid=208636215

----------


## Незарегистрированный

> кстати на вылеченых (вроде) машинах невозможно отобразить скрытые файлы может кто подскажет как боротся?


VirusHunter_utilities первая по порядковому номеру, как раз борется с этим багом

----------


## koksinator

Поставил заплатку от майкрософта, осмотр папки system32 ничего не выявил (визуально). Нод32 скан ничего не выявил. Кидокиллер ничего не выявил. Машина работает стабильно, но паникую из-за кол-ва процессов svchot.exe и rundll32.exe, по моему их раньше столько не было, или зря паникую ?
Скрин ниже.

----------


## zood

А у меня вообще какая-то странная модификация. Доступ к сайтам не блокируется, компы работают стабильно, антивирусы (нод, касперыч и всякие утилиты по борьбе с этим вирусом) ничего не находят. НО несколько раз в день (почти на всех компах) нод блокирует зараженную dll'ку. просто появляется сообщение о том что нод нашел зараженный файл и очитил его удалением (и она реально удаляется). И постоянно (не пойму как) в планировщик добавляются задачи, пробовал удалять всякими разными способами - все-равно появляются. Установил все заплатки - все равно продолжается, правда устанавливал я их уже на зараженные компы. в реестре вроде ничего подозрительного нет. карзины проверил, все аутораны поудалял. По-началу эта хрень даже создавала аутораны в сетевых (рабочих) папках пользователей но потом когда я дня три вручную их удалял появляться перестали и на серваках служба "серевер" переодически вылетала. Разные проги находили разные вирусы (нод говорил что это conficker.aa, касперыч - KIDO, другой его называл downdup) и успешно удаляли. Но сейчас вот до сих пор на большистве рабичих станциях срабатывает нод и отлавливает зараженную библиотеку! и задачи продолжают создаваться!! может к вас есть какие-нить варианты?

P.S. в папке tasks бывает еще СКРЫТАЯ задача - будте внимательны

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Незарегистрированный

> Поставил заплатку от майкрософта, осмотр папки system32 ничего не выявил (визуально). Нод32 скан ничего не выявил. Кидокиллер ничего не выявил. Машина работает стабильно, но паникую из-за кол-ва процессов svchot.exe и rundll32.exe, по моему их раньше столько не было, или зря паникую ?
> Скрин ниже.


Об этом уже говорилось - смотри назначенные задачи

----------


## Незарегистрированный

> P.S. в папке tasks бывает еще СКРЫТАЯ задача - будте внимательны


Поясни пожлста скрытая задача это как?

----------


## koksinator

> Об этом уже говорилось - смотри назначенные задачи


У меня Windows XP SP2, вы смотрели прикреплённое изображение ?

----------


## J-Dragon

> Поставил заплатку от майкрософта, осмотр папки system32 ничего не выявил (визуально). Нод32 скан ничего не выявил. Кидокиллер ничего не выявил. Машина работает стабильно, но паникую из-за кол-ва процессов svchot.exe и rundll32.exe, по моему их раньше столько не было, или зря паникую ?


Прибивай абсолютно все процессы rundll32.dll, выключаешь все антивирусы, запускаешь Dr. web (бесплатный), он находит dll-ку и удаляет, включаешь обратно антивир, смотришь "Диспетчер задач" и удаляешь там все задания, ставишь заплатку винды, и перегружаешь тачку. Смотришь опять процессы на наличие rundll32.dll (если есть, прибиваешь) и сканишь всю систему антирусом с последними базами. Усё, живи спокойно.

----------


## zood

"СКРЫТАЯ задача" - в смысле скрытый файл

----------


## vicool

почитайте это мне помогло 

http://yabloger.org.ua/articles/31/p...oche-conficker

http://yabloger.org.ua/articles/37/n...llwshadowbased

http://yabloger.org.ua/articles/38/m...snykh-programm

----------


## DoSTR

После того как вы поставили все три(KB958644, KB957097, KB958687) критические заплатки, то далее нужно запустить  *NoAutorun_vs_No_AutoShareWks.reg*(прикрепил) :



> Их можно закрыть насовсем???


Да, с помощью прикрепленного в архиве файла *NoAutorun_vs_No_AutoShareWks.reg* (извлечь из архива, запустить, согласиться с установкой). 
Файл, вносит записи в реестр, которые отключают автозапуск червей со сменных носителей(например с USB-Flash) и отключает шару  ADMIN$


```
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=dword:00000000
```

P.S. После этого нужно перезагрузить компьютер, для того, чтобы изменения вступили в силу.

----------


## Незарегистрированный

Встречал машины,  на которых падал svhost или тачка висла. помогала заплатка или отключение портов с помощью http://www.firewallleaktester.com/tools/wwdc.exe.

----------


## Kalgan

Только сегодня обратил внимание на появившуюся папку на флешке H:\RECYCLER...
Еще подумал во давно бы надо а то удаляешь с флешки и не востановимо...
и тут наткнулся на ваш форум и... п...ц!
папка RECYCLER \S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
присутствует правда только дошел до файла так DR web 4.44 c с базами от 27.01.09 дал знать что iнфiкований Win32.HLLW.Shadow.based після підтвердження лікування видалив..

----------


## seregaaa

Net-Worm.Win32.Kido.bu.  У нас все сетка с Symantec Corpor. Edition забита этой дрянью

----------


## Незарегистрированный

Диспетчеру установки не удалось проверить целостность файла Update.inf. Убедитесь, что службы криптографии запущены на данном компьютере.

----------


## Doc18

Позавчера возился с одним компьютером в нашей локалке. По клинике - опять kido: пропадал звук, на флешке появлялась папка Recycled с описанным выше в теме содержимым и на всех дисках файлы Autorun. В NOD32 - как обычно, вроде вот этого:


> 27.01.2009 16:18:40	AMON	файл	С:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EHWBQR8L\kkver[1].jpg	модифицированный Win32/Conficker.AA червь	изолирован - удален	NT AUTHORITY\SYSTEM	Событие в новом файле, созданном приложением  С:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно. 
> 27.01.2009 16:18:37	IMON	файл	10.22.144.19:2913/kkver модифицированный Win32/Conficker.AA червь		NT AUTHORITY\SYSTEM


 Столкнулся с новыми интересными вещами:
1. *.dll в папке system32 не нашёл (сначала проверил её Нодом, затем AVZ, потом вручную - нет файла. А явные признаки заражения есть!!!)
2. На компьютер не ставился SP3 (стоял WinXP SP2 Home) и не ставились никакие заплатки. В конце распаковки выскакивало сообщение, что какой-то файл повреждён. (каждый раз - разный) перезагрузка не помогала. Попытался ставить из сети (не скачивая на комп) - не помогло.
3. Нашёл службу с названием из случайных английских букв. строка запуска типа c:\Windows\system32\svchost.exe fqweghua - *Единственная зацепка!!!* Служба работала. Остановить её было невозможно. Отключил, перезагрузился - SP3 и заплатки стали!
4. Начал поиски в реестре по названию службы и файла (они отличались) - ничего.
искал тотал командором файл по всем дискам, сначала _fqweghua.dll_, потом _fqweghua.*_ - опять ничего. Запустил полную проверку Нодом (самый глубокий анализ) - опять ничего. Искал Process Explorerom по названию .dll - опять ничего.

В общем, сам вирус так и не нашёл... Но проблемы на компьютере прекратились.

P.S.: До того, как отключил левую службу и перезагрузился, AVZ при детектировании руткитов сообщал об ошибке обмена данными с драйвером. После всё работало. - явный признак вируса с неплохой системой самозащиты. Встречался с таким не раз, в том числе с таким поведением у kido. Поэтому в том, что машина была заражена уверен. Непонятно только, куда делся инфицированный файл.

Кто-нибудь с таким поведением kido сталкивался? Может быть, подскажите, как эту дрянь найти? Если она осталась, конечно.

----------


## zvs

> В общем, сам вирус так и не нашёл... Но проблемы на компьютере прекратились.
> 
> ... Непонятно только, куда делся инфицированный файл.
> 
> Кто-нибудь с таким поведением kido сталкивался? Может быть, подскажите, как эту дрянь найти? Если она осталась, конечно.


Очень весело...  Мы тоже голову ломаем над этим.
Проявлялась и у нас подобная клиника на нескольких машинах.

----------


## anton_dr

Оффтоп отделён в соответствующий раздел - http://virusinfo.info/showthread.php?t=38544
Впредь просьба придерживаться темы разговора

----------


## 3-man

> Очень весело...  Мы тоже голову ломаем над этим.
> Проявлялась и у нас подобная клиника на нескольких машинах.


если бы я разрабатывал этот вирус, то удалял бы dll файл после запуска службы, а при перезагрузке снова записывал на диск. вот антивирусы и не находят ничего на дисках, но это сугубо моя версия

на windows2003 sp1 лечил модификацию kido.ih с помощью http://support.microsoft.com/kb/890830.
при заражении было замечено, что блокируются пользователи домена, видимо из-за неудачных 3 попыток подбора паролей, 
вирус Conficker (http://support.microsoft.com/kb/962007/ru-ru) удалился полностью после ребута, атаки на раб станции пока прекратились 
заплатки на серваки предварительно поставил.

----------


## Doc18

> если бы я разрабатывал этот вирус, то удалял бы dll файл после запуска службы, а при перезагрузке снова записывал на диск. вот антивирусы и не находят ничего на дисках, но это сугубо моя версия


Это, действительно, распространённый способ сокрытия инфицированного файла. Однако, есть 2 нюанса:
1. Несколько модификаций kido, с которыми я сталкивался, этого не делали. Но прогресс есть прогресс....
2. Остановить службу я не смог. Я её отключил (чтоб не запустилась заново после перезагрузки). В этом случае файл должен был записаться. Полная проверка нодом ничего не дала, а ранее он этого червя находил. 

Вот теперь ломаю голову: либо файл не записался, либо Нод его не определил.

Хотя.... Не исключено, что вирус проверяет, не отключена ли его служба. Но тогда логично бы было создать новую.... Или замаскировать файл на компьютере.
В общем, хорошая головоломка.

----------


## 3-man

> Вот теперь ломаю голову: либо файл не записался, либо Нод его не определил.


у меня на паре компов были задания (8 шт)
кот должны были запустить в 10.00, в 12.00... чтото типа 
rundll32.exe lchqa.gh,kjzok - что бы это значило таких файлов не нашел, то ли вирус не успел их записать, то ли удалились уже.

Заметил, что там где стоял антивирус (web444,kav7) вирусов не обнаружилось ни в реестре ни в корзине ни в system32 (только задания), проверял утилитами kb890830-v2.6.exe, cureit, kidokiller и вручную - ничего, а при сетевых атаках вирус отлавливался в system32 и удалялся антивирусами сразу.
На всякий случай сделал через скрипт автозапуска в домене
1. net share admin$ /d - остальные шары мне нужны.
2. at /d /y - задания пользователям не нужны
3. regedit -s ... NoAutorun.reg (см.пост#88 )
есть еще  регфайл для отключения автозапуска и флешек


```
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutorun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
```

----------


## Hrist

99% где стоял и стоит каспер - Net-Worm.Win32.Kido.ih отлавливался на подлете в папке систем32 но создавались задания (правда без исполняемого файла вполне безобидные) и засирался лог каспер админкита

ни какие вышеперчисленные заплатки мокрософта не помогают

помогло напрочь избавиться от алертов и попыток инсталлить вирус на машины
убить админскую шару - [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic  es\lanmanserver\parameters]
"AutoShareWks"=dword:00000000
что не есть гуд - но тут уж не до жиру

на всякий случай решил поставить еще модули в каспере анти-хакер и анти-шпион - наслышан о проблемах с некоторым софтом с этими модулями - но опять же - если впервые за 8лет пошла такая бойня - тут уж не до тонкостей

а вот на машинах куда попал вирус таки (есть несколько где антивирус тормознул бы работу конкретно - серваки кассовые, и есть одна машина как минимум где каспер такой же как и везде пропустил вирус почему то) - засада полная - и админские шары убил, и KidoKiller запустил, и CureIT полную проверку (хотя находит он вирье только в документ ад сеттинг и систем32) - но через какое то время и судя по всему не извне и под той же локальной системой - опять все появляется и вирус, ип сканы в сетку (их хорошо видно на машине где стоит оутпост - десятка а то и сотня тысяч нетбиос запросов за несколько минут), и попытки поставить вирус туда где еще не убиты админские шары

счас собираю логи по инструкции http://forum.kaspersky.com/index.php?showtopic=68668 ибо 100% убивается только активная часть известного вируса, а есть еще какая то часть кторая не детектиться пока мест. она кстати еще с утреца ломилась в инернет за обновлением вируса - заблокировал фаерволл корпоративный керио я его настроил на блок адресов указанных в http://support.kaspersky.ru/faq/?qid=208636215 причем больше попыток не было - хитер гад - внимание лишнее старается не привлекать.

иногда машины работают вирусованные почти не заметно а иногда подвисают конкретно. и еще есть какая то разновидность котору сюреИД подозревает вирусом - но не детектирует определенно и опять же только результат - созданный авторан в папку которая подключена сетевым диском в созданной папке корзины

----------


## Hrist

> есть еще регфайл для отключения автозапуска и флешек
> 
> 
> ```
> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
> "Start"=dword:00000004
> ```


 я бы тут написал крупными буквами - отключение вообще всех флешек - если вам не нужны вообще флешки (они даже не монтируются) %)

----------


## NikolayFirsov

крута я щас папробовал залесть через эту уязвимость... ms08-67 залез... он через 445 конектиться и отрубается, но при этом когда он конектился на 445, ещё сеанс конектился к этому сеансу...
ну у меня kido.fo был, а вот ih не видел...
да ваще про эту дыру в середине ноября сообщали...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## senyak

Люди, подскажите. Как попасть на Ваш сайт, если эта гадость блокирует доступ к Вам?

----------


## anton_dr

senyak, читайте первое сообщение



> VirusInfo рекомендует использовать сервисы анонимного доступа к сети (анонимайзеры) или обращаться к ресурсу по его IP-адресу (216.246.90.119).

----------


## senyak

Извеняюсь! Большое спасибо! По моему провайдеру пошла эта гадость, а зайти сюда никто не может

----------


## Hrist

вот уродина если не убить админскую шару
получаю вот такие сообщения

Файл C:\WINDOWS\System32\eklgna.bi//PE_Patch.UPX//UPX, обнаружено: вирус 'Net-Worm.Win32.Kido.ih'. Пользователь: SHOP\Администратор, компьютер:TERMINALPOZ.

это при том что на обоих компа и с которго идет атака и на который идет атака стоит kav6.0.3.837_winwksru с новыми базами и с включенным Анти-Хакером и вообще то атаки 'Net-Worm.Win32.Kido.ih' Анти-Хакер успешно блокирует - но не в этот раз - видимо обнаружив блок  - вирусяка пытается это сделать по другому порту или другим способом

----------


## Doc18

> да ваще про эту дыру в середине ноября сообщали...


Сообщали. но в январе вышла новая заплатка. снова для предотвращения распространения kido.

----------


## pig

А ещё в описании гада сказано, что он админские пароли по словарю подбирает. Поэтому надо пароли посильнее (что-то существенно менее тривиальное, чем *123* и *qwerty*), можно также администратора переименовать.

----------


## NikolayFirsov

1) закрывайте твиком доступ на netbios пользователю SYSTEM и админу только на просмотр
2) закрывайте порты, желательно все утилитой wwdc.exe
3) Отключайте ненужные службы в services.msc (особенно те которые открывают tcp порты)
4) Ставьте фильтрцаию tcp/ip протокола (в свтойствах сетевого подключения, в свойства tcp/ip)
5) Запускайте автоматическое обновление
6) После отключения служб, Ставьте доступ всем только чтение на ветку реестр 'hklm\system\ccs\services' (для того чтобы несоздавалась всякая служба от вируса) и на ветки 'run, 'runonce', и на 'windows nt\winlogon'
7) И желательно работать под ограниченной учётной записи (но всё таки эксплоиты повышают привелегии, а они используют по сети открыые порты, но мы их закрываем см. выше, но есть локальные эксплоиты повышения привелегий.. тут ничо не поделаешь.. хотя можно папробывать чтобы службы запускались из под гостя)

Да и ещё этот вирус kido, ставит на dll права доступа Обзор/выполнения файлов... касперскому я давно говорил чтобы он сканил файлы в обход атрибут безопасностей и в обход хуков (ну смысле бывает что скрытые файлы касперыч не видит)

*Добавлено через 11 минут*

вот про пункт первый
http://www.izone.ru/sys/tuning/tweak-ui-download.htm
там вкладка Access Control
правда уже не помню как там ограничивать права, но факт в том что эксплоит lsass ms 04-011 через службу сервер не пролазил... был закрыт доступ на IPC$ , писал Access Denied for \\computer_name\IPC$

*Добавлено через 50 секунд*

а что lsass ms 04-011 и ms08-067  они почти аналогично

----------


## Hrist

все
мы победили этого зверя!!!

1) отрубаем админские шары
2) чистим кидо киллером (самое важное что он рабочие службы чистит - вирус становится их частью и их антивирь не почистить ИМХО)
3) ставим кспера - оябзательно с антихакером (антихакер ксати оч. хоррошо показывает с каких компов идут атаки - если есть возможность - сразу их из сети выключаем - у нас такой возможности не было - компы многие удаленные)
4) постепеннь однин за одним вырубали зверя с компов. тут главное его вырубить и тут же закрыть доступ (антихакером или каким нить фаером) ибо даже заплатки и отрубленные админские шары не сильно помогали

если компы домашние конечно может и можно закрыть все порты и отрубить нетбиос - в сетках же на работе стоит учесть некоторые жесткие меры могут привести к другим малоприятным проблемам

----------


## Hrist

Опять пара машин включилась которые в нашей сети но не совсем наши
Анти-Хакер не везде справляется
KidoKiller обновился 3го февраля до 3.1
http://support.kaspersky.ru/faq/?qid=208636215
там же написано как с помощью АндмиКита запустить его по всей сетке
очень удобно кстати - не нужны ни политики на сервере, ни админские шары - если везде стоит агент касперского
через него же я кстати запустил автоматическое удаление адмминских шар - ибо задолбало
и запущу отрубление автозапуска флешек и прочей лабудени

----------


## 3-man

вирус может спрятаться еще и здеся
"C:\WINXP\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5"

----------


## arcman

AVZ 4.30 с обновлёнными базами на максимально агрессивных настройках не видит Kido.

----------


## Гриша

Видит dll'ку, но не в табличной части лога, а в "прямом чтении" в текстовой части...

----------


## lapunder

Сегодня победил енту заразу с помощью продукта от симантека
http://www.symantec.com/norton/secur...011316-0247-99
В отличии от других, находит dll и записи в реестре. Все чистит.
Вот лог после проверки
Symantec W32.Downadup Removal Tool 1.0.7
process: svchost.exe, thread: 00000190 (terminated)
process: svchost.exe, thread: 00000170 (terminated)
process: svchost.exe, thread: 000001F4 (terminated)
process: svchost.exe, thread: 00000128 (terminated)
process: svchost.exe, thread: 00000214 (terminated)
process: svchost.exe, thread: 0000016C (terminated)
process: svchost.exe (terminated)
C:\WINDOWS\system32\fujnh.dll: W32.Downadup.B (unrepairable) (deleted) 

registry: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App  lets: dl (value deleted)
registry: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App  lets: ds (value deleted)
registry: HKLM\system\CurrentControlSet\Services\wuauserv: Start (value set to 0x00000002 (2))
registry: HKLM\system\CurrentControlSet\Services\BITS: Start (value set to 0x00000003 (3))
registry: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\exp  lorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue (value set to 0x00000001 (1))
W32.Downadup has been successfully removed from your computer!
Here is the report:
The total number of the scanned files: 34407
The number of deleted threat files: 1
The number of threat processes terminated: 1
The number of threat threads terminated: 6
The number of registry entries fixed: 5
The tool initiated a system reboot.

----------


## Erekle

Я вчера немного (4 часа  :Smiley:  ) позанимался. Больше времени ушло на выяснение сторонних (побочных?) явлений (комп старый, памяти минимум, СД-привода нет. Интернета не было, но возможно просто глючат провода, а временами провайдер, и вовсе не червь). Пока что могу сказать, что чем  уже дома Авира обозвала Конфикером.С (похоже, только Аваст зовёт его руткитом), - приложение, размером 164 975, под именем "х" в System32. Аналоги (я отправил Какой-то.ГИФ, но в анализе "Файл x") сидели в интернетовском кеше в NetworkService, под расширением разных графических файлов. Аваст жаловался, что обнаружил руткит в памяти, но удалить не мог. Раз я согласился "просканировать все диски после перезагрузки" (до запуска системы), там он вдобавок нашёл того же "Руткита/ген" в файле Гиберфилл (если в настройках АВ указано не сканить файлы больше ... - то это лазейка), но удалить не смог из-за sharing Violation. Это обозлило и скан был прекращён, чтобы удалить вручную, вдобавок выключив гибернацию, неведомо для чего нужную там вообще. К тому же времени не было, автобусы ночью не ходят.
Ещё Svchost при запуске несколько минут загружал на 30-45 процентов. Была служба с параметром svchost.exe -k какой-то (не помню, не netsvcs). Были загружены несколько обновлений от МС (только несколько и все за последние пару дней, а так до того автоматическое обновление было отключено). Функция показа скрытых файлов и подобные не пострадали.

Касаемо побочных эффектов. Это вторая сетка в офисе, из трёх машин. На наблюдаемом компьютере интернета не было, но был на втором. До удаления червей (Айсвордом) Комп впадал в перезагрузку то при изменении настроек (скажем, при изменении адреса на автоматический), то при запуске ИЭ; однако до того, раз проблем с ЛСП и др. не было, я употребил Диал-а-Фикс, тот потребовал установочный диск, на компе привода нет, переустановка ИЭ прошла с ошибками и т.д., потому не могу однозначно свалить проблему на эту гадость). До моего прихода сотрудники офиса безуспешно старались выйти в инет, ИЭ выкидивал окошки, какого содержания, не знаю, в журнале только про HangUp. Но Опера тоже не могла выйти. После удаления всех видимых вредителей (плюс в Рециклере что-то сидело, не сабж; Ауторанов - не было), но без полного (до конца) сканирования Авастом перезагрузки вроде исчезли, сетевой активности вроде не было, но в один момент я включил машину рядом, которую почистил до того отдельно (когда первый комп был выключен), и там Конфикера не было, - и вижу, что интернета там тоже не стало. Возвращаюсь к первому, - опять перезагрузка при старте ИЭ, но уже надо было идти.
Сегодня сначала буду переустанавливать ИЭ, а потом после исключения этой причины будем судить...
(Хотя... Свалить-то однозначно не могу, но показалось странным, что дважды из трёх случаев жалобы на руткита в памяти появились немедленно после нажатия ОК после изменения параметров Local Area Connection, после чего моментально следовал рестарт. Ещё пару раз, когда изменение было без жалоб и рестартов, после перезагрузки находил в свойствах LAC автоматический адрес, - когда ставил на фиксированный. Всё это было до удаления червей.
Ещё - не работал DCOM)

----------


## Katuhin

Во вторник удалила всю заразу с помощью кидо киллера 3.1. Сегодня опять ((( кидо киллер молчит кьюр ит молчит, кис 2009 молчит ((.
Симптомы теже - отключаются службы не работает локалка (

----------


## Erekle

> Аваст жаловался, что обнаружил руткит в памяти, но удалить не мог


Может быть, и мог. Вспомнил, что не отключал галочку "удалить после перезагрузки".
Сижу, попиваю кофе. Проблемы с сетью на том компе были чисто физического характера. НА 4-х машинах в той "сетке" Кидо присутствовал только на двух, при том, что две остальные были постоянно включены, на всех чеетырёх АвастПро 4.8, лишь на одном (чистом) автоматические обновления от МС.
Но никаких подозрительных ДЛЛ-ок не было, только x.exe и копии "под графику".

----------


## 3-man

Для защиты от подобных "червей" рекомендую очень полезную утилиту (30k) для блокировки некоторых "уязвимых" портов *http://software.piafi.ru/ru/net/acntpu*
Зачем эти порты читайте здесь http://www.docwin.ru/modules.php?nam...rticle&sid=661
Проверено, работает блокировка для рабочих станций, а с сервера 2003 доступ к компу защищенному этой прогой вроде не изменился, фильтр IP подхватывается службой проги на лету.

----------


## edgar90123

кто нибудь помогитею Вставил усб, аваст заарал што нашел вирус,        предлажил удалить, я эта сделал а теперь при запуске флешки викидавает 
\recycler\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx ошыбка

как вернуть усб к жызни?

----------


## santy

Все на борьбу с Kido-Conficker!
Eset решила внести свой вклад:
http://download.eset.com/special/EConfickerRemover.exe
http://www.esetnod32.ru/support/kb_e...LEMENT_ID=6317

----------


## Doc18

> кто нибудь помогитею Вставил усб, аваст заарал што нашел вирус,        предлажил удалить, я эта сделал а теперь при запуске флешки викидавает 
> \recycler\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx ошыбка
> 
> как вернуть усб к жызни?


Можно попробовать отключить автозапуск флешек, вставить и отформатировать. Или вставлять, удерживая шифт. не уверен, что это поможет, но попробовать стоит. :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## equinox

А можно попробовать удалить утилитой IceSword - у меня она успешно удалила вирус кидо из корзины на жестком диске, в то время как каспер, веб, unlocker, avz никак не могли справиться, файл все время был заблокирован.

----------


## deepray

Doc18, авторан с флешки удалил? Может, он и не даёт открыть... Можно ручками - через винрар ))  Надеюсь, он у тя есть...  :Wink: 
Открой любой архив в винраре (или открой сам Винрар через Пуск - Программы) и уже в самом винраре поднимайся наверх до "Мой комп". Там открой флешку и удали авторан. Если это, конечно, он виновен...

----------


## PavelA

> кто нибудь помогитею Вставил усб, аваст заарал што нашел вирус,        предлажил удалить, я эта сделал а теперь при запуске флешки викидавает 
> \recycler\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx ошыбка
> 
> как вернуть усб к жызни?


*Для всех и каждого: в данной теме обсуждаются проблемы Кидо и его разновидностей. Все остальное, как злостный оффтопик, будет удаляться.*
Для лечения от различных болячек просим обращаться в "Помогите!"

----------


## Doc18

> Doc18, авторан с флешки удалил? Может, он и не даёт открыть... Можно ручками - через винрар ))  Надеюсь, он у тя есть... 
> Открой любой архив в винраре (или открой сам Винрар через Пуск - Программы) и уже в самом винраре поднимайся наверх до "Мой комп". Там открой флешку и удали авторан. Если это, конечно, он виновен...


По-моему, вы ошиблись адресатом. Эта проблема не у меня. 


> *Для всех и каждого: в данной теме обсуждаются проблемы Кидо и его разновидностей. Все остальное, как злостный оффтопик, будет удаляться.*
> Для лечения от различных болячек просим обращаться в "Помогите!"


Возможно, я не прав... *НО!!!* Описанная _edgar90123_ проблема возникла именно в результате удаления одной из частей кидо.... 

Я не вполне понимаю, где находится грань между тем, что должно обсуждаться в этой теме и тем, что за её пределами.

----------


## anton_dr

edgar90123 - необходимо обратиться в "Помогите". В этой теме мы не помогаем с лечением, а информируем о текущей ситуации с Kido.
А грань - модераторы укажут, в случае чего.

----------


## Kidofinder

Тоже пара капель о киде:
   Наболевшая проблема слегка модифицировалась и скорее всего, с возможностью "бесплатного обновления" ) Бьюсь четвёртый день и ощутимых результатов нету ) Начал с "формат Ц" и потом  всё переустановил, переобновил (XP SP3) и перезаплАтил. После перезагрузки "Найдено новое оборудование", в списке устройств "неизвестное устройство" и в трэйе мелькнул значёк обновления, после чего доступ на анивирусные сайты и форумы "таво"... стоит КАВ 7 и даже не тявкнул, ни одна ремов.утилита ничего не находит...

Очищены все временные папки,закрыты все службы, шары и доступы анонимных пользователей и рабочих столов, обещаный скрытый dll в system32 не находится, зная примерный вес dll, в AVZ, в поиске файлов, указал диапазон 160000-170000 байт и вылез вполне дружелюбный файл C:\WINDOWS\system32\msdtcuiu.dll , НО созданый 16.02. 2009. вес 161172 байт

После запуска Downadup.exe следующие системные события:
0:52:00	Процесс SVCHOST.EXE запущен services.exe   и  
0:52:00	Командная строка: C:\WINDOWS\System32\svchost.exe -k netsvcs

С помощью AVZ *netsvcs* откопался теперь в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs\

и кучи ключей типа
_HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\A  ppMgmt\ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\A  udioSrv\ImagePath = %SystemRoot%\System32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\B  ITS\ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\B  rowser\ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\C  ryptSvc\ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs_

продолжаю рыть, но надолго меня не хватит ))

----------


## GustavOne

Совет тем кто не может вычислить kido в большой сети с доменом:
1) Заходим в управление компьютером
2) смотрим логи system там появляются events SAM 12294? обращаем внимание на время события
3) заходим в лог Security ссылаемся на время System log там можем увидеть запси типа success audit и failure audit , последние записи самые важные, бывает что они проскакивают в единичных случаях, но когда они не прекращаются  просматриваем события лога...в которых можно увидеть с какого адреса пытались авторизоваться и с какой учетно записи. Можно увидеть к каким учетным записям перебираются пароли, соответственно они и блокируются...и все с одного IP
4) выбираем IP Компов с которых чаще был Failure audit , проеряем их кидокиллером, по логам ниразу не промахнулись, на каждом комьютере был вылечен вирус! В последующем эти компьютеры не попадались

Думаю это будет полезным в большой сети!

----------


## Oleg

Обнаружена новая версия червя Downadup
http://www.lenta.ru/news/2009/02/20/conficker/
http://mtc.sri.com/Conficker/

----------


## Kidofinder

> Обнаружена новая версия червя Downadup


скорее всего эта версия у меня и живёт...

при удалении HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs\  сразу же удаляются все сетевые соединения, а при просмотре "служб" - исполняемый файл в свойствах служб числится  C:\WINDOWS\system32\svchost.exe -k netsvcs

p.s. хочется пожелать создателям курс ректальной интервенции© у неопытного проктолога...

----------


## Oleg

extension to the netapi32.dll patch and the new named pipe backdoor
а если восстановить dll  с дистрибутива.

----------


## Kidofinder

Сегодня воспользовался восстановлением с дистрибутива, AVZ сразу же обнаружила кучу подозрительных файлов, а вот КАВ после обновления выдал: 
21.02.2009 20:15:39	Файл: C:\WINDOWS\system32\	не обработан	исключен из проверки   .... 
100% решения по-прежнему нет или есть? ))

p.s. рубятся попытки переустановки Касперского и не загружаются файлы контроля сетевых процессов файеруолов...

----------


## Alexey P.

> Обнаружена новая версия червя Downadup
> http://www.lenta.ru/news/2009/02/20/conficker/
> http://mtc.sri.com/Conficker/


 Эта новая версия изначально детектилась.
По Dr.Web Win32.HLLW.Shadow.based, по Касперскому Net-Worm.Win32.Kido.ih. И убивается она CureIt или kidokiller v3.1.

----------


## Oleg

Версия которую Вы назвали не патчила netapi32.dll, а в http://mtc.sri.com/Conficker/ перечисляются все версии в том числе и новая 
*Conficker B++*

 Recently, the Conficker Cabal [15] announced that it has locked all future Conficker A and B domains to prevent their registration and use.    Among its impacts, this action effectively prevents blackhat groups associated with Conficker from globally registering future Conficker Internet rendezvous points, preventing them from performing global census or distributing new binary updates to the infected drones (this does not prevent selective DNS poisoning that could be used to target drones within specific zones).   However, a new variant of Conficker B has emerged that suggest the malware authors may be seeking new ways to obviate the need for Internet rendezvous points entirely.  

Perhaps as one response to the cabal's action, or simply to produce a more efficient push-based updating service, the Conficker authors have released a variant of Conficker B, which significantly upgrades their ability to _flash_ Conficker drones with Win32 binaries from any address on the Internet.   Here, we refer to this variant as _Conficker B++_, as without direct knowledge of these new features added to this binary variant, it will appear to operate and interact with the Internet identically to that of Conficker B.   However, as we outline in this section, some subtle improvements in B++, which include the ability to accept and validate remotely submitted URLs and Win32 binaries, could signal a significant shift in the strategies used by Conficker's authors  to upload and interact with their drones.

*Overview of Variant B++
*

 On Feb 16, 2009, we received a new variant of Conficker.  At a quick glance, this variant resembles Conficker B.  In particular, it is distributed as a Windows DLL file and is packed similarly.  Furthermore, dynamic analysis revealed that this domain generation algorithm was identical to that of Conficker B.  Hence, we initially dismissed this as another packaging of Conficker B.   However, deeper static analysis revealed some interesting differences.   Overall, when we performed a comparative binary logic analysis (see Appendix 2 - Horizontal Malware Analysis) comparing Conficker B with Conficker B++, we obtained a similarity score of 86.4%.  In particular, we found that out of 297 subroutines in Conficker B, only 3 were modified in Conficker B++ and around 39 new subroutines were added. 

The overall logic restructuring and extensions for Conficker B++ are illustrated in Figure 9. Among the changes observed,  we found a restructuring of the main function and introduction of two new paths leading to the CreateProcess API. The first path connects "patch_NetpwPathCanonicalize" to "call_create_process" through "download_file_from_url" and "accept_validated_file". The second path involves the addition of "set_name_pipeserver" which also leads to "download_file_from_url". 




 
*Figure 9: Paths to CreateProcess -- Conficker B vs Conficker B++ (additions in red)* 
 

*Extensions to Conficker's netapi32.dll Patch*

 As is common among malware, Conficker incorporates facilities to close the vulnerability that it exploits once it takes ownership of its victim host.  Specifically, Conficker provides an in-memory patch to the RPC vulnerability within the netapi32.dll NetpwPathCanonicalize function.  However, while this patch protects the host from arbitrary RPC buffer overflow, it is specially crafted to allow other Conficker hosts to reinfect the victim, possibly as a second back door means by which it can install new binary logic into previously infected hosts.  [12].  In Conficker A and B, this pseudo-patch parses incoming RPC requests in search of the standard Conficker shellcode exploit string.   When this string is encountered, the Conficker-infected host will pull the designated DLL binary payload from the remote attacker, as specified in the URL embedded within the shellcode.   The DLL is loaded using the svchost command, as specified in the shellcode.   This process is illustrated in the top panel of Figure 10.

Conficker B++ now extends and simplifies the buffer overflow, allowing a remote agent to provide a URL reference to a digitally signed Win32 exectuable.   This Win32 executable is pulled by the Conficker B++ host, its digital signature is validated or rejected (see Binary Download and Validation),  and if acceptable the Win32 binary is then directly spawned by the CreateProcess routine.   This modification is shown in the bottom panel of Figure 10.    Conficker B++ is no longer limited to reinfection by similarly structured Conficker DLLs, but can now be pushed new self-contained Win32 applications. These executables can infiltrate the host using methods that are not detected by the latest anti-Conficker security applications.  

ну и т.д.

*Добавлено через 2 минуты*

Хотя может быть новая версия и удаляется указанными Вами утилитами.

----------


## AleksGl

Поставил рекомендуемые заплатки + Outpost с настройками политик по умолчанию (Блокировать Remote Procedure Call (TCP,UDP), Блокировать SMB протокол (TCP,UDP))+пароль на Outpost и все нормально, с локальной сети Win32.HLLW.Shadow.based не лезет вторые сутки.
PS До заплаток лез вовсю не взирая на Outpost.

----------


## Alexey P.

Речь идет о "in-memory patch". Сам файл не трогает.
Т.е. пока кидо активен - новая Welchia следом не придет, сделано явно против такого.
 Kidokiller деактивирует перехваты в памяти, это видел.

Примерно так:
Infected thread was killed in process with PID 928
Infected thread was killed in process with PID 928
Infected thread was killed in process with PID 928
Infected thread was killed in process with PID 928
Infected thread was killed in process with PID 928
Infected thread was killed in process with PID 928

scanning        modules in svchost.exe...
Spliced function NtQueryInformationProcess fixed in ntdll.dll module
Spliced function NetpwPathCanonicalize fixed in netapi32.dll module
Spliced function NtQueryInformationProcess fixed in ntdll.dll module
Spliced function DnsQuery_A fixed in dnsapi.dll module
Spliced function DnsQuery_UTF8 fixed in dnsapi.dll module
Spliced function DnsQuery_W fixed in dnsapi.dll module
Spliced function Query_Main fixed in dnsapi.dll module
scanning        modules in services.exe...
scanning        modules in explorer.exe...

----------


## Oleg

А создание нового сетевого имени "\\.\pipe\System_%s%d"?

----------


## Kidofinder

Сегодня на одной из машин таки отрыл скрытый файл, только не в System32, а в \Local Settings\Temp
под именем  etilqs_pywR2MjqQyvF50poxiuw со всеми необходимыми атрибутами, запускаем unlocker1.8.7 )

----------


## Alexey P.

Подтверждение моих слов о детекте Conficker B++:


```
File ncdthvyd.dl received on 02.23.2009 23:02:24 (CET)
Current status: finished 
Result: 35/39 (89.75%) 

Antivirus       Version         Last Update     Result
a-squared       4.0.0.93        2009.02.23      Net-Worm.Win32.Kido!IK 
AhnLab-V3       2009.2.24.0     2009.02.23      Win32/Conficker.worm.169430 
AntiVir         7.9.0.88        2009.02.23      TR/Dropper.Gen 
Authentium      5.1.0.4         2009.02.23      W32/Conficker!Generic 
Avast           4.8.1335.0      2009.02.23      Win32:Confi 
AVG             8.0.0.237       2009.02.23      Worm/Downadup 
BitDefender     7.2             2009.02.23      Win32.Worm.Downadup.F 
CAT-QuickHeal   10.00           2009.02.22      Win32.Net-Worm.Kido.ih.3.Pack 
ClamAV          0.94.1          2009.02.23      Trojan.Dropper-18535 
Comodo          983             2009.02.20      - 
DrWeb           4.44.0.09170    2009.02.23      Win32.HLLW.Shadow.based 
eSafe           7.0.17.0        2009.02.19      Win32.Conficker.worm 
eTrust-Vet      31.6.6369       2009.02.23      Win32/Conficker 
F-Prot          4.4.4.56        2009.02.23      W32/Conficker!Generic 
F-Secure        8.0.14470.0     2009.02.23      Worm:W32/Downadup.gen!A 
Fortinet        3.117.0.0       2009.02.23      W32/Conficker.B!worm 
GData           19              2009.02.23      Win32.Worm.Downadup.F 
Ikarus          T3.1.1.45.0     2009.02.23      Net-Worm.Win32.Kido 
K7AntiVirus     7.10.639        2009.02.21      Net-Worm.Win32.Downadup.ih 
Kaspersky       7.0.0.125       2009.02.23      Net-Worm.Win32.Kido.ih 
McAfee          5534            2009.02.23      W32/Conficker.worm.gen.b 
McAfee+Artemis  5534            2009.02.23      Generic!Artemis 
Microsoft       1.4306          2009.02.23      Worm:Win32/Conficker.C 
NOD32           3882            2009.02.23      a variant of Win32/Conficker.AE 
Norman          6.00.06         2009.02.23      W32/Conficker.FA 
nProtect        2009.1.8.0      2009.02.23      - 
Panda           10.0.0.10       2009.02.23      W32/Conficker.C.worm 
PCTools         4.4.2.0         2009.02.23      - 
Prevx1          V2              2009.02.23      High Risk Worm 
Rising          21.18.02.00     2009.02.23      - 
SecureWeb-Gateway 6.7.6         2009.02.23      Trojan.Dropper.Gen 
Sophos          4.39.0          2009.02.23      Mal/Conficker-A 
Sunbelt         3.2.1855.2      2009.02.17      Worm.Win32.Downad.Gen (v) 
Symantec        10              2009.02.23      W32.Downadup.B 
TheHacker       6.3.2.5.263     2009.02.23      W32/Kido.ih 
TrendMicro      8.700.0.1004    2009.02.23      WORM_DOWNAD.AD 
VBA32           3.12.10.0       2009.02.22      Worm.Win32.kido.122 
ViRobot         2009.2.23.1618  2009.02.23      Worm.Win32.Conficker.169430 
VirusBuster     4.5.11.0        2009.02.22      Trojan.Conficker.Gen!Pac 
Additional information 
File size: 169430 bytes 
MD5...: ffae14e35c4173f60243c508be04bf56 
SHA1..: 2b2e808f3c71e1492b51d4a425ee036c7086c576 
SHA256: bc86d9296f24a1e1991d60bc885308097480d921dc18eb640ed0582ee61b8648 
SHA512: d7b8681120542325b8a0b77b03078312d56d6728a80bdc9bf9469565a87bc628
e25ce1bf69f32591edcdda9bba3f9a98bbbfecbe5742a34b303534a049595e9f 
ssdeep: 3072:1UFwfuWLPFXiL2BID2n4++LPxw+79RcbMedKAhs0dYSRor8zkNpIfn/K6M2
oE3:1UOmMXiLh24b5ndygCYSwZqf/joE3
PEiD..: - 
TrID..: File type identification
UPX compressed Win32 Executable (38.5%)
Win32 EXE Yoda's Crypter (33.5%)
Win32 Executable Generic (10.7%)
Win32 Dynamic Link Library (generic) (9.5%)
Clipper DOS Executable (2.5%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1001a010
timedatestamp.....: 0x3c6a0a62 (Wed Feb 13 06:40:34 2002)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x4000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x5000 0x16000 0x15200 7.79 1553f8161bf1f0453e32785c07cee9d0
UPX2 0x1b000 0x1000 0x200 3.73 651cb160e4e846ba0b506b2d182a64e8

( 7 imports ) 
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, 
VirtualFree
> ADVAPI32.dll: IsValidAcl
> GDI32.dll: GdiGetBatchLimit
> MSVCRT.dll: free
> ole32.dll: CoFileTimeNow
> SHELL32.dll: -
> USER32.dll: GetDC

( 0 exports ) 
packers (Avast): UPX 
packers (Kaspersky): PE_Patch.UPX, UPX 
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=EAA69712D6D7DEFB95F902D51247B800D5E980ED' 
target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=EAA69712D6D7DEFB95F902D51247B800D5E980ED</a> 
packers (F-Prot): UPX 
packers (Authentium): UPX
```

*Добавлено через 2 минуты*

Для сомневающихся - прошу обратить внимание на детект 
Microsoft       1.4306          2009.02.23      Worm:Win32/Conficker.C
 и вот эту статью:
http://blogs.technet.com/mmpc/archiv...tionality.aspx

----------


## Саня Паков

Привет народ,я вижу что нашел здесь бойцов со зверем!!!!!!!!! да у меня тоже эта дрянь Win32 Confiker.AL, так его определял NOD32 с обновленной базой сигнатур, утилита AVPTool - Net worm.Win32.Kido.IH (на которого у Каспера нет обновлений),все они его прибивают,но только копии С:/Document and Settings/NetworkService/LocalSettings/Temporary Internet Files/Content IE5/потом в папке с названием типа DFFHGYTYG/и таким же названием dfgre.gif или *.bmp!,а вот корень никто прибить не может,что делать?

----------


## Alex_Goodwin

http://support.kaspersky.ru/faq/?qid=208636215

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## deepray

*Саня Паков*,  http://www.viruslist.com/ru/alerts?c...cuss=203698715
Я как раз там бился с Kido.ih, когда на каспере даже описания не было.. 
Ник тотже, где-то внизу, может будет полезно.

----------


## Alexey P.

> *Саня Паков*,  http://www.viruslist.com/ru/alerts?c...cuss=203698715
> Я как раз там бился с Kido.ih, когда на каспере даже описания не было.. 
> Ник тотже, где-то внизу, может будет полезно.


 Не думаю, что полезно - там скорее вредные советы.
 Удалять всё, что покажется подозрительным - верный путь к переустановке винды с нуля. В очередной раз.

*Добавлено через 13 минут*

Мне больше всего понравилась инструкция Микрософт.
http://support.microsoft.com/kb/962007
 Самое толковое описание, как его бить, особенно в ситуации, когда ничто не помогает, и ни CureIt, ни Kidokiller v3.1 червя не видят. К сожалению, уже несколько раз видел такое. При этом добытый вручную экземпляр червя оказывался Kido.ih и всеми детектился. Почему утилиты его не обнаруживали - чесслово, не знаю. Должны были, но не видели.
 Единственный момент, который в той статье упущен - очень стоит в начале и в конце лечения проверить отсутствие процессов rundll32.exe, запускающих троянскую dll, и при их наличии прибить все.

----------


## deepray

= Ну, начнём с того, что из 20 машин не упала ни одна!
= Ссылка дана для ознакомления, а не в качестве безукоризненного исполнения. Судя по вопросу - Саня Паков не дебил, разберётся.
= Только попЫ, как им кажется, изгоняют бесов  :Wink:  Я же перед принятием решения удалять именно эти файлы принял вовнимание все возможные признаки заражения.
---------
С уважением...
 :Beer: 
------------------
Хорошая статья!, спасибо.
Только для меня поздновато. А эта гадость у меня с конца января поселилась (( когда его и знать незнали... Пришлось самому. А кто новичок в "кидо" )) в самый раз!... пока снова не мутирует...

----------


## Alexey P.

Это слишком зависит от опыта лекаря. Если уж давать советы - рассчитывайте на всех, так вернее.

----------


## Саня Паков

> Не думаю, что полезно - там скорее вредные советы.
>  Удалять всё, что покажется подозрительным - верный путь к переустановке винды с нуля. В очередной раз.
> 
> *Добавлено через 13 минут*
> 
> Мне больше всего понравилась инструкция Микрософт.
> http://support.microsoft.com/kb/962007
>  Самое толковое описание, как его бить, особенно в ситуации, когда ничто не помогает, и ни CureIt, ни Kidokiller v3.1 червя не видят. К сожалению, уже несколько раз видел такое. При этом добытый вручную экземпляр червя оказывался Kido.ih и всеми детектился. Почему утилиты его не обнаруживали - чесслово, не знаю. Должны были, но не видели.
>  Единственный момент, который в той статье упущен - очень стоит в начале и в конце лечения проверить отсутствие процессов rundll32.exe, запускающих троянскую dll, и при их наличии прибить все.


Переустановка винды с нуля-это не выход,у меня зараза походу даже на цыфровой камере! AntiAutoran тоже ни чего не дает,я уже перебивал винду,и заразился с диска на котором было музло,который я предварительно записал!

----------


## drongo

Саня Паков,авторан нужно отключить в самой системе, в *чаво* есть рег файл для удобства.

----------


## R0N

на днях была такая проблема http://virusinfo.info/showthread.php?t=40843

Возможны ли сбой в работе сетевого принтера от этой(Kido) заразы?
Признаки - бесконечная распечатка одно и того же файла, с разных компов

----------


## Hanson

а что печатает?

----------


## R0N

> а что печатает?


то что я ему посылаю,
останавливаться не хочет

----------


## zhelezyaka

> вирус может спрятаться еще и здеся
> "C:\WINXP\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5"



*3-man*  А какие файлы там должны быть а какие нет???!  

Блин  так говорят про этот кидо что кажется что страшнее него ничего нет!!!!!!!!!  

У меня Домашний комп Подкл тока один провод  от нета, к другим компам по сети  доступного подкл нет,  *могу ли я заразится из локальных ресурсов с вкл и выкл  нетом.*   Есть локальный torrents (http://torrents.bks-tv.ru) , и есть  (ftp.bks-tv.ru) Тоесть как и через что*  Kido* может попасть на комп?!?   А если винду  переустановить то *Kido* исчезает??!!!

----------


## ZiBnv

Здраствуйте,
как можно защитится от атак kido ???
Я обслуживаю много организаций,
и во всех только бухгалтерию (от 1 до 8 компов).
А во всех организациях до 300 компов бывает.
Почти везде этот вирус.
На всех компах моих клиентов стоит NOD v2,
котрый прекрасно отражает все атаки с других компов,
и каждый раз после того как вирус пролезает пришибает его.
Везде настроил чтобы IMON не выскакивал каждый раз...
Заплатки все везде ставлю... (все три) не помогает!
Но дело в том, что сервис "Сервер" после атаки падает,
я в сервисах настроил чтобы он перезагружался,
но из бухгалтерии всеравно все вылетают
(бухгалтерия использует шару на одном из бухгалтерских компов).
Как вариант я отделяю сетку бухгалтерии от общей сети
(сменой ип-диапазона или физически),
но это возможно не везде.
Фаирволом я тоже не могу настроить правило на svhost.exe,
)-: фарволы считают его системным м не дают с ним че либо делать.

----------


## DVi

> Здраствуйте,
> как можно защитится от атак kido ???
> Я обслуживаю много организаций,
> и во всех только бухгалтерию (от 1 до 8 компов).
> А во всех организациях до 300 компов бывает.
> Почти везде этот вирус.


Если вы в Москве, то прочтите вот это: http://virusinfo.info/showthread.php?t=41602

----------


## ZiBnv

> Если вы в Москве, то прочтите вот это: http://virusinfo.info/showthread.php?t=41602


Нет, я в сибири

----------


## drongo

> Здраствуйте,
> как можно защитится от атак kido ???


Пароли на администратора компьютера  более надёжные ставить, ну и где возможно акаунты  по умолчанию только ограниченного пользователя, тогда банально прав у червя не будет окопаться.
Ну зачем бугалтерам права админа? - не понимаю  :Smiley: 
P.S. Nod второй версии морально устарел.

----------


## ZiBnv

> Пароли на администратора компьютера  более надёжные ставить, ну и где возможно акаунты  по умолчанию только ограниченного пользователя, тогда банально прав у червя не будет окопаться.
> Ну зачем бугалтерам права админа? - не понимаю 
> P.S. Nod второй версии морально устарел.


Под ограниченным пользователем программа на FoxPro8 не работает корректно (ODBC  и т.п. - да просто нет прав изменения файлов).
Да и причем тут это???
svhost.exe - процес системный, неважно какой там пользователь.
Тем более на сервере бухгалтерской программы обычно вообще никто не работает.

Окопаться-то червь и так не может, как защитится от атак???

----------


## DVi

> Нет, я в сибири


Тогда могу предложить прочитать это: http://www.secureblog.info/articles/439.html

----------


## ZiBnv

> Тогда могу предложить прочитать это: http://www.secureblog.info/articles/439.html


А че не по русски?
А касперского только 3.3 версия лежит.

----------


## santy

> Здраствуйте,
> как можно защитится от атак kido ???
> Я обслуживаю много организаций,
> и во всех только бухгалтерию (от 1 до 8 компов).
> А во всех организациях до 300 компов бывает.
> Почти везде этот вирус.
> На всех компах моих клиентов стоит NOD v2,
> котрый прекрасно отражает все атаки с других компов,
> и каждый раз после того как вирус пролезает пришибает его.
> ...


Как доп. информационная мера... Поставьте еще на одну из машин RA сервер и консоль (если клиенты на 2.7, то достаточно сервер 1.15), подключите все ваши клиентские машины через настройки удаленного управления к серверу для передачи логов.... через консоль будете видеть с каких машин -айпишников идет атака на ваши компьютеры). можно создать отчеты и выслать в почту руководителям и администраторам (если есть такие) данной сети.

----------


## ZiBnv

> Как доп. информационная мера... Поставьте еще на одну из машин RA сервер и консоль (если клиенты на 2.7, то достаточно сервер 1.15), подключите все ваши клиентские машины через настройки удаленного управления к серверу для передачи логов.... через консоль будете видеть с каких машин -айпишников идет атака на ваши компьютеры). можно создать отчеты и выслать в почту руководителям и администраторам (если есть такие) данной сети.


Это уже сделано, причем еще в феврале - эффекта нуль.
Я не достучусь до админов, пока все нормально они и палец о палец
не ударят. То что у них в локалке вирус они знают.
Но не работает веть только бухгалтерия - это проблемы
дилера программы - а это я.

Мне всего лиш нужен способ, чтобы svhost.exe не вылетал при атаках
на одном из компов (сервере бухгалерии).
Может есть какой файрвол, чтобы он мог блокировать этот сервис
и разрешать его только определенным ip???

----------


## UFANych

Зачем svchost? Не надо svchost.

Вполне можно обойтись штатными средствами XP SP2/3.
Настраиваем windows firewall
firewall.cpl -> Исключения -> Общий доступ к файлам и принтерам -> Изменить
В каждой строчке из четырёх нажимаем кнопку "Изменить область", выбираем "особый список", вводим адреса своих машин. Всё.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## santy

Если это сервер 2000, 2003 попробуйте поставить ESS 4.0 и разрешить доступ к файлам и принтерам в доверенной зоне, а в доверенную зону включить айпишники ваших машин.

----------


## lukin_ev

Привет! Поясните, кто знает... Сервер по 2003 Win, вроде все банки клиенские вылечил (поставил заплатки, AVP прогнал, порядка 50-60 банок). На сервере все равно возникают левые файлы (autorun и пр.). 2003 Windows Server заражается Win32:Confi и есть ли в таком случае на него заплатки??? Может, я какую банку пропустил... Заранее спасибо.

----------


## Kuzz

Заплатки нужны эти: MS08-067 и MS09-001

Есть утилитка для обнаружения уязвимых машин

А вот ф-лы autorun.* еще и с флешек приходят.

----------


## ZiBnv

> Зачем svchost? Не надо svchost.
> 
> Вполне можно обойтись штатными средствами XP SP2/3.
> Настраиваем windows firewall
> firewall.cpl -> Исключения -> Общий доступ к файлам и принтерам -> Изменить
> В каждой строчке из четырёх нажимаем кнопку "Изменить область", выбираем "особый список", вводим адреса своих машин. Всё.


Спасибо, буду пробовать.

----------


## valho

Чёт тут тоже говорят - http://www.mywot.com/en/blog/140-apr...ack-is-no-joke вроде какая то бяка намечается на 1 апреля

----------


## Black_N

В описании Семантиком *W32.Downadup.C*
http://www.symantec.com/security_res...030614-5852-99

тоже есть упоминание о 1 апреле




> *Damage*
> *Damage Level:* High
> *Payload Trigger:* File downloading is triggered after 1st April 2009.
> *Payload:* Attempts to download files from a predetermined list of addresses. Also attempts to intercept and redirect DNS requests to prevent access to certain Web sites. 
> *Compromises Security Settings:* Stops certain Windows services and security related processes.

----------


## valho

Вот что то пишут http://www.f-secure.com/weblog/archives/00001636.html

----------


## Black_N

Похоже после 1-го апреля ждать новой модификации... или еще чего нибуть..  :Sad:

----------


## Kuzz

> 1-го апреля....


Полезно почитать: http://bishop-it.ru/?p=390

----------


## golmarco

я так понял на сегодняшний день одной установкой всех 3-х заплаток (MS08-067 и MS08-068 и MS09-001) дело не решить? Ибо я предпринимал следующие действия:
1) отключал сетевой адаптер
2) прогонял утилиткой KKIller от Касперского
3) удалял все шары (включая системные, кроме принтеров)
4) удалял или отключал лишних пользователей, нужным ставил новый стойкий пароль (только на главном сервере этого не делал - там DC AD и порядка 60-ти учетных НУЖНЫХ записей)
5) ставил заплатки
6) ставил антивирь KAV 6 (прошлый век я знаю, но компы старые, итак и с этим жутко тормозят)
7) автозапуск с съемных носителей отключал с помощью AVZ 4.30 (кстати уже на стадии его запуска - он уже видел маскировку процессов в памяти и это после установки уже обновлений)
 :Cool:  включал сеть
и ....не помогает. Ситуацию стараюсь держать под контролем только с помощью той же утилитки KKiller, которую на всех компах запускаю каждые 10-20 минут.....

----------


## Virtual

ну вот я опять похоже самое интересное пропустил  :Sad: , в свое время мсбласт прозевал, теперь кидо, ну что я делаю не так...
наружу акромя tcp-ip вообще ничего не торчит, + фарвол простенький на сервере где инет раздается, приватная сеть (там где нетбиос используется досихпор) жестко изолирована, клиенты через нат в инет ходють, у многих досих пор сп2 непропатченая почти... вот думаю обновить чтоль их...

ЗЫ попробую завтра в управляющей компании покопатся, может найду этого кидо для исследований, грустно все как-то, все хиты и мимо

----------


## ALEX(XX)

*Virtual*, у Вас вокруг сети мощное электромагнитное поле  :Smiley:

----------


## Alexey P.

> я так понял на сегодняшний день одной установкой всех 3-х заплаток (MS08-067 и MS08-068 и MS09-001) дело не решить? Ибо я предпринимал следующие действия:
> 1) отключал сетевой адаптер
> 2) прогонял утилиткой KKIller от Касперского
> 3) удалял все шары (включая системные, кроме принтеров)
> 4) удалял или отключал лишних пользователей, нужным ставил новый стойкий пароль (только на главном сервере этого не делал - там DC AD и порядка 60-ти учетных НУЖНЫХ записей)
> 5) ставил заплатки
> 6) ставил антивирь KAV 6 (прошлый век я знаю, но компы старые, итак и с этим жутко тормозят)
> 7) автозапуск с съемных носителей отключал с помощью AVZ 4.30 (кстати уже на стадии его запуска - он уже видел маскировку процессов в памяти и это после установки уже обновлений)
>  включал сеть
> и ....не помогает. Ситуацию стараюсь держать под контролем только с помощью той же утилитки KKiller, которую на всех компах запускаю каждые 10-20 минут.....


1. Отключите виндовый шедулер. dll ложится в system32, а в Tasks - задание для шедулера rundll32 запускать её раз в час. 
2. После установки патчей зверушка ходит по домену с использованием подобранных им паролей. Самые опасные - пароли доменных админов.
Я вылавливал таких админов при помощи сниффера - Wireshark, Ethereal. Пишется лог пакетов на порт 445 и 88 атакуемого сервера (88й - kerberos, перебор паролей идет туда). Лог смотрел прямо в FAR, искать по слову system32 в юникоде. Перед атакой видно логин админа, с которым зверь пришел на сервер. Ему сменить пароль с пустого либо с простого вида 12345 на нормальный.
3. В стартовые скрипты всем в домене добавить запуск MRT (malware removal tool) от MS. Логи складывать на DC - иногда очень полезны.

----------


## golmarco

> 1. Отключите виндовый шедулер. dll ложится в system32, а в Tasks - задание для шедулера rundll32 запускать её раз в час. 
> 2. После установки патчей зверушка ходит по домену с использованием подобранных им паролей. Самые опасные - пароли доменных админов.
> Я вылавливал таких админов при помощи сниффера - Wireshark, Ethereal. Пишется лог пакетов на порт 445 и 88 атакуемого сервера (88й - kerberos, перебор паролей идет туда). Лог смотрел прямо в FAR, искать по слову system32 в юникоде. Перед атакой видно логин админа, с которым зверь пришел на сервер. Ему сменить пароль с пустого либо с простого вида 12345 на нормальный.
> 3. В стартовые скрипты всем в домене добавить запуск MRT (malware removal tool) от MS. Логи складывать на DC - иногда очень полезны.


благодарю
правильно ли я понял
1. Имеется ввиду отключить службу Планировщик задач? То есть вирь работает с помощью этого rundll32????

----------


## Virtual

2golmarco правильно, и по возможности обрубить NetBios через ибо нефиг.
шедулер - средство выживания в системе
а нетбиос - способ распространения



> 3) удалял все шары (включая системные, кроме принтеров)


а вы уверены что они не пересоздались при перезагрузке?

ЗЫ еще полезно постоянно мониторить так 



> net group "Администраторы домена" /domain

----------


## golmarco

> и по возможности обрубить NetBios через ибо нефиг.


А это как? простите за глупый вопрос...




> а вы уверены что они не пересоздались при перезагрузке?


 я отрубаю их пока простым детским способом - bat-файл в автозагрузке
с командами net share c$/ /DELETE и так для всех дисков, хотя меня уже просветили, что есть политики....

*Добавлено через 2 минуты*

кстати принтеры тоже убирать с доступа (printers$)?

----------


## Alexey P.

> благодарю
> правильно ли я понял
> 1. Имеется ввиду отключить службу Планировщик задач? То есть вирь работает с помощью этого rundll32????


 Угу, службу Планировщик задач.
- В директории \Windows\Tasks червь ложит задания atl0.job, в них прописана команда rundll32.exe .\dll_червяка. Их у Вас там несколько сотен, я думаю, стоит их удалить.
- поглядывайте также за процессами rundll32 в памяти. Из диспетчера процессов FAR можно посмотреть, кого запускают. Чаще всего легальных задач для rundll32.exe нет, и все они - работающие копии червяка.
Я как-то нарвался на такую ситуацию - dll червя нету, всё вроде хорошо, а он в памяти работает вовсю. Т.е. на наличие rundll32 в процессах стоит поглядывать.

----------


## Virtual

> А это как? простите за глупый вопрос...


выполнить

sc stop lanmanserver
sc config lanmanserver start= disabled

||отключится служба сервера, и шары удалять не нужно будет.
перестанут работать любые шары (папки принтеры и т.д.) червm не попадет в систему!.

вернуть все взад (если появится желание  :Smiley:  ), но только после полного лечения всей сети.

sc config lanmanserver start= auto
sc start lanmanserver

PS имхо лучше не возвращать, и начать пользовать FTP хранилище и внутреннюю почту. это точно не последняя дыра в ,морально устаревшем, NEtBios.  :Wink:

----------


## golmarco

спасибо большое за советы
буду пробовать

----------


## valho

Иногда захожу в бюджетные учреждения, то бишь государственные, программисты всякие таскают на флешках и буках вирусню, админы которые там обслуживают ставят всякие фальшивые антивирусы, запарили уже тока хожу и бесплатно всё устраняю а они получают деньги, в основном носят вирус W32.Sality
http://www.symantec.com/security_res...042106-1847-99
или что то вроде
http://www.viruslist.com/ru/viruses/...?virusid=21030
так что если порыться поглубже у них наверняка уже этот kido у всех.
В одном месте предупредил на всякий случай глав буха что за распространение вредоносного ПО ихним программерам и админам может грозить статья 327 вроде называется, до 3 лет. Похоже бесполезно.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------

