PDA

Просмотр полной версии : VirusInfo сообщает об эпидемии сетевого червя Net-Worm.Win32.Kido



Страницы : [1] 2

NickGolovko
12.01.2009, 09:37
VirusInfo, ведущий российский информационно-аналитический ресурс в сфере лечения персональных компьютеров от вредоносных программ, участник Альянса профессионалов в области анализа безопасности (Alliance of Security Analysis Professionals, ASAP), зафиксировал масштабное распространение вредоносного программного обеспечения "Net-Worm.Win32.Kido" (наименование по классификации "Лаборатории Касперского"), имеющее эпидемический характер.

Признаки присутствия вредоносного ПО Net-Worm.Win32.Kido на компьютерах пользователей отмечаются специалистами VirusInfo с начала 2009 года. За время наблюдения (01.01.2009 - 12.01.2009) было зафиксировано 22 случая инфекции представителями данного семейства вредоносных программ; пик обращений пользователей по данной проблеме пришелся на 10 января текущего года, когда было обнаружено и устранено 6 случаев заражения (не менее 15% от общего количества обращений).

Сетевой червь Net-Worm.Win32.Kido при распространении использует уязвимость в службе Сервер (Server) операционных систем семейства Windows. Данная уязвимость была обнаружена в конце октября 2008 года и описана в бюллетене безопасности Microsoft MS08-067 (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx). При успешной эксплуатации уязвимости вредоносное ПО создает файл со случайным именем в системном каталоге %SystemRoot%\system32\.

Характерной чертой активности представителей этого семейства вредоносных программ является блокирование доступа к ряду ресурсов сети Интернет. Наряду с ресурсами антивирусных компаний - "Лаборатории Касперского", "Доктор Веб", ESET - Net-Worm.Win32.Kido блокирует доступ пользователей к доменному имени содержащему слово "virus", с целью не позволить владельцам зараженных компьютеров пройти лечение на сайтах помощи пользователям, в том числе и на VirusInfo. По мнению экспертного сообщества ресурса, этот факт в частности, наглядно демонстрирует, сколь велика та опасность, которую VirusInfo представляет для авторов вредоносных программ благодаря своему сервису бесплатного лечения компьютеров от инфекций.

VirusInfo советует пользователям, пострадавшим от Net-Worm.Win32.Kido, установить срочное обновление операционной системы Windows, исправляющее уязвимость в службе Сервер (Server), и пройти бесплатное лечение на ресурсе. В случае недоступности последнего администрация VirusInfo рекомендует использовать сервисы анонимного доступа к сети (анонимайзеры) или обращаться к ресурсу по его IP-адресу (216.246.90.119).

Shark
12.01.2009, 19:55
Убедительная просьба - опубликуйте, пожайлуста, признаки заражения.
Особо интересует поведение компьютера. Спасибо.

Гриша
12.01.2009, 19:59
Тут http://av-school.ru/news/a-186.html

LEON®
12.01.2009, 20:04
Убедительная просьба - опубликуйте, пожайлуста, признаки заражения.
Особо интересует поведение компьютера. Спасибо.

В предидущем посте написано:


Характерной чертой активности представителей этого семейства вредоносных программ является блокирование доступа к ряду ресурсов сети Интернет. Наряду с ресурсами антивирусных компаний - "Лаборатории Касперского", "Доктор Веб", ESET - Net-Worm.Win32.Kido блокирует доступ пользователей к доменному имени virusinfo.info, с целью не позволить владельцам зараженных компьютеров пройти лечение на VirusInfo. По мнению экспертного сообщества ресурса, этот факт наглядно демонстрирует, сколь велика та опасность, которую VirusInfo представляет для авторов вредоносных программ благодаря своему сервису бесплатного лечения компьютеров от инфекций.

Так что раз ты написал свой пост, значит у тебя всё хорошо.

Vass
12.01.2009, 20:18
к стати если указать сервер обновление касперского по ip, обновление сработает,
например http://212.47.219.89
но после того как касперский обновился вируса он не находит
нашел вот этим Portable Dr.Web Anti-Virus 5.00.0

Незарегистрированный
12.01.2009, 20:27
у нас завелся Kido.bt.
1. Ключей в реестре как в http://av-school.ru/news/a-186.html не создает.
2. на Windows Server 2003 падают службы Сервер, Рабочая Станция, Вторичный вход в систему, Обозреватель компьютеров, Диспетчер логических дисков и т.п.
3. серверы с Windows server 2000, как-будто бы не заражены.
4. на машинах с windows XP prof касперский несколько раз в час обнаруживает в c:\windows\system32 экземпляры Kido.bt, несмотря на то, что все обновления системы установлены.

МИ_ХАСЬ
12.01.2009, 23:12
Данный зловред весьма интересен. Dr.Web его идентифицирует как Win32.HLLW.Autoruner.5555.(до обновления 11.01.2009 не видел вообще) Антивирусная утилита от Касперского - Net-Worm.Win32.Kido.bt(видел), Eset Nod32 - Модифицированный Konficer.AA.(видел и прибивал). Сам с ним борюсь уже трое суток в домене windows на базе w2k sp4 . Ситуация такая: компьютер (сервер, рабочая станция) могут быть заражены 2-мя путями - 1) заражение собственно через сеть. Используя механизм удаленного вызова процедур (RPC) и службу удаленного реестра заливают файл с телом вируса на атакуемую платформу (в нашем случае использовалось соединение через порты http://...:3605 http://...:6629, но думаю что он может и в другие порты полезть). Вредоносный код располагается в папке %systemdir% имеет имя в виде произвольного набора символов размер 164768b, как правило расширение dll но не всегда, свойства архивного, скрытого и т.д. Второе место где он прячется -c:\Documents and Settings\ в папках профилей различных пользователей в папке ...\Local Settings\Temporary Internet Files\Content.IE5\ имеет расширение .jpeg,bmp... размер тот же. Кроме того на серверных платформах создаются назначенные задания вроде rundll32.exe <имя зловреда>. 2) распространение через флэш диски и сетевые диски. В корневом каталоге последних создаются файл Autoru.inf а так же папка Recycled/S-............... (длинное название :) в которой лежит файл с именем произвольного набора символов и расширением WMX. Как многие уже догадались при опросе такого диска , в случае если не запрещен авто запуск с данного устройства – получаем инфицированный компьютер. Теперь самое интересное . Что он творит кроме этого? Сканирует сеть на предмет свободных «носителей» для себя. Постоянно долбится в Активку. Если кто чего добавит, особенно касательно того как с ним бороться буду признателен. Да и еще, установка исправления http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx не помогла.

Groft
13.01.2009, 01:02
ссылочку на вирустотал можно по Net-Worm.Win32.Kido?

Гриша
13.01.2009, 08:37
Подробное описание Net-Worm.Win32.Kido.bt (http://av-school.ru/desc/a-71.html)

Незарегистрированный
13.01.2009, 11:36
пункт 3. поправка:
на Win2000 Net-Worm.Win32.Kido.bt нашелся в : \Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\

Гриша
13.01.2009, 11:51
4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

Изначально он и есть во временных файлах...

Рвущийся в бой
13.01.2009, 13:07
Как вы считаете, стоит ли ждать обновлений сигнатур антивируса Касперского для Net-Worm.Win32.Kido.bt или можно начинать руками все машины в сети править?

Незарегистрированный
13.01.2009, 13:08
я не особо шарюсь...
если я перебью винду с помощью зеркалки - этот кидо сдохнит?

Гриша
13.01.2009, 13:13
Как вы считаете, стоит ли ждать обновлений сигнатур антивируса Касперского для Net-Worm.Win32.Kido.bt или можно начинать руками все машины в сети править?

Модификация Net-Worm.Win32.Kido.bt детектируется антивирусом Касперского, но вот как с лечением, думаю сами знаете...


если я перебью винду с помощью зеркалки - этот кидо сдохнит?

Если копия сделана до заражения, то конечно он пропадет...

Утилита Clwk обновлена http://support.kaspersky.ru/faq/?qid=180593202 добавлены следующие модификации:


# Net-Worm.Win32.Kido.r
# Net-Worm.Win32.Kido.t
# Net-Worm.Win32.Kido.bw
# Net-Worm.Win32.Kido.db
# Net-Worm.Win32.Kido.fk
# Net-Worm.Win32.Kido.fx
# Net-Worm.Win32.Kido.fo
# Net-Worm.Win32.Kido.s
# Net-Worm.Win32.Kido.dh
# Net-Worm.Win32.Kido.ee
# Net-Worm.Win32.Kido.gh
# Net-Worm.Win32.Kido.fa
# Net-Worm.Win32.Kido.gy
# Net-Worm.Win32.Kido.ca
# Net-Worm.Win32.Kido.by
# Net-Worm.Win32.Kido.if
# Net-Worm.Win32.Kido.eo
# Net-Worm.Win32.Kido.bx
# Net-Worm.Win32.Kido.bh
# Net-Worm.Win32.Kido.bg
# Net-Worm.Win32.Kido.ha
# Net-Worm.Win32.Kido.hr
# Net-Worm.Win32.Kido.da
# Net-Worm.Win32.Kido.dz
# Net-Worm.Win32.Kido.cg
# Net-Worm.Win32.Kido.eg
# Net-Worm.Win32.Kido.eq
# Net-Worm.Win32.Kido.bz
# Net-Worm.Win32.Kido.do
# Net-Worm.Win32.Kido.fw
# Net-Worm.Win32.Kido.du
# Net-Worm.Win32.Kido.cv

Незарегистрированный
13.01.2009, 15:11
Утилита Clwk обновлена http://support.kaspersky.ru/faq/?qid=180593202 добавлены следующие модификации:

Net-Worm.Win32.Kido.bt не ловит

Незарегистрированный
13.01.2009, 17:31
Net-Worm.Win32.Kido.bt не ловит

У меня тоже. Признаки описанные на сайте касперского есть, а утилита ничего не определяет((

Рвущийся в бой
13.01.2009, 17:47
Появление описания на viruslist.com хороший знак товарищи!!!! Остаётся только надеяться на антивирусных дел мастеров из Лаборатории Касперского, дабы избавили они нас от этой заразы, раз и навсегда.

Незарегистрированный
13.01.2009, 17:58
Аналогичная проблема. Борюсь с этой гадостью уже вторую неделю. Корпоративная сеть, причём уже на всех компах эта зараза. Реально в реестре в сервисах нет этой заразы. Но НОД время от времени определяет
13.01.2009 16:16:01 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\nqsutyo.pbk модифицированный Win32/Conficker.AA червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft Office\Office10\WINWORD.EXE.

Гриша
13.01.2009, 20:00
Net-Worm.Win32.Kido.bt не ловит

Все верно, с списке модификаций которые подвластны утилите его нет...

МИ_ХАСЬ
13.01.2009, 22:29
Касательно лечения могу сказать следующее - Symantec с базами от 8 января его прибивает запросто, главное чтоб комп потянул. Касательно Dr.Web v.4.44 с базами от 11 января его ловит но не всегда прибивает, но к сожалению он продолжает поражать компы с этим антивирусом. Так что приходится перелечивать, установив либо Symantec , либо NOD32(версии баз от 9 января). Отдаю предпочтение NOD32 потому что у него в логах четко видно с какого IP прошла атака. Кроме того даже если что и удается червячку засунуть в машину , то NOD32 это тут же прибивает. Остаются хвосты. На съемных и сетевых дисках папка RECYCLER \S-5-3-42-2819952290-8240758988-879315005-3665 которые можно удалить руками.

Гриша
13.01.2009, 22:42
Ну вы наверное мало случаев встречали, где и Нод, Симантек, Доктор Веб и весь мир бессилен...

Незарегистрированный
13.01.2009, 23:45
эу, так что Нод можно и не ставить? не бомбит? или все ж если от 9го числа , то да?
последний пост такой апокалиптический...

Khersonec
14.01.2009, 01:01
Нашли два метода борьбы с этой гадостью:
1. Снять винт и проверить его касперским на другой машине.
2. Найти в папке windous\system32 файл размером 164746 кб и удалить его, опять таки на другой машине.
Желательно сделать эти действия на всех машинах одновременно и уж потом вкл. их в сеть. Обязательно установить фаервол.
Это все опыть четырех дней борьбы

Victorius87
14.01.2009, 13:26
У нас Касперский Work Station 6.0.3.837 ловит и отражает атаки.
Кстати, снятие жесткого диска ничего не дало.

ValeryLedovskoy
14.01.2009, 14:42
Касательно Dr.Web v.4.44 с базами от 11 января его ловит но не всегда прибивает, но к сожалению он продолжает поражать компы с этим антивирусом.

Это не соответствует действительности. Dr.Web обнаруживает данный вирус и лечит от него систему.
Если компьютеры подключены к локальной сети, необходимо перед лечением отключить все компьютеры от локальной сети и подключать их постепенно после лечения.

Незарегистрированный
14.01.2009, 17:01
а какой именно версии у вас Др.Веб прибил это Кидо?
а подключение к интернету этот зверек тоже может глючить?

МИ_ХАСЬ
14.01.2009, 22:38
Это не соответствует действительности. Dr.Web обнаруживает данный вирус и лечит от него систему.
Если компьютеры подключены к локальной сети, необходимо перед лечением отключить все компьютеры от локальной сети и подключать их постепенно после лечения.

Не хочу отрицать, да Dr.Web дейтствительно лечит систему, спору нет. Однако версия Dr.Web 4.44 к величайшему сожалению не отслеживает текущее заражение, не мониторит сетевые обращения (указанного выше зловреда) и не отражает их. А следовательно не выполняет основной своей задачи, обчеспечения работоспособности вычислительной системы, простои которой ведут к немалым затратам. Представьте себе сеть из N персоналок. За каждым компом сидит человек. Этот человек получает зарплату, таким образом получаем немалые потери. И руководство организации заинтересовано чтоб техника работала. А все остальное - полемика.Дальше думаю продолжать нет смысла.
Так вот, NOD и Symantec позволяют продолжать работать системе. И позволяют отследить что где сидит , и оперативно реагировать на эти "звоночки". Если Dr.Web будет позволять то же - буду только рад.

devon
15.01.2009, 11:15
Не хочу отрицать, да Dr.Web дейтствительно лечит систему, спору нет. Однако версия Dr.Web 4.44 к величайшему сожалению не отслеживает текущее заражение, не мониторит сетевые обращения (указанного выше зловреда) и не отражает их. А следовательно не выполняет основной своей задачи, обчеспечения работоспособности вычислительной системы, простои которой ведут к немалым затратам.
какие еще сетевые обращения? это задача файервола. лечить этот вирус в сети любым антивирусом (именно ав) не пропатча (как минимум тремя патчами) машины мало эффективно. пока одну пролечишь с другой уже приползет опять через дыру.

Незарегистрированный
15.01.2009, 15:01
лечить этот вирус в сети любым антивирусом (именно ав) не пропатча (как минимум тремя патчами) машины мало эффективно. пока одну пролечишь с другой уже приползет опять через дыру.

на машины с Windows XP SP3 и со всеми обновлениями Net-Worm.Win32.Kido.bt всё равно лезет :(

Незарегистрированный
15.01.2009, 15:26
весь мир бессилен...

Подхватил этот вирус через флешку( проблема еще у меня вот какя - почемуто скрытые папки перестали отображатся, через меню "СЕРВИС" в папках непомогает... ставлю галочку ОТОБРАЖАТЬ СКРЫТЫЕ ПАПКИ - ПРИНЯТЬ - ОК, а они всеравно скрытые, и даже в БЕЗОПАСНОМ РЕЖИМЕ... У вас тоже так или вирус модернизировали? :(

Гриша
15.01.2009, 15:49
Вам сюда http://virusinfo.info/forumdisplay.php?f=46 по правилам http://virusinfo.info/showthread.php?t=1235

Незарегистрированный
15.01.2009, 16:17
Вам сюда http://virusinfo.info/forumdisplay.php?f=46 по правилам http://virusinfo.info/showthread.php?t=1235
Уважаемый...у нас например в конторе около 60 компов,и все разные и sp3 и sp2 и со всеми обновлениями,и все равно все заражены и атаки идут каждые 15-40 мин.И заплатки от Майкрасофта,это все фигня не помогают.

devon
15.01.2009, 16:28
на машины с Windows XP SP3 и со всеми обновлениями Net-Worm.Win32.Kido.bt всё равно лезет :(
заплатки это не все. обязательно нужно сменить пароли на админские учетные записи сделать их не тривиальными (не 12345, root и т.п.), вирус подбирает их по словарю, наиболее простые (в большинстве случаев как видно хватает). тут заплатками не закрыть. либо отключайте скрытые админские шары ADMIN$/IPC$ на всех машинах.

[500mhz]
15.01.2009, 17:28
обращаться к ресурсу по его IP-адресу (216.246.90.119)
шас автор продукта подправит 2 строчки и будет резольвить ИП, тогда пупец настанет

Siam
15.01.2009, 17:31
Всем привет, может кому-нибудь поможет наш алгоритм борьбы
имеется
Net-Worm.Win32.Kido.em
1.ставим заплатки от майкрософта о которых здесь неоднократно говорилось
2.берём выкачиваем и ставим http://ccollomb.free.fr/unlocker/
3.после этого находим в %systemroot%/system32 файл размера 161612 это хиден dll с произвольным именем
4.клацаем на нем правой кнопкой и выбираем unlock
5.выбираем опцию unlock (разблокировать), кстати за компанию становится видно от какого он процесса
6.тут же по правой кнопке вгоняем этот файл в пасть касперу
7. следует экстренное лечение памяти с перезагрузкой.
8. проверка критической области сразу после перезагрузки компьютера дочищает остатки от вируса в темпах
Каспер 6.0.3.837 b.c.d.e
надеюсь кому-нибудь поможет (сами 2 недели лечились безуспешно - всё равно игнорируя заплатки ЕМ лазит по сети и заново внедряется, у него немного другой механизм регистрации и маскировки, но очень похож на kido.tm)
p.s. khersonec спасибо за наводку про размер вирусного файла, до этого мы не могли его поймать.

Незарегистрированный
15.01.2009, 19:06
3.после этого находим в %systemroot%/system32 файл размера 161612 это хиден dll с произвольным именем

у меня ненашло фаила с таким размером, но много фаилов с размером 1616, что делать?

Siam
15.01.2009, 19:47
Как я определил рамер:
у нас в корневых каталогах дисков появился каталог recycler\бла-бла-бла\(набор бковок).vmx
Конкретно у нас
вирус Net-Worm.Win32.Kido.em
Файл: G:\RECYCLER\2312312-31231231-321312\jwgkvsq.vmx
На нем мы посмотрели размер.
И потом по размеру стали искать dll в system32
Размер зависит от версии гадости
Причем каспер не смог удалить и вот этот jwgkvsq.vmx

МИ_ХАСЬ
15.01.2009, 20:51
какие еще сетевые обращения? это задача файервола. лечить этот вирус в сети любым антивирусом (именно ав) не пропатча (как минимум тремя патчами) машины мало эффективно. пока одну пролечишь с другой уже приползет опять через дыру.

а вы уважаемый на инфицырованной машине в режиме командной строки выполните команду netstat -a, посмотрите листинг а потом посмотрите что вы в посте написали, может ваше мнение несколько изменится.:wink_3:
Если поделитесь номерами заплаток буду признателен. Про KB958644 можно не писать, его уже многораз помянули, однако "Воз и ныне там".

Рекомендую обазательно проверять папку System Volume Information (если не отключено "Восстановление системы"), в ней как показывает практика лежит екземплярчик зловреда, который система успела забекапить. Проблема в том, что по умолчанию сия папочка имеет разрешения на доступ лишь от System. Надо добавить разрешение полного доступа от текушей учетки, после чего проверить папку антивирусом и прибить паршивца.

KonSer
15.01.2009, 21:15
У меня была модификация Kido.BW
Это полный пипец ))
В сети 250 машин. Больше суток мучались - пришлось всё же все отключать от сети (в т.ч. серваки), каждый лечить с помощью заплатки мелкософта + KLWK утилитки от Каспера - и только тогда обратно пускать в сеть с двумя перезагрузками...

http://www.life.ru/news/53165

МИ_ХАСЬ
16.01.2009, 00:42
...... каждый лечить с помощью заплатки мелкософта ...



подскажите какие заплатки ставили?

pig
16.01.2009, 03:15
Надо как минимум MS08-67, MS08-68, MS09-01. Плюс сильные пароли администраторов - или отключить административные шары системных дисков.

Незарегистрированный
16.01.2009, 08:39
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=eeafcdc5-df39-4b29-b6f1-7d32b64761e1

Обратите Ваше внимание на бюлетен безопасности MS09-001 от 9 января 2009

devon
16.01.2009, 10:20
а вы уважаемый на инфицырованной машине в режиме командной строки выполните команду netstat -a, посмотрите листинг а потом посмотрите что вы в посте написали, может ваше мнение несколько изменится.:wink_3:

и как прикажете отслеживать это обычному антивирусу? я в курсе про http сервер. и что дальше, мысль изложите свою до конца, а не загадками плиз. что конкретно нужно сделать по вашему ав? может есть дельная мысль и мы ее реализуем в докторе.

Рекомендую обазательно проверять папку System Volume Information (если не отключено "Восстановление системы"), в ней как показывает практика лежит екземплярчик зловреда, который система успела забекапить. Проблема в том, что по умолчанию сия папочка имеет разрешения на доступ лишь от System. Надо добавить разрешение полного доступа от текушей учетки, после чего проверить папку антивирусом и прибить паршивца.
сканер, курит спокойно проверяет эту папку и без этих финтов, получив доступ через антируткит.

МИ_ХАСЬ
16.01.2009, 17:13
и как прикажете отслеживать это обычному антивирусу? я в курсе про http сервер. и что дальше, мысль изложите свою до конца, а не загадками плиз. что конкретно нужно сделать по вашему ав? может есть дельная мысль и мы ее реализуем в докторе.
Спасибо что спросили, ну хотя бы добавьте в лог,который пишет антивирус адрес , с которого атака идет. Не знаю есть ли эта возможность в каких нить версиях (в версии 4.44 не нашел), кроме того было бы удобно если бы это все можно было отсылать к примеру net send командой администратору., заодно и лог в системном журнале :xmas: у админа.
[quote=сканер, курит спокойно проверяет эту папку и без этих финтов, получив доступ через антируткит.[/quote]

не согласен, хотя может я чего не так с настройками накрутил, подскажите пожалуйста что поправить. Заранее благодарю.

devon
16.01.2009, 19:28
Спасибо что спросили, ну хотя бы добавьте в лог,который пишет антивирус адрес , с которого атака идет.

Я не зря выделил фразу. Я вам еще раз повторю, это может отследить файервол, ids , а не файловый антивирус. фаервол у нас в разработке сейчас. пока совместно с доктором нужно обязательно ставить фаервол, т.к. они дополняют друг друга, и каждый выполняет свою задачу.


Не знаю есть ли эта возможность в каких нить версиях (в версии 4.44 не нашел), кроме того было бы удобно если бы это все можно было отсылать к примеру net send командой администратору., заодно и лог в системном журнале :xmas: у админа.

Все действия которые произвел файловый монитор над файлами можно отсылать как по сети так и на почту. а через шлюз и на смс. :)



не согласен, хотя может я чего не так с настройками накрутил, подскажите пожалуйста что поправить. Заранее благодарю.
смотрите чтобы в логе сканера писалось сразу за шапкой: DwShield started.
если такой строки нет, значит антируткит не работает, лучше обратится в тех. поддержку. либо тут в разделе помогите проверится ;)

splaiter
16.01.2009, 21:32
у меня была модификация Net-Worm.Win32.Kido.em.

Признаки, которые я заметил:
1) На флешке в папке \RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 был файл вируса jwgkvsq.vmx, размером 161612 байт.
2) Появился файл autorun.inf в корне флешки.
3) Перестал осуществляться доступ к антивирусным сайтам, а также к антивирусным базам.

Удалял так:
1) Сначала через диспетчер задач завершил работу процесса svchost.exe, который занимал больше всех оперативной памяти.
2) После этого нашел в папке Windows/system32 копию вируса, под именем yvdwjkui.dll, тоже размером 161612 байт. Изначально этот файл не детектился Касперским, но после завершения процесса svchost.exe - сразу обнаружился.
3) Также копия вируса была обнаружена в папке C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\MARASPFL\
под именем uwwssi[1].bmp
4) После удаления этих файлов были установлены 3 критических обновления: MS08-67, MS08-68, MS09-01.
5) С флешки были удалены файлы jwgkvsq.vmx и autorun.inf

rasclogin
16.01.2009, 22:18
1) Данный вирус запускается оригинальным SVCHOST.EXE с параметром заражённой библиотеки (random_name).dll, лежащей в SYSTEM32 (атрибут билиотеки установлен в "скрытый" или "ситемный"). Необходимо проверить права доступа для этой библиотеки. Как правило, кроме системы, никому доступ не разрешён. После переустановки прав (напр., Администраторы=полный доступ), можно убить его UNLOCKERом (http://ccollomb.free.fr/unlocker/).
2) В реестре всё-же запись есть. Необходимо искать абсолютно пустой (без параметров и подключей) ключ в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es (например HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\dpiixcu), и также переустановить права доступа для ветки. Тогда (после обновления содержимого по F5) появится вся инфа, в т.ч. в подветке PARAMETERS ключ ServiceDll с именем и путём к вирусной библиотеке.
3) В файловом менеджере (не ПРОВОДНИК !!!) необходимо также проверить подпапки в "Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5" (либо Default User), где вирус под видом кешированных фалов прячет свои копии.

V.P.
18.01.2009, 13:51
VirusInfo советует пользователям, пострадавшим от Net-Worm.Win32.Kido, установить срочное обновление операционной системы Windows, исправляющее уязвимость в службе Сервер (Server), и пройти бесплатное лечение на ресурсе.Сочуствую сетевым админестраторам. Админестрировать свой домашний ПК помойму гораздо легче и без большого объема специальных знаний и навыкав.
Скажите пожалусто
есле юзер уже правильно выполнил заблаговременно ваши рекомендации по отключению уязвимых сервисов в своей ОС и по отключению автозапуска со сменных носителей, да еще и в учетной записи юзера сидит при активном UAC, то он не подвержен опасности быть инфицированным этими червями и без всяких патчей и вне зависимости от того какие антивирус с фаерволом у него установлены? Есле конечно он сам не накосячит =)

Doc18
18.01.2009, 15:43
Здравствуйте! У нас в локалке было сразу 2 модификации этого вируса. Больше всего попортила нервы Net-Worm.Win32.Kido.ih. После обновления баз НОДа32 и Аваста все части вируса, кроме находящейся в папке system32 были вычищены в автоматическом режиме, а этот файл они не находили с базами от 10 января.
Числа 13 решил поставить Eset Smart Security (просто посмотреть, что это такое). Во время установки был обнаружен вирус 13.01.2009 4:07:07 Модуль сканирования файлов, исполняемых при запуске системы файл C:\WINDOWS\system32\hwapfqbj.dll Win32/Conficker червь очищен удалением (после следующего перезапуска) После перезагрузки данный файл никуда не делся. А в ходе последующих проверок отображолся синим цветом (как файл, доступ к которому заблокирован). Из безопасного режима тоже не удалялся. Самое непонятное для меня то, что я не смог его удалить и при загрузке с компакт диска. Файл вообще никак не открывался, его невозможно было ни просмотреть, ни удалить, ни скопировать.

При сканировании AVZ и антивирусной утилитой от касперского тоже ничего не находилось. AVZ даже не находил такую .dll. В реестре по названию файла также ничего не нашёл. То есть, он не оставлял в системе почти никаких следов. Воспользовавшись Process Explorer от Марка Русиновича определил, что эта dll внедрена в svchost.exe - хоть что-то! Процесс svchost.exe именно с этим ID давал неслабую нагрузку на систему. (что после удаления вируса устранилось).

Удалил его при помощи AVZ, а именно следующим скриптом.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\hwapfqbj.dll');

BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Остальные компьютеры лечил так:
1. Скачивал и ставил заплатки.
2. Проиводил полныю проверку НОДом, или Eset Smart Security.
3. В логах НОДа (ESS) находил заблокированные файлы в папке system32ю(обычно был один файл *.dll - и это и был тот самый вирус.)
4. На всякий случай, проверял атрибуты файла и возможность их изменить.
5. После этого запускал приведённый выше скрипт (изменив имя файла, конечно) в AVZ.


P.S.: До запуска AVZ полую проверку антивирусом приходилось делать почти всегда, т.к. без этого либо не устанавливался "драйвер расширенного мониторинга процессов", либо не запускался режим "AVZ Guard".

Незарегистрированный
18.01.2009, 16:30
Господа! А заплатка MS09-01 эффективна?

Незарегистрированный
18.01.2009, 18:30
от повторного заражения нам помогло отключение общего ресурса ADMIN$. Ресурс IPC$ не отключали.

Незарегистрированный
18.01.2009, 19:59
Толку от MS09-001 нет! Проверено! Реально помогают только отключение шар ADMIN$.

Doc18
18.01.2009, 20:10
Толку от MS09-001 нет! Проверено! Реально помогают только отключение шар ADMIN$.
MS09-001 устраняет дыру в самой системе. А наличие шары ADMIN$ - дыра в настройке системы, как и наличие учётной записи администратора с пустым или примитивным паролем.

P.S.: на мой компьютер попытки проникновения червя из сети прекратились. Но ручаться за этот апдейт не могу. Шара ADMIN$ отключена давно, как и учётная запись админа. Также расшаренные папки открыты только на чтение.

Незарегистрированный
18.01.2009, 20:27
MS09-001 устраняет дыру в самой системе. А наличие шары ADMIN$ - дыра в настройке системы, как и наличие учётной записи администратора с пустым или примитивным паролем.

P.S.: на мой компьютер попытки проникновения червя из сети прекратились. Но ручаться за этот апдейт не могу. Шара ADMIN$ отключена давно, как и учётная запись админа. Также расшаренные папки открыты только на чтение.

Господа, подскажите как можно в AD политикой безопасности одним махом отключить у пользователей в домене шару ADMIN$. Заранее благодарности!

ACik
19.01.2009, 13:02
Господа, подскажите как можно в AD политикой безопасности одним махом отключить у пользователей в домене шару ADMIN$. Заранее благодарности!

я скриптом создал вот это: В ветке HKLM\\SYSTEM\\CurrentControlSet\\Services\\LanmanS erver\\Parameters создать параметр AutoShareWks тип DWORD, значение 0. Перезагрузить комп. и в Logon засунул, будем надеятся что катстрировал эту падлу )) во только в ручную чистить 600+ компов не очень

Добавлено через 45 минут

кстати, у меня касперыч арет на Kido.bt, а вут тот описание http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725 везде пишут что он прописывает в реестре и нужно удалить пару ключей, ну нету у меня не наодном компьютере данного ключа в реестре :)

Незарегистрированный
19.01.2009, 18:17
у нас в сети завелась модификация bx . Сразу на все тачки поставил апдейт от MS . Потом по списку все компы проверка на наличие патча, проверка DrWeb CureIt, он сделан на основе 5 версии и поэтому практически сразу или 2 второй день эпидемии у нас вирус начал удалять, после проверки всех компов по списку сетевые атаки прекратились, но на некоторых компах XP начал подглюкивать разшареный принтер (останавливалась служба диспетчер очереди печати). При лечении вирусов я вычислил само тело (dll) , обратил внимание что она хоть и все время случайное имя но установлены все атрибуты (скрытый, архивный и тд). за 2 часа состряпал скрипт проверяющий папку system32 на всех компах в сети по поиску таких dll . нашел еще 3 компа. вычистил вот жду результатов, что скажут сетевые принтеры...
на лечение сетки 200 компов ушло 6 рабочих дней (пока:)

Doc18
19.01.2009, 22:23
Господа, подскажите как можно в AD политикой безопасности одним махом отключить у пользователей в домене шару ADMIN$. Заранее благодарности!Для этого в винде есть команда "net share". В таком виде она покажет все расшаренные ресурсы. Далее выбираем нужный ресурс и в командной строке (Пуск->Выполнить->cmd) вводим команду net share {имя ресурса} /delet
таким образом для удаления ресурса ADMIN$ надо ввести команду net share ADMIN$ /delet.

есть другой вариант.
1. открываем блокнот
2. набиваем там команды для удаления всех лишних шар, в моём случае это
net share C$ /delet
net share J$ /delet
net share K$ /delet
net share L$ /delet
net share I$ /delet
net share Admin$ /delet
net share print$ /delet
3. сохраняем файл с расширением .bat
4. Двойным кликом запускаем его.

Таким образом, я отключил расшаривание дисков C, J, K, L, I, админку и расшаривание принтеров.

ACik
20.01.2009, 05:51
У меня сетка 600 компов из них зараженных 192 это судя по тому кто обновления KB958644 во время не поставили, но даже после установки обновления на зараженные компы вирус по ним таки ходит, вчера попробовал отрубить везде ADMIN$ пока вроде тихо, больше всего что меня настараживает все кто описания вируса писал, похожесть только в одном проподает звук(без патча), и повышается активность сетки, в реестре ни одного левого ключа найти не получилось

отключил ADMIN$ вчера вечером, до сегоднишнего утра не одной атаке обноружено не было!!!

J-Dragon
20.01.2009, 16:03
Новая модификация вируса Net-Worm.Win32.Kido.hf , ниодин антивирус не находит основные файлы данного вируса.

(Очень злой неуловимый вирус который самомодифицируется и распространяется по всей сети вне зависимости от установленной версии Windows)

Начинать надо обязательно с домена и основных серверов, затем менее важные сервера, затем рабочие станции ИТ отдела, а лишь потом все остальные.

Порядок действий:

1) Ставим заплатки номер KB958644 от Майкрософта. (помогла, но не на всех компах, тупо перестала вылазить ошибка svchost.exe, поэтому лишней не будет).

2) Данный вирус запускается оригинальным SVCHOST.EXE с параметром заражённой библиотеки (random_name).dll, лежащей в SYSTEM32 (атрибут билиотеки установлен в "скрытый" или "ситемный"). Необходимо проверить права доступа для этой библиотеки. Как правило, кроме системы, никому доступ не разрешён. После переустановки прав
(напр., Администраторы=полный доступ), можно убить его UNLOCKERом (http://ccollomb.free.fr/unlocker/).

Кстати Dr.Web CureIt! находит эти dll файлы (но на всякий случай лучше проверять еще и самому, удалять всё равно придется UNLOCKERом)

3) Проверка антивирусом Касперский (не ниже 6-й версии, т.к. 5-я уже не катит - проверено) добивает остатки вируса.

P.S.: И на последок, если вы сразу проверяли компьютер на вирусы и вирусов не нашлось, то это абсолютно не значит что на нём нету вирусов и даже скорее всего этот компьютер является разносчиком вируса (убедились в этом не раз). Первые признаки, постоянный вылет ошибки svchost.exe, ошибки может и не быть, но машина которая до этого всегда хорошо работала вдруг стала сильно тормозить и выбивать сеть без всяких причин – это вторая причина…

Все эти действия помогли наладить работу домена и предотвратить дальнейшее распространение данного вируса по серверам домена. Теперь остались рабочие машины с которых вирус на сервера теперь не пробьется. В данный момент занимаемся пользователями… т.к. 6-й Касперский уже не даст распространиться телу вируса на машины где он установлен. (до этого везде стоял 5-й каспер).

Добавлено через 40 минут

Ах да, еще на Windows XP бывает запущено в процессах много rundll32.exe, что является ненормальным, это явное проявление вируса Kido, а копия вируса на этих машинах была обнаружена 5-м каспером в \Window\sistem32

RobinFood
20.01.2009, 17:19
Наверняка для кого-то эта новость давно устарела, но может быть кому-то и поможет.

Microsoft выпустил обновление для своего MRT (http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=ru&SrcCategoryId=&SrcFamilyId=ad724ae0-e72d-4f54-9ab3-75b8eb148356&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2 f4%2fA%2fA%2f4AA524C6-239D-47FF-860B-5B397199CBF8%2fwindows-kb890830-v2.6.exe) (Malicious Software Removal Tool), которое видит и лечит kido (по крайней мере ту версию, которая гуляет у нас - fw).
Плюс на сайте Microsoft выложено подробное (хотя и не полное) описание (http://support.microsoft.com/kb/962007/en-us), с детальным алгоритмом ручного удаления.

J-Dragon
20.01.2009, 18:37
Наверняка для кого-то эта новость давно устарела, но может быть кому-то и поможет.

Microsoft выпустил обновление для своего MRT (http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=ru&SrcCategoryId=&SrcFamilyId=ad724ae0-e72d-4f54-9ab3-75b8eb148356&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2 f4%2fA%2fA%2f4AA524C6-239D-47FF-860B-5B397199CBF8%2fwindows-kb890830-v2.6.exe) (Malicious Software Removal Tool), которое видит и лечит kido (по крайней мере ту версию, которая гуляет у нас - fw).
Плюс на сайте Microsoft выложено подробное (хотя и не полное) описание (http://support.microsoft.com/kb/962007/en-us), с детальным алгоритмом ручного удаления.

HF версия этой ерундой не находится, это модификация предыдущих версий...

Незарегистрированный
20.01.2009, 18:40
Аж да, еще на Windows XP бывает запущено в процессах много rundll32.exe, что является ненормальным, это явное проявление вируса Kido, а копия вируса на этих машинах была обнаружена 5-м каспером в \Window\sistem32

у Вас в "Планировщике заданий" куча "левых" заданий пытающихся стартовать червя. Потрите всё.

J-Dragon
20.01.2009, 19:52
у Вас в "Планировщике заданий" куча "левых" заданий пытающихся стартовать червя. Потрите всё.

Читай пост выше...

Добавлено через 4 минуты

Кстати Dr.Web CureIt! находит этот вирус (dll файлы), мы били в шоке...

rNix
21.01.2009, 00:54
Здравствуйте! В сети появилась по признакам одна из разновидностей этого вируса. На эту страницу попасть не мог, касперский не обнаруживал ничего, outpost firewall постоянно регистрировал исходящие и входящие пакеты по сети через службу netbios.
А главный признак наличия какой то заразы - это после удаления autorun.inf и папки RECYCLER с флешки, а затем её подключения, файлы снова появлялись. Причём дело было только с флешкой, жесткий были без autorun.inf

Занялся самолечением =)
1. Сначала сделал поиск в реестре по названию файла, лежащего в RECYCLER\S-...\ и удалил эти ключи
2. Нашел скрытую .dll в \system32: это можно сделать либо FAR'ом и найти единственную скрытую dll либо средствами windows
3. Используя ProcessExplorer я нашел процесс, котрый использовал эту dll - это был svchost.exe. Она была единственным файлом с полным путём и расширением.
4. С помощью этого же ProcessExplorer отключил использование этой dll
5. Выставил права на вкладке Безопасность для нее (dll) в system32
6. Удалил её
7. Запустил CCleaner и произвел поиск и устранение ошибок в реестре
8. Перезагрузился.
В итоге исходящих пакетов в подсеть не стало, autorun.inf на флеху писать перестал. Для предупреждения проблемы поставил WindowsXP-KB958644-x86-RUS.
После этого запускал klwk и windows-kb890830-v2.6.exe - наличие:0
Возможно причина CCleaner, но ни левой службы, ни задания в реестре не обнаружено (разрешения высставлены).

Кроме того запускал f-downadup (подозрительная утилита). В конце-концов через час после празднования проблемы, обнаружил, что у меня стали открыты udp порты диапазоном длины около 650.
CureIT сегодняшний ничего не обнаружил. Лишние udp потры не открылись после перезагрузки.

Остался вопрос, вредны ли и как бороться с входящими пакетами, которые вливают мне через Netbios_ns по 50-60 Кбайт. Полностью поставить фаервол на блокирование не могу, т.к. раздаю файлы по сети

Nexus
21.01.2009, 10:46
я скриптом создал вот это: В ветке HKLM\\SYSTEM\\CurrentControlSet\\Services\\LanmanS erver\\Parameters создать параметр AutoShareWks тип DWORD, значение 0. Перезагрузить комп. и в Logon засунул, будем надеятся что катстрировал эту падлу )) во только в ручную чистить 600+ компов не очень

Добавлено через 45 минут

кстати, у меня касперыч арет на Kido.bt, а вут тот описание http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725 везде пишут что он прописывает в реестре и нужно удалить пару ключей, ну нету у меня не наодном компьютере данного ключа в реестре :)

Возможна модицикация, у мну тож нет таких ключей, а компы поражены...

J-Dragon
21.01.2009, 13:47
Новая модификация вируса Net-Worm.Win32.Kido.hf , ниодин антивирус не находит основные файлы данного вируса.

(Очень злой неуловимый вирус который самомодифицируется и распространяется по всей сети вне зависимости от установленной версии Windows)

Начинать надо обязательно с домена и основных серверов, затем менее важные сервера, затем рабочие станции ИТ отдела, а лишь потом все остальные.

Порядок действий:

1) Ставим заплатки номер KB958644 от Майкрософта. (помогла, но не на всех компах, тупо перестала вылазить ошибка svchost.exe, поэтому лишней не будет).

2) Данный вирус запускается оригинальным SVCHOST.EXE с параметром заражённой библиотеки (random_name).dll, лежащей в SYSTEM32 (атрибут билиотеки установлен в "скрытый" или "ситемный"). Необходимо проверить права доступа для этой библиотеки. Как правило, кроме системы, никому доступ не разрешён. После переустановки прав
(напр., Администраторы=полный доступ), можно убить его UNLOCKERом (http://ccollomb.free.fr/unlocker/).

Кстати Dr.Web CureIt! находит эти dll файлы и UNLOCKER не понадобится, но при этом надо каспера отключать на время проверки, иначе ничего не найдёт (но на всякий случай лучше проверять еще и самому)

3) Проверка антивирусом Касперский (не ниже 6-й версии, т.к. 5-я уже не катит - проверено) добивает остатки вируса.

P.S.: И на последок, если вы сразу проверяли компьютер на вирусы и вирусов не нашлось, то это абсолютно не значит что на нём нету вирусов и даже скорее всего этот компьютер является разносчиком вируса (убедились в этом не раз). Первые признаки, постоянный вылет ошибки svchost.exe, ошибки может и не быть, но машина которая до этого всегда хорошо работала вдруг стала сильно тормозить и выбивать сеть без всяких причин – это вторая причина…

Все эти действия помогли наладить работу домена и предотвратить дальнейшее распространение данного вируса по серверам домена. Теперь остались рабочие машины с которых вирус на сервера теперь не пробьется. В данный момент занимаемся пользователями… т.к. 6-й Касперский уже не даст распространиться телу вируса на машины где он установлен. (до этого везде стоял 5-й каспер).


Ах да, еще на Windows XP бывает запущено в процессах много rundll32.exe, что является ненормальным, это явное проявление вируса Kido, а так же в Диспетчере задач запущено множество одинаковых заданий rundll32.dll ************ , которые появляются даже при полном удалении всякого заражения с компа, это просто ужас какой-то... откуда что берётся? на компах пробовали закрывать все шары, в том числе и Admin$, что не помогло, и вся эта ерунда сильно нагружает компы... :dry:


Мы уже устали с ним бороться нах.....

Незарегистрированный
21.01.2009, 15:54
2Doc18: Подскажите пожалуйста, по вашей подсказке удалил расшаренные ресурсы (диски и админ), после перезагрузки они снова появляются в шаре. Их можно закрыть насовсем???

Kuzz
21.01.2009, 16:32
Их можно закрыть насовсем???
Специально в Чаво тема есть такая (http://virusinfo.info/showthread.php?t=12314))

Незарегистрированный
21.01.2009, 18:12
2Kuzz: Спасибо! Все аутсорсинговые компутерщики нам ни фига не помогают, уповают на антивири, а kido уже все мозги прогрыз:)

zvs
21.01.2009, 18:50
В ходе борьбы с этой заразой обозначилась следующая проблема на некоторых копмах в сети.
Попробую описать на примере одного из них.

На компе стоит 6-й каспер. Комп изначально был не пропатчен, но потом все заплатки поставили. Описанных симптомов заражения нет. Антивирусы на нем ничего подозрительного не находят (и курит в сэйв моде, и сам каспер, и avz).
Вроде как все чисто....
На линуховом роутере, к которому подключен этот комп, tcpdump показал такую картину: он в соседнюю мою подсетку отправляет сначала пару ICMP пакетов, потом TCP син на 139 порт, потом на 445.
Удивляет точность попаданий: эти пакеты отправляются аккуратно на IP адреса недавно флудивших этой заразой в сеть компов, которые (само-собой) либо в этот момент в отключке, либо уже пролечены.
В целом это происходит, так сказать, не спешно. Сначало на один IP сунулись, минут через 5 на другой и так далее.
И чего спрашивается этому компу от них надо теперь?...

Может у кого-то имеет место что-то подобное?
К сожалению у нас уже поздно, так что более подробно разбираться буду только завтра.

Doc18
22.01.2009, 00:10
В ходе борьбы с этой заразой обозначилась следующая проблема на некоторых копмах в сети.
Попробую описать на примере одного из них.

На компе стоит 6-й каспер. Комп изначально был не пропатчен, но потом все заплатки поставили. Описанных симптомов заражения нет. Антивирусы на нем ничего подозрительного не находят (и курит в сэйв моде, и сам каспер, и avz).
Вроде как все чисто....
На линуховом роутере, к которому подключен этот комп, tcpdump показал такую картину: он в соседнюю мою подсетку отправляет сначала пару ICMP пакетов, потом TCP син на 139 порт, потом на 445.
Удивляет точность попаданий: эти пакеты отправляются аккуратно на IP адреса недавно флудивших этой заразой в сеть компов, которые (само-собой) либо в этот момент в отключке, либо уже пролечены.
В целом это происходит, так сказать, не спешно. Сначало на один IP сунулись, минут через 5 на другой и так далее.
И чего спрашивается этому компу от них надо теперь?...

Может у кого-то имеет место что-то подобное?
К сожалению у нас уже поздно, так что более подробно разбираться буду только завтра.В этой теме уже не раз говорилось о том, что описанные симптомы наличия вируса присутствуют не всегда. О том, что было на моём компьютере я писал здесь (http://virusinfo.info/showpost.php?p=335878&postcount=49).

Коротко повторю.
1. Антивирусы (Nod32, Avast, AVZ...) ничего не находили.
2. Никаких дополнительных ключей в реестре не было.
3. Данная .dll не отображалась ни AVZ ни Process Explorer'ом.

Был только странный файл в папке system32, имеющий атрибуты "системный", "скрытый", "архивный" и "только для чтения", который был полностью заблокирован для любых манипуляций. Я не смог его ни удалить, ни скопировать, даже ЗАГРУЗИВШИСЬ С КОМПАКТ ДИСКА!!!. Воспользовавшись поиском в Process Explorer'е по имени .dll, я обнаружил, что она подгружена к процессу svchost, но в списке используемых .dll она не отображалась.

Исходя из всего описанного, я бы Вам посоветовал, на всякий случай, проверить папку system32. Искать нужно файл с именем *.dll и атрибутом "системный".

Как его удалять, тоже писали не раз:
1. Изменить права доступа у этого файла, после чего удалить анлокером.
либо
2. выполнить скрипт в AVZ (подставив правильное имя .dll)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\hwapfqbj.dll');

BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Phoenyx
22.01.2009, 11:16
Столкнулся с этим вирусом.
Панда молчала, даже когда я ей четко указал на файл (тот самый .dll)
Обнаруживается CureIt. Им же и удаляется. После перезагрузки становятся доступны сайты антивирусных компаний. Через некоторое время появляется снова.
Поставил NOD 4 Smart Security Beta.
Он его прибивает при Flood-атаке с других компьютеров сети или при попытке svhost.exe получить к нему доступ (если файл все-таки проник).
Часто ему удается попасть в ...IE5\... (выше был указан точный адрес).
Знаменитая заплатка от МS не помагает, файлу удается попасть на мой компьютер через атаку по http:.

У меня вопрос. Если с компьютера доступны интернет-ресурсы по безопасности (антивирусные компании, вирус инфо и т.п.), означает ли это, что мой компьютер не заражен данным Конфикером. Или иначе, есть ли это обязательным симптомом??

http://tmace.com/images/4joa7s1p9lsxz5tk1kbi.jpg
Это картинка. Как видно, файл сохраняется во временных файлах с произвольным размером..

Doc18
22.01.2009, 19:17
У меня вопрос. Если с компьютера доступны интернет-ресурсы по безопасности (антивирусные компании, вирус инфо и т.п.), означает ли это, что мой компьютер не заражен данным Конфикером. Или иначе, есть ли это обязательным симптомом??Ответ есть в сообщении выше. У меня на компьютере никаких проблем не определялось, в т.ч. открывались все сайты.

Незарегистрированный
24.01.2009, 03:48
Поделюсь опытом! после лечения каспером бесплатной тулзой, проверил Dr.Web CureIt! он нашёл ещё дополнительно пару копий заразы в System Volume Information, после этого поставил Avast и тот тамже после доктор веба ещё штук 5 нашёл!!!, так что будте бдительны перепроверяйте несколькими антивирями.
а ещё потестите сетку вот этим: http://www.securitylab.ru/analytics/362523.php, не везде с первого раза стали заплатки,
и кстати на вылеченых (вроде) машинах невозможно отобразить скрытые файлы может кто подскажет как боротся?

Dimon777
24.01.2009, 12:56
А есть ли 100% лекарство против этого червя? Например, если я поставлю новую винду, можно ли что нить установить, чтоб этот вирус не залез? Этот вирус сидит у нас на серваке в городской сети... Помогите, чем можете?

Незарегистрированный
24.01.2009, 12:57
Поделюсь опытом! после лечения каспером бесплатной тулзой, проверил Dr.Web CureIt! он нашёл ещё дополнительно пару копий заразы в System Volume Information, после этого поставил Avast и тот тамже после доктор веба ещё штук 5 нашёл!!!, так что будте бдительны перепроверяйте несколькими антивирями.
а ещё потестите сетку вот этим: http://www.securitylab.ru/analytics/362523.php, не везде с первого раза стали заплатки,
и кстати на вылеченых (вроде) машинах невозможно отобразить скрытые файлы может кто подскажет как боротся?

Отключил все компы от сети, проходил куритом, ставил заплатки, перегружался, снова куритом, снова перегружался, каждый раз находил что-то новенькое под разными именами в следующих местах (полный поиск - много времени): System 32, c:\doc&set, System Volume Inf, c:\prog files\Movie Maker, шары если есть, так до полной чистоты. После этого подключаю в сеть. Каждый день по нескольку машин, но вроде проблем пока нет. Попутно запрет на флешки (DeviceLock), иначе только за дверь, а там довольный пользователь снова втыкает зараженную флешку.

Doc18
24.01.2009, 13:49
на вылеченых (вроде) машинах невозможно отобразить скрытые файлы может кто подскажет как боротся?у меня тоже на всех вылеченных компах не восстанавливается отображение скрытых файлов.


А есть ли 100% лекарство против этого червя? Например, если я поставлю новую винду, можно ли что нить установить, чтоб этот вирус не залез? Этот вирус сидит у нас на серваке в городской сети... Помогите, чем можете?100% гарантии не даст никто. А свести вероятность до минимума можно:
1. Чистая винда.
2. ВСЕ!!! заплатки.
3. Антивирус со свежими базами.
4. фаервол (только не встроенный)
5. Отключить учётную запись админа СОВСЕМ!
6. Отключить учётную запись гостя.
7. Все расшаренные папки открывать только на чтение.
8. Отключить удалённый доступ и удалённого помощника.
9. Отключьть шару ADMIN$ и расшаривание всех дисков.
10. Отключить все ненужные службы.

Пункты 3 и 4 можно объединить, например, поставив KISS. ESS использовать не советую - там фаервол очень глючный (сам сейчас его испытываю - лажа полная).

Тонкая настройка винды - очень обширная тема. По ней много информации есть и на этом сайте. Ищите, читайте, учитесь.

Гриша
25.01.2009, 13:14
Лаборатория Касперского выпустила утилиту KidoKiller для борьбы с сетевым червем Net-Worm.Win32.Kido, утилита содержит generic-детектирование всех известных модификаций червя.

Алгоритм лечения с помощью данной утилиты описан в данной статье http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215

Незарегистрированный
25.01.2009, 21:25
кстати на вылеченых (вроде) машинах невозможно отобразить скрытые файлы может кто подскажет как боротся?

VirusHunter_utilities первая по порядковому номеру, как раз борется с этим багом

koksinator
26.01.2009, 10:24
Поставил заплатку от майкрософта, осмотр папки system32 ничего не выявил (визуально). Нод32 скан ничего не выявил. Кидокиллер ничего не выявил. Машина работает стабильно, но паникую из-за кол-ва процессов svchot.exe и rundll32.exe, по моему их раньше столько не было, или зря паникую ?
Скрин ниже.

zood
26.01.2009, 13:03
А у меня вообще какая-то странная модификация. Доступ к сайтам не блокируется, компы работают стабильно, антивирусы (нод, касперыч и всякие утилиты по борьбе с этим вирусом) ничего не находят. НО несколько раз в день (почти на всех компах) нод блокирует зараженную dll'ку. просто появляется сообщение о том что нод нашел зараженный файл и очитил его удалением (и она реально удаляется). И постоянно (не пойму как) в планировщик добавляются задачи, пробовал удалять всякими разными способами - все-равно появляются. Установил все заплатки - все равно продолжается, правда устанавливал я их уже на зараженные компы. в реестре вроде ничего подозрительного нет. карзины проверил, все аутораны поудалял. По-началу эта хрень даже создавала аутораны в сетевых (рабочих) папках пользователей но потом когда я дня три вручную их удалял появляться перестали и на серваках служба "серевер" переодически вылетала. Разные проги находили разные вирусы (нод говорил что это conficker.aa, касперыч - KIDO, другой его называл downdup) и успешно удаляли. Но сейчас вот до сих пор на большистве рабичих станциях срабатывает нод и отлавливает зараженную библиотеку! и задачи продолжают создаваться!! может к вас есть какие-нить варианты?

P.S. в папке tasks бывает еще СКРЫТАЯ задача - будте внимательны

Незарегистрированный
26.01.2009, 22:46
Поставил заплатку от майкрософта, осмотр папки system32 ничего не выявил (визуально). Нод32 скан ничего не выявил. Кидокиллер ничего не выявил. Машина работает стабильно, но паникую из-за кол-ва процессов svchot.exe и rundll32.exe, по моему их раньше столько не было, или зря паникую ?
Скрин ниже.

Об этом уже говорилось - смотри назначенные задачи

Незарегистрированный
26.01.2009, 22:48
P.S. в папке tasks бывает еще СКРЫТАЯ задача - будте внимательны

Поясни пожлста скрытая задача это как?

koksinator
27.01.2009, 01:42
Об этом уже говорилось - смотри назначенные задачи

У меня Windows XP SP2, вы смотрели прикреплённое изображение ?

J-Dragon
27.01.2009, 07:25
Поставил заплатку от майкрософта, осмотр папки system32 ничего не выявил (визуально). Нод32 скан ничего не выявил. Кидокиллер ничего не выявил. Машина работает стабильно, но паникую из-за кол-ва процессов svchot.exe и rundll32.exe, по моему их раньше столько не было, или зря паникую ?


Прибивай абсолютно все процессы rundll32.dll, выключаешь все антивирусы, запускаешь Dr. web (бесплатный), он находит dll-ку и удаляет, включаешь обратно антивир, смотришь "Диспетчер задач" и удаляешь там все задания, ставишь заплатку винды, и перегружаешь тачку. Смотришь опять процессы на наличие rundll32.dll (если есть, прибиваешь) и сканишь всю систему антирусом с последними базами. Усё, живи спокойно. :rolleyes:

zood
27.01.2009, 10:13
"СКРЫТАЯ задача" - в смысле скрытый файл

vicool
27.01.2009, 13:56
почитайте это мне помогло

http://yabloger.org.ua/articles/31/po-povodu-trojanwin32agentbcjv-on-zhe-win32confickeraa-koroche-conficker

http://yabloger.org.ua/articles/37/novosti-ot-drweb-ob-win32confickeraa-ili-kak-oni-ego-nazyvayut-win32hllwshadowbased

http://yabloger.org.ua/articles/38/microsoft-obnovila-utilitu-dlya-udaleniya-vredonosnykh-programm

DoSTR
27.01.2009, 14:24
После того как вы поставили все три(KB958644 (http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03&displaylang=ru), KB957097 (http://www.microsoft.com/downloads/details.aspx?familyid=6f8ae0aa-fd68-4156-9016-bba00149793c&displaylang=ru), KB958687 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=eeafcdc5-df39-4b29-b6f1-7d32b64761e1)) критические заплатки, то далее нужно запустить NoAutorun_vs_No_AutoShareWks.reg(прикрепил) :

Их можно закрыть насовсем???
Да, с помощью прикрепленного в архиве файла NoAutorun_vs_No_AutoShareWks.reg (извлечь из архива, запустить, согласиться с установкой).
Файл, вносит записи в реестр, которые отключают автозапуск червей со сменных носителей(например с USB-Flash) и отключает шару ADMIN$


REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters]
"AutoShareWks"=dword:00000000


P.S. После этого нужно перезагрузить компьютер, для того, чтобы изменения вступили в силу.

Незарегистрированный
27.01.2009, 18:12
Встречал машины, на которых падал svhost или тачка висла. помогала заплатка или отключение портов с помощью http://www.firewallleaktester.com/tools/wwdc.exe.

Kalgan
28.01.2009, 01:23
Только сегодня обратил внимание на появившуюся папку на флешке H:\RECYCLER...
Еще подумал во давно бы надо а то удаляешь с флешки и не востановимо...
и тут наткнулся на ваш форум и... п...ц!
папка RECYCLER \S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
присутствует правда только дошел до файла так DR web 4.44 c с базами от 27.01.09 дал знать что iнфiкований Win32.HLLW.Shadow.based після підтвердження лікування видалив..

seregaaa
29.01.2009, 12:21
Net-Worm.Win32.Kido.bu. У нас все сетка с Symantec Corpor. Edition забита этой дрянью

Незарегистрированный
29.01.2009, 14:01
Диспетчеру установки не удалось проверить целостность файла Update.inf. Убедитесь, что службы криптографии запущены на данном компьютере.

Doc18
29.01.2009, 16:08
Позавчера возился с одним компьютером в нашей локалке. По клинике - опять kido: пропадал звук, на флешке появлялась папка Recycled с описанным выше в теме содержимым и на всех дисках файлы Autorun. В NOD32 - как обычно, вроде вот этого:
27.01.2009 16:18:40 AMON файл С:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EHWBQR8L\kkver[1].jpg модифицированный Win32/Conficker.AA червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением С:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
27.01.2009 16:18:37 IMON файл 10.22.144.19:2913/kkver модифицированный Win32/Conficker.AA червь NT AUTHORITY\SYSTEM Столкнулся с новыми интересными вещами:
1. *.dll в папке system32 не нашёл (сначала проверил её Нодом, затем AVZ, потом вручную - нет файла. А явные признаки заражения есть!!!)
2. На компьютер не ставился SP3 (стоял WinXP SP2 Home) и не ставились никакие заплатки. В конце распаковки выскакивало сообщение, что какой-то файл повреждён. (каждый раз - разный) перезагрузка не помогала. Попытался ставить из сети (не скачивая на комп) - не помогло.
3. Нашёл службу с названием из случайных английских букв. строка запуска типа c:\Windows\system32\svchost.exe fqweghua - Единственная зацепка!!! Служба работала. Остановить её было невозможно. Отключил, перезагрузился - SP3 и заплатки стали!
4. Начал поиски в реестре по названию службы и файла (они отличались) - ничего.
искал тотал командором файл по всем дискам, сначала fqweghua.dll, потом fqweghua.* - опять ничего. Запустил полную проверку Нодом (самый глубокий анализ) - опять ничего. Искал Process Explorerom по названию .dll - опять ничего.

В общем, сам вирус так и не нашёл... Но проблемы на компьютере прекратились.

P.S.: До того, как отключил левую службу и перезагрузился, AVZ при детектировании руткитов сообщал об ошибке обмена данными с драйвером. После всё работало. - явный признак вируса с неплохой системой самозащиты. Встречался с таким не раз, в том числе с таким поведением у kido. Поэтому в том, что машина была заражена уверен. Непонятно только, куда делся инфицированный файл.

Кто-нибудь с таким поведением kido сталкивался? Может быть, подскажите, как эту дрянь найти? Если она осталась, конечно.

zvs
29.01.2009, 17:55
В общем, сам вирус так и не нашёл... Но проблемы на компьютере прекратились.

... Непонятно только, куда делся инфицированный файл.

Кто-нибудь с таким поведением kido сталкивался? Может быть, подскажите, как эту дрянь найти? Если она осталась, конечно.

Очень весело... :mad: Мы тоже голову ломаем над этим.
Проявлялась и у нас подобная клиника на нескольких машинах.

anton_dr
29.01.2009, 21:30
Оффтоп отделён в соответствующий раздел - http://virusinfo.info/showthread.php?t=38544
Впредь просьба придерживаться темы разговора

3-man
30.01.2009, 01:21
Очень весело... :mad: Мы тоже голову ломаем над этим.
Проявлялась и у нас подобная клиника на нескольких машинах.

если бы я разрабатывал этот вирус, то удалял бы dll файл после запуска службы, а при перезагрузке снова записывал на диск. вот антивирусы и не находят ничего на дисках, но это сугубо моя версия:wink_3:

на windows2003 sp1 лечил модификацию kido.ih с помощью http://support.microsoft.com/kb/890830.
при заражении было замечено, что блокируются пользователи домена, видимо из-за неудачных 3 попыток подбора паролей,
вирус Conficker (http://support.microsoft.com/kb/962007/ru-ru) удалился полностью после ребута, атаки на раб станции пока прекратились:blink:
заплатки на серваки предварительно поставил.

Doc18
30.01.2009, 07:42
если бы я разрабатывал этот вирус, то удалял бы dll файл после запуска службы, а при перезагрузке снова записывал на диск. вот антивирусы и не находят ничего на дисках, но это сугубо моя версия:wink_3:Это, действительно, распространённый способ сокрытия инфицированного файла. Однако, есть 2 нюанса:
1. Несколько модификаций kido, с которыми я сталкивался, этого не делали. Но прогресс есть прогресс....
2. Остановить службу я не смог. Я её отключил (чтоб не запустилась заново после перезагрузки). В этом случае файл должен был записаться. Полная проверка нодом ничего не дала, а ранее он этого червя находил.

Вот теперь ломаю голову: либо файл не записался, либо Нод его не определил.:ohmy:

Хотя.... Не исключено, что вирус проверяет, не отключена ли его служба. Но тогда логично бы было создать новую.... Или замаскировать файл на компьютере.
В общем, хорошая головоломка.

3-man
30.01.2009, 12:04
Вот теперь ломаю голову: либо файл не записался, либо Нод его не определил.:ohmy:

у меня на паре компов были задания (8 шт)
кот должны были запустить в 10.00, в 12.00... чтото типа
rundll32.exe lchqa.gh,kjzok - что бы это значило:huh: таких файлов не нашел, то ли вирус не успел их записать, то ли удалились уже.

Заметил, что там где стоял антивирус (web444,kav7) вирусов не обнаружилось ни в реестре ни в корзине ни в system32 (только задания), проверял утилитами kb890830-v2.6.exe, cureit, kidokiller и вручную - ничего, а при сетевых атаках вирус отлавливался в system32 и удалялся антивирусами сразу.
На всякий случай сделал через скрипт автозапуска в домене
1. net share admin$ /d - остальные шары мне нужны.
2. at /d /y - задания пользователям не нужны
3. regedit -s ... NoAutorun.reg (см.пост#88 )
есть еще регфайл для отключения автозапуска и флешек

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer]
"NoDriveTypeAutorun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR]
"Start"=dword:00000004

Hrist
31.01.2009, 16:43
99% где стоял и стоит каспер - Net-Worm.Win32.Kido.ih отлавливался на подлете в папке систем32 но создавались задания (правда без исполняемого файла вполне безобидные) и засирался лог каспер админкита

ни какие вышеперчисленные заплатки мокрософта не помогают

помогло напрочь избавиться от алертов и попыток инсталлить вирус на машины
убить админскую шару - [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters]
"AutoShareWks"=dword:00000000
что не есть гуд - но тут уж не до жиру

на всякий случай решил поставить еще модули в каспере анти-хакер и анти-шпион - наслышан о проблемах с некоторым софтом с этими модулями - но опять же - если впервые за 8лет пошла такая бойня - тут уж не до тонкостей

а вот на машинах куда попал вирус таки (есть несколько где антивирус тормознул бы работу конкретно - серваки кассовые, и есть одна машина как минимум где каспер такой же как и везде пропустил вирус почему то) - засада полная - и админские шары убил, и KidoKiller запустил, и CureIT полную проверку (хотя находит он вирье только в документ ад сеттинг и систем32) - но через какое то время и судя по всему не извне и под той же локальной системой - опять все появляется и вирус, ип сканы в сетку (их хорошо видно на машине где стоит оутпост - десятка а то и сотня тысяч нетбиос запросов за несколько минут), и попытки поставить вирус туда где еще не убиты админские шары

счас собираю логи по инструкции http://forum.kaspersky.com/index.php?showtopic=68668 ибо 100% убивается только активная часть известного вируса, а есть еще какая то часть кторая не детектиться пока мест. она кстати еще с утреца ломилась в инернет за обновлением вируса - заблокировал фаерволл корпоративный керио я его настроил на блок адресов указанных в http://support.kaspersky.ru/faq/?qid=208636215 причем больше попыток не было - хитер гад - внимание лишнее старается не привлекать.

иногда машины работают вирусованные почти не заметно а иногда подвисают конкретно. и еще есть какая то разновидность котору сюреИД подозревает вирусом - но не детектирует определенно и опять же только результат - созданный авторан в папку которая подключена сетевым диском в созданной папке корзины

Hrist
31.01.2009, 20:05
есть еще регфайл для отключения автозапуска и флешек

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR]
"Start"=dword:00000004

я бы тут написал крупными буквами - отключение вообще всех флешек - если вам не нужны вообще флешки (они даже не монтируются) %)

NikolayFirsov
31.01.2009, 22:40
крута я щас папробовал залесть через эту уязвимость... ms08-67 залез... он через 445 конектиться и отрубается, но при этом когда он конектился на 445, ещё сеанс конектился к этому сеансу...
ну у меня kido.fo был, а вот ih не видел...
да ваще про эту дыру в середине ноября сообщали...

senyak
31.01.2009, 22:46
Люди, подскажите. Как попасть на Ваш сайт, если эта гадость блокирует доступ к Вам?

anton_dr
31.01.2009, 23:12
senyak, читайте первое сообщение

VirusInfo рекомендует использовать сервисы анонимного доступа к сети (анонимайзеры) или обращаться к ресурсу по его IP-адресу (216.246.90.119).

senyak
31.01.2009, 23:20
Извеняюсь! Большое спасибо! По моему провайдеру пошла эта гадость, а зайти сюда никто не может

Hrist
31.01.2009, 23:34
вот уродина если не убить админскую шару
получаю вот такие сообщения

Файл C:\WINDOWS\System32\eklgna.bi//PE_Patch.UPX//UPX, обнаружено: вирус 'Net-Worm.Win32.Kido.ih'. Пользователь: SHOP\Администратор, компьютер:TERMINALPOZ.

это при том что на обоих компа и с которго идет атака и на который идет атака стоит kav6.0.3.837_winwksru с новыми базами и с включенным Анти-Хакером и вообще то атаки 'Net-Worm.Win32.Kido.ih' Анти-Хакер успешно блокирует - но не в этот раз - видимо обнаружив блок - вирусяка пытается это сделать по другому порту или другим способом

Doc18
01.02.2009, 01:22
да ваще про эту дыру в середине ноября сообщали...Сообщали. но в январе вышла новая заплатка. снова для предотвращения распространения kido.

pig
01.02.2009, 03:44
А ещё в описании гада сказано, что он админские пароли по словарю подбирает. Поэтому надо пароли посильнее (что-то существенно менее тривиальное, чем 123 и qwerty), можно также администратора переименовать.

NikolayFirsov
01.02.2009, 08:52
1) закрывайте твиком доступ на netbios пользователю SYSTEM и админу только на просмотр
2) закрывайте порты, желательно все утилитой wwdc.exe
3) Отключайте ненужные службы в services.msc (особенно те которые открывают tcp порты)
4) Ставьте фильтрцаию tcp/ip протокола (в свтойствах сетевого подключения, в свойства tcp/ip)
5) Запускайте автоматическое обновление
6) После отключения служб, Ставьте доступ всем только чтение на ветку реестр 'hklm\system\ccs\services' (для того чтобы несоздавалась всякая служба от вируса) и на ветки 'run, 'runonce', и на 'windows nt\winlogon'
7) И желательно работать под ограниченной учётной записи (но всё таки эксплоиты повышают привелегии, а они используют по сети открыые порты, но мы их закрываем см. выше, но есть локальные эксплоиты повышения привелегий.. тут ничо не поделаешь.. хотя можно папробывать чтобы службы запускались из под гостя)

Да и ещё этот вирус kido, ставит на dll права доступа Обзор/выполнения файлов... касперскому я давно говорил чтобы он сканил файлы в обход атрибут безопасностей и в обход хуков (ну смысле бывает что скрытые файлы касперыч не видит)

Добавлено через 11 минут

вот про пункт первый
http://www.izone.ru/sys/tuning/tweak-ui-download.htm
там вкладка Access Control
правда уже не помню как там ограничивать права, но факт в том что эксплоит lsass ms 04-011 через службу сервер не пролазил... был закрыт доступ на IPC$ , писал Access Denied for \\computer_name\IPC$

Добавлено через 50 секунд

а что lsass ms 04-011 и ms08-067 они почти аналогично

Hrist
02.02.2009, 14:48
все
мы победили этого зверя!!!

1) отрубаем админские шары
2) чистим кидо киллером (самое важное что он рабочие службы чистит - вирус становится их частью и их антивирь не почистить ИМХО)
3) ставим кспера - оябзательно с антихакером (антихакер ксати оч. хоррошо показывает с каких компов идут атаки - если есть возможность - сразу их из сети выключаем - у нас такой возможности не было - компы многие удаленные)
4) постепеннь однин за одним вырубали зверя с компов. тут главное его вырубить и тут же закрыть доступ (антихакером или каким нить фаером) ибо даже заплатки и отрубленные админские шары не сильно помогали

если компы домашние конечно может и можно закрыть все порты и отрубить нетбиос - в сетках же на работе стоит учесть некоторые жесткие меры могут привести к другим малоприятным проблемам

Hrist
05.02.2009, 14:09
Опять пара машин включилась которые в нашей сети но не совсем наши
Анти-Хакер не везде справляется
KidoKiller обновился 3го февраля до 3.1
http://support.kaspersky.ru/faq/?qid=208636215
там же написано как с помощью АндмиКита запустить его по всей сетке
очень удобно кстати - не нужны ни политики на сервере, ни админские шары - если везде стоит агент касперского
через него же я кстати запустил автоматическое удаление адмминских шар - ибо задолбало
и запущу отрубление автозапуска флешек и прочей лабудени

3-man
05.02.2009, 15:43
вирус может спрятаться еще и здеся
"C:\WINXP\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5"

arcman
05.02.2009, 16:14
AVZ 4.30 с обновлёнными базами на максимально агрессивных настройках не видит Kido.

Гриша
05.02.2009, 16:30
Видит dll'ку, но не в табличной части лога, а в "прямом чтении" в текстовой части...

lapunder
05.02.2009, 19:03
Сегодня победил енту заразу с помощью продукта от симантека
http://www.symantec.com/norton/security_response/writeup.jsp?docid=2009-011316-0247-99
В отличии от других, находит dll и записи в реестре. Все чистит.
Вот лог после проверки
Symantec W32.Downadup Removal Tool 1.0.7
process: svchost.exe, thread: 00000190 (terminated)
process: svchost.exe, thread: 00000170 (terminated)
process: svchost.exe, thread: 000001F4 (terminated)
process: svchost.exe, thread: 00000128 (terminated)
process: svchost.exe, thread: 00000214 (terminated)
process: svchost.exe, thread: 0000016C (terminated)
process: svchost.exe (terminated)
C:\WINDOWS\system32\fujnh.dll: W32.Downadup.B (unrepairable) (deleted)

registry: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App lets: dl (value deleted)
registry: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App lets: ds (value deleted)
registry: HKLM\system\CurrentControlSet\Services\wuauserv: Start (value set to 0x00000002 (2))
registry: HKLM\system\CurrentControlSet\Services\BITS: Start (value set to 0x00000003 (3))
registry: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\exp lorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue (value set to 0x00000001 (1))
W32.Downadup has been successfully removed from your computer!
Here is the report:
The total number of the scanned files: 34407
The number of deleted threat files: 1
The number of threat processes terminated: 1
The number of threat threads terminated: 6
The number of registry entries fixed: 5
The tool initiated a system reboot.

Erekle
06.02.2009, 08:10
Я вчера немного (4 часа :) ) позанимался. Больше времени ушло на выяснение сторонних (побочных?) явлений (комп старый, памяти минимум, СД-привода нет. Интернета не было, но возможно просто глючат провода, а временами провайдер, и вовсе не червь). Пока что могу сказать, что чем уже дома Авира обозвала Конфикером.С (похоже, только Аваст зовёт его руткитом), - приложение, размером 164 975, под именем "х" в System32. Аналоги (http://www.virustotal.com/ru/analisis/17bb7a88738b9626f51049efa3ada961) (я отправил Какой-то.ГИФ, но в анализе "Файл x") сидели в интернетовском кеше в NetworkService, под расширением разных графических файлов. Аваст жаловался, что обнаружил руткит в памяти, но удалить не мог. Раз я согласился "просканировать все диски после перезагрузки" (до запуска системы), там он вдобавок нашёл того же "Руткита/ген" в файле Гиберфилл (если в настройках АВ указано не сканить файлы больше ... - то это лазейка), но удалить не смог из-за sharing Violation. Это обозлило и скан был прекращён, чтобы удалить вручную, вдобавок выключив гибернацию, неведомо для чего нужную там вообще. К тому же времени не было, автобусы ночью не ходят.
Ещё Svchost при запуске несколько минут загружал на 30-45 процентов. Была служба с параметром svchost.exe -k какой-то (не помню, не netsvcs). Были загружены несколько обновлений от МС (только несколько и все за последние пару дней, а так до того автоматическое обновление было отключено). Функция показа скрытых файлов и подобные не пострадали.

Касаемо побочных эффектов. Это вторая сетка в офисе, из трёх машин. На наблюдаемом компьютере интернета не было, но был на втором. До удаления червей (Айсвордом) Комп впадал в перезагрузку то при изменении настроек (скажем, при изменении адреса на автоматический), то при запуске ИЭ; однако до того, раз проблем с ЛСП и др. не было, я употребил Диал-а-Фикс, тот потребовал установочный диск, на компе привода нет, переустановка ИЭ прошла с ошибками и т.д., потому не могу однозначно свалить проблему на эту гадость). До моего прихода сотрудники офиса безуспешно старались выйти в инет, ИЭ выкидивал окошки, какого содержания, не знаю, в журнале только про HangUp. Но Опера тоже не могла выйти. После удаления всех видимых вредителей (плюс в Рециклере что-то сидело, не сабж; Ауторанов - не было), но без полного (до конца) сканирования Авастом перезагрузки вроде исчезли, сетевой активности вроде не было, но в один момент я включил машину рядом, которую почистил до того отдельно (когда первый комп был выключен), и там Конфикера не было, - и вижу, что интернета там тоже не стало. Возвращаюсь к первому, - опять перезагрузка при старте ИЭ, но уже надо было идти.
Сегодня сначала буду переустанавливать ИЭ, а потом после исключения этой причины будем судить...
(Хотя... Свалить-то однозначно не могу, но показалось странным, что дважды из трёх случаев жалобы на руткита в памяти появились немедленно после нажатия ОК после изменения параметров Local Area Connection, после чего моментально следовал рестарт. Ещё пару раз, когда изменение было без жалоб и рестартов, после перезагрузки находил в свойствах LAC автоматический адрес, - когда ставил на фиксированный. Всё это было до удаления червей.
Ещё - не работал DCOM)

Katuhin
06.02.2009, 12:01
Во вторник удалила всю заразу с помощью кидо киллера 3.1. Сегодня опять ((( кидо киллер молчит кьюр ит молчит, кис 2009 молчит ((.
Симптомы теже - отключаются службы не работает локалка (

Erekle
06.02.2009, 18:19
Аваст жаловался, что обнаружил руткит в памяти, но удалить не мог
Может быть, и мог. Вспомнил, что не отключал галочку "удалить после перезагрузки".
Сижу, попиваю кофе. Проблемы с сетью на том компе были чисто физического характера. НА 4-х машинах в той "сетке" Кидо присутствовал только на двух, при том, что две остальные были постоянно включены, на всех чеетырёх АвастПро 4.8, лишь на одном (чистом) автоматические обновления от МС.
Но никаких подозрительных ДЛЛ-ок не было, только x.exe и копии "под графику".

3-man
06.02.2009, 20:02
Для защиты от подобных "червей" рекомендую очень полезную утилиту (30k) для блокировки некоторых "уязвимых" портов http://software.piafi.ru/ru/net/acntpu
Зачем эти порты читайте здесь http://www.docwin.ru/modules.php?name=News&file=article&sid=661
Проверено, работает блокировка для рабочих станций, а с сервера 2003 доступ к компу защищенному этой прогой вроде не изменился, фильтр IP подхватывается службой проги на лету.

edgar90123
09.02.2009, 22:26
кто нибудь помогитею Вставил усб, аваст заарал што нашел вирус, предлажил удалить, я эта сделал а теперь при запуске флешки викидавает
\recycler\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx ошыбка

как вернуть усб к жызни?

santy
10.02.2009, 05:44
Все на борьбу с Kido-Conficker!
Eset решила внести свой вклад:
http://download.eset.com/special/EConfickerRemover.exe
http://www.esetnod32.ru/support/kb_element.php?IBLOCK_ID=53&SECTION_ID=414&ELEMENT_ID=6317

Doc18
12.02.2009, 02:16
кто нибудь помогитею Вставил усб, аваст заарал што нашел вирус, предлажил удалить, я эта сделал а теперь при запуске флешки викидавает
\recycler\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx ошыбка

как вернуть усб к жызни?Можно попробовать отключить автозапуск флешек, вставить и отформатировать. Или вставлять, удерживая шифт. не уверен, что это поможет, но попробовать стоит.:)

equinox
12.02.2009, 08:36
А можно попробовать удалить утилитой IceSword - у меня она успешно удалила вирус кидо из корзины на жестком диске, в то время как каспер, веб, unlocker, avz никак не могли справиться, файл все время был заблокирован.

deepray
12.02.2009, 12:37
Doc18, авторан с флешки удалил? Может, он и не даёт открыть... Можно ручками - через винрар )) Надеюсь, он у тя есть... ;)
Открой любой архив в винраре (или открой сам Винрар через Пуск - Программы) и уже в самом винраре поднимайся наверх до "Мой комп". Там открой флешку и удали авторан. Если это, конечно, он виновен...

PavelA
13.02.2009, 13:22
кто нибудь помогитею Вставил усб, аваст заарал што нашел вирус, предлажил удалить, я эта сделал а теперь при запуске флешки викидавает
\recycler\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx ошыбка

как вернуть усб к жызни?

Для всех и каждого: в данной теме обсуждаются проблемы Кидо и его разновидностей. Все остальное, как злостный оффтопик, будет удаляться.
Для лечения от различных болячек просим обращаться в "Помогите!"

Doc18
14.02.2009, 04:11
Doc18, авторан с флешки удалил? Может, он и не даёт открыть... Можно ручками - через винрар )) Надеюсь, он у тя есть... ;)
Открой любой архив в винраре (или открой сам Винрар через Пуск - Программы) и уже в самом винраре поднимайся наверх до "Мой комп". Там открой флешку и удали авторан. Если это, конечно, он виновен...По-моему, вы ошиблись адресатом. Эта проблема не у меня.
Для всех и каждого: в данной теме обсуждаются проблемы Кидо и его разновидностей. Все остальное, как злостный оффтопик, будет удаляться.
Для лечения от различных болячек просим обращаться в "Помогите!"Возможно, я не прав... НО!!! Описанная edgar90123 проблема возникла именно в результате удаления одной из частей кидо.... :mda:

Я не вполне понимаю, где находится грань между тем, что должно обсуждаться в этой теме и тем, что за её пределами.

anton_dr
14.02.2009, 11:08
edgar90123 - необходимо обратиться в "Помогите". В этой теме мы не помогаем с лечением, а информируем о текущей ситуации с Kido.
А грань - модераторы укажут, в случае чего.

Kidofinder
19.02.2009, 10:28
Тоже пара капель о киде:
Наболевшая проблема слегка модифицировалась и скорее всего, с возможностью "бесплатного обновления" ) Бьюсь четвёртый день и ощутимых результатов нету ) Начал с "формат Ц" и потом всё переустановил, переобновил (XP SP3) и перезаплАтил. После перезагрузки "Найдено новое оборудование", в списке устройств "неизвестное устройство" и в трэйе мелькнул значёк обновления, после чего доступ на анивирусные сайты и форумы "таво"... стоит КАВ 7 и даже не тявкнул, ни одна ремов.утилита ничего не находит...

Очищены все временные папки,закрыты все службы, шары и доступы анонимных пользователей и рабочих столов, обещаный скрытый dll в system32 не находится, зная примерный вес dll, в AVZ, в поиске файлов, указал диапазон 160000-170000 байт и вылез вполне дружелюбный файл C:\WINDOWS\system32\msdtcuiu.dll , НО созданый 16.02. 2009. вес 161172 байт

После запуска Downadup.exe следующие системные события:
0:52:00 Процесс SVCHOST.EXE запущен services.exe и
0:52:00 Командная строка: C:\WINDOWS\System32\svchost.exe -k netsvcs

С помощью AVZ netsvcs откопался теперь в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs\

и кучи ключей типа
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\A ppMgmt\ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\A udioSrv\ImagePath = %SystemRoot%\System32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\B ITS\ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\B rowser\ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\C ryptSvc\ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs

продолжаю рыть, но надолго меня не хватит ))

GustavOne
19.02.2009, 15:06
Совет тем кто не может вычислить kido в большой сети с доменом:
1) Заходим в управление компьютером
2) смотрим логи system там появляются events SAM 12294? обращаем внимание на время события
3) заходим в лог Security ссылаемся на время System log там можем увидеть запси типа success audit и failure audit , последние записи самые важные, бывает что они проскакивают в единичных случаях, но когда они не прекращаются просматриваем события лога...в которых можно увидеть с какого адреса пытались авторизоваться и с какой учетно записи. Можно увидеть к каким учетным записям перебираются пароли, соответственно они и блокируются...и все с одного IP
4) выбираем IP Компов с которых чаще был Failure audit , проеряем их кидокиллером, по логам ниразу не промахнулись, на каждом комьютере был вылечен вирус! В последующем эти компьютеры не попадались

Думаю это будет полезным в большой сети!

Oleg
20.02.2009, 12:55
Обнаружена новая версия червя Downadup
http://www.lenta.ru/news/2009/02/20/conficker/
http://mtc.sri.com/Conficker/

Kidofinder
20.02.2009, 13:22
Обнаружена новая версия червя Downadup

скорее всего эта версия у меня и живёт...

при удалении HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs\ сразу же удаляются все сетевые соединения, а при просмотре "служб" - исполняемый файл в свойствах служб числится C:\WINDOWS\system32\svchost.exe -k netsvcs

p.s. хочется пожелать создателям курс ректальной интервенции© у неопытного проктолога...

Oleg
20.02.2009, 13:53
extension to the netapi32.dll patch and the new named pipe backdoor
а если восстановить dll с дистрибутива.

Kidofinder
21.02.2009, 18:22
Сегодня воспользовался восстановлением с дистрибутива, AVZ сразу же обнаружила кучу подозрительных файлов, а вот КАВ после обновления выдал:
21.02.2009 20:15:39 Файл: C:\WINDOWS\system32\ не обработан исключен из проверки ....
100% решения по-прежнему нет или есть? ))

p.s. рубятся попытки переустановки Касперского и не загружаются файлы контроля сетевых процессов файеруолов...

Alexey P.
23.02.2009, 12:07
Обнаружена новая версия червя Downadup
http://www.lenta.ru/news/2009/02/20/conficker/
http://mtc.sri.com/Conficker/
Эта новая версия изначально детектилась.
По Dr.Web Win32.HLLW.Shadow.based, по Касперскому Net-Worm.Win32.Kido.ih. И убивается она CureIt или kidokiller v3.1.

Oleg
23.02.2009, 14:06
Версия которую Вы назвали не патчила netapi32.dll, а в http://mtc.sri.com/Conficker/ перечисляются все версии в том числе и новая
Conficker B++

Recently, the Conficker Cabal [15 (http://mtc.sri.com/Conficker/#ref-15)] announced that it has locked all future Conficker A and B domains to prevent their registration and use. Among its impacts, this action effectively prevents blackhat groups associated with Conficker from globally registering future Conficker Internet rendezvous points, preventing them from performing global census or distributing new binary updates to the infected drones (this does not prevent selective DNS poisoning that could be used to target drones within specific zones). However, a new variant of Conficker B has emerged that suggest the malware authors may be seeking new ways to obviate the need for Internet rendezvous points entirely.

Perhaps as one response to the cabal's action, or simply to produce a more efficient push-based updating service, the Conficker authors have released a variant of Conficker B, which significantly upgrades their ability to flash Conficker drones with Win32 binaries from any address on the Internet. Here, we refer to this variant as Conficker B++, as without direct knowledge of these new features added to this binary variant, it will appear to operate and interact with the Internet identically to that of Conficker B. However, as we outline in this section, some subtle improvements in B++, which include the ability to accept and validate remotely submitted URLs and Win32 binaries, could signal a significant shift in the strategies used by Conficker's authors to upload and interact with their drones.

Overview of Variant B++


On Feb 16, 2009, we received a new variant of Conficker. At a quick glance, this variant resembles Conficker B. In particular, it is distributed as a Windows DLL file and is packed similarly. Furthermore, dynamic analysis revealed that this domain generation algorithm was identical to that of Conficker B. Hence, we initially dismissed this as another packaging of Conficker B. However, deeper static analysis revealed some interesting differences. Overall, when we performed a comparative binary logic analysis (see Appendix 2 - Horizontal Malware Analysis (http://mtc.sri.com/Conficker/#appendix-2)) comparing Conficker B with Conficker B++, we obtained a similarity score of 86.4%. In particular, we found that out of 297 subroutines in Conficker B, only 3 were modified in Conficker B++ and around 39 new subroutines were added.

The overall logic restructuring and extensions for Conficker B++ are illustrated in Figure 9 (http://mtc.sri.com/Conficker/#fig-confB_plusplus). Among the changes observed, we found a restructuring of the main function and introduction of two new paths leading to the CreateProcess API. The first path connects "patch_NetpwPathCanonicalize" to "call_create_process" through "download_file_from_url" and "accept_validated_file". The second path involves the addition of "set_name_pipeserver" which also leads to "download_file_from_url".




http://mtc.sri.com/Conficker/graph-conB++.jpg



Figure 9: Paths to CreateProcess -- Conficker B vs Conficker B++ (additions in red)



Extensions to Conficker's netapi32.dll Patch

As is common among malware, Conficker incorporates facilities to close the vulnerability that it exploits once it takes ownership of its victim host. Specifically, Conficker provides an in-memory patch to the RPC vulnerability within the netapi32.dll NetpwPathCanonicalize function. However, while this patch protects the host from arbitrary RPC buffer overflow, it is specially crafted to allow other Conficker hosts to reinfect the victim, possibly as a second back door means by which it can install new binary logic into previously infected hosts. [12 (http://mtc.sri.com/Conficker/#ref-12)]. In Conficker A and B, this pseudo-patch parses incoming RPC requests in search of the standard Conficker shellcode exploit string. When this string is encountered, the Conficker-infected host will pull the designated DLL binary payload from the remote attacker, as specified in the URL embedded within the shellcode. The DLL is loaded using the svchost command, as specified in the shellcode. This process is illustrated in the top panel of Figure 10 (http://mtc.sri.com/Conficker/#fig-patch).

Conficker B++ now extends and simplifies the buffer overflow, allowing a remote agent to provide a URL reference to a digitally signed Win32 exectuable. This Win32 executable is pulled by the Conficker B++ host, its digital signature is validated or rejected (see Binary Download and Validation (http://mtc.sri.com/Conficker/#sec-validation)), and if acceptable the Win32 binary is then directly spawned by the CreateProcess routine. This modification is shown in the bottom panel of Figure 10 (http://mtc.sri.com/Conficker/index.html#fig-patch). Conficker B++ is no longer limited to reinfection by similarly structured Conficker DLLs, but can now be pushed new self-contained Win32 applications. These executables can infiltrate the host using methods that are not detected by the latest anti-Conficker security applications.

ну и т.д.

Добавлено через 2 минуты

Хотя может быть новая версия и удаляется указанными Вами утилитами.

AleksGl
23.02.2009, 14:37
Поставил рекомендуемые заплатки + Outpost с настройками политик по умолчанию (Блокировать Remote Procedure Call (TCP,UDP), Блокировать SMB протокол (TCP,UDP))+пароль на Outpost и все нормально, с локальной сети Win32.HLLW.Shadow.based не лезет вторые сутки.
PS До заплаток лез вовсю не взирая на Outpost.

Alexey P.
23.02.2009, 15:27
Речь идет о "in-memory patch". Сам файл не трогает.
Т.е. пока кидо активен - новая Welchia следом не придет, сделано явно против такого.
Kidokiller деактивирует перехваты в памяти, это видел.

Примерно так:
Infected thread was killed in process with PID 928
Infected thread was killed in process with PID 928
Infected thread was killed in process with PID 928
Infected thread was killed in process with PID 928
Infected thread was killed in process with PID 928
Infected thread was killed in process with PID 928

scanning modules in svchost.exe...
Spliced function NtQueryInformationProcess fixed in ntdll.dll module
Spliced function NetpwPathCanonicalize fixed in netapi32.dll module
Spliced function NtQueryInformationProcess fixed in ntdll.dll module
Spliced function DnsQuery_A fixed in dnsapi.dll module
Spliced function DnsQuery_UTF8 fixed in dnsapi.dll module
Spliced function DnsQuery_W fixed in dnsapi.dll module
Spliced function Query_Main fixed in dnsapi.dll module
scanning modules in services.exe...
scanning modules in explorer.exe...

Oleg
23.02.2009, 15:48
А создание нового сетевого имени "\\.\pipe\System_%s%d"?

Kidofinder
23.02.2009, 16:00
Сегодня на одной из машин таки отрыл скрытый файл, только не в System32, а в \Local Settings\Temp
под именем etilqs_pywR2MjqQyvF50poxiuw со всеми необходимыми атрибутами, запускаем unlocker1.8.7 )

Alexey P.
24.02.2009, 01:17
Подтверждение моих слов о детекте Conficker B++:


File ncdthvyd.dl received on 02.23.2009 23:02:24 (CET)
Current status: finished
Result: 35/39 (89.75%)

Antivirus Version Last Update Result
a-squared 4.0.0.93 2009.02.23 Net-Worm.Win32.Kido!IK
AhnLab-V3 2009.2.24.0 2009.02.23 Win32/Conficker.worm.169430
AntiVir 7.9.0.88 2009.02.23 TR/Dropper.Gen
Authentium 5.1.0.4 2009.02.23 W32/Conficker!Generic
Avast 4.8.1335.0 2009.02.23 Win32:Confi
AVG 8.0.0.237 2009.02.23 Worm/Downadup
BitDefender 7.2 2009.02.23 Win32.Worm.Downadup.F
CAT-QuickHeal 10.00 2009.02.22 Win32.Net-Worm.Kido.ih.3.Pack
ClamAV 0.94.1 2009.02.23 Trojan.Dropper-18535
Comodo 983 2009.02.20 -
DrWeb 4.44.0.09170 2009.02.23 Win32.HLLW.Shadow.based
eSafe 7.0.17.0 2009.02.19 Win32.Conficker.worm
eTrust-Vet 31.6.6369 2009.02.23 Win32/Conficker
F-Prot 4.4.4.56 2009.02.23 W32/Conficker!Generic
F-Secure 8.0.14470.0 2009.02.23 Worm:W32/Downadup.gen!A
Fortinet 3.117.0.0 2009.02.23 W32/Conficker.B!worm
GData 19 2009.02.23 Win32.Worm.Downadup.F
Ikarus T3.1.1.45.0 2009.02.23 Net-Worm.Win32.Kido
K7AntiVirus 7.10.639 2009.02.21 Net-Worm.Win32.Downadup.ih
Kaspersky 7.0.0.125 2009.02.23 Net-Worm.Win32.Kido.ih
McAfee 5534 2009.02.23 W32/Conficker.worm.gen.b
McAfee+Artemis 5534 2009.02.23 Generic!Artemis
Microsoft 1.4306 2009.02.23 Worm:Win32/Conficker.C
NOD32 3882 2009.02.23 a variant of Win32/Conficker.AE
Norman 6.00.06 2009.02.23 W32/Conficker.FA
nProtect 2009.1.8.0 2009.02.23 -
Panda 10.0.0.10 2009.02.23 W32/Conficker.C.worm
PCTools 4.4.2.0 2009.02.23 -
Prevx1 V2 2009.02.23 High Risk Worm
Rising 21.18.02.00 2009.02.23 -
SecureWeb-Gateway 6.7.6 2009.02.23 Trojan.Dropper.Gen
Sophos 4.39.0 2009.02.23 Mal/Conficker-A
Sunbelt 3.2.1855.2 2009.02.17 Worm.Win32.Downad.Gen (v)
Symantec 10 2009.02.23 W32.Downadup.B
TheHacker 6.3.2.5.263 2009.02.23 W32/Kido.ih
TrendMicro 8.700.0.1004 2009.02.23 WORM_DOWNAD.AD
VBA32 3.12.10.0 2009.02.22 Worm.Win32.kido.122
ViRobot 2009.2.23.1618 2009.02.23 Worm.Win32.Conficker.169430
VirusBuster 4.5.11.0 2009.02.22 Trojan.Conficker.Gen!Pac
Additional information
File size: 169430 bytes
MD5...: ffae14e35c4173f60243c508be04bf56
SHA1..: 2b2e808f3c71e1492b51d4a425ee036c7086c576
SHA256: bc86d9296f24a1e1991d60bc885308097480d921dc18eb640e d0582ee61b8648
SHA512: d7b8681120542325b8a0b77b03078312d56d6728a80bdc9bf9 469565a87bc628
e25ce1bf69f32591edcdda9bba3f9a98bbbfecbe5742a34b30 3534a049595e9f
ssdeep: 3072:1UFwfuWLPFXiL2BID2n4++LPxw+79RcbMedKAhs0dYSRo r8zkNpIfn/K6M2
oE3:1UOmMXiLh24b5ndygCYSwZqf/joE3
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (38.5%)
Win32 EXE Yoda's Crypter (33.5%)
Win32 Executable Generic (10.7%)
Win32 Dynamic Link Library (generic) (9.5%)
Clipper DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1001a010
timedatestamp.....: 0x3c6a0a62 (Wed Feb 13 06:40:34 2002)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x4000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x5000 0x16000 0x15200 7.79 1553f8161bf1f0453e32785c07cee9d0
UPX2 0x1b000 0x1000 0x200 3.73 651cb160e4e846ba0b506b2d182a64e8

( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc,
VirtualFree
> ADVAPI32.dll: IsValidAcl
> GDI32.dll: GdiGetBatchLimit
> MSVCRT.dll: free
> ole32.dll: CoFileTimeNow
> SHELL32.dll: -
> USER32.dll: GetDC

( 0 exports )
packers (Avast): UPX
packers (Kaspersky): PE_Patch.UPX, UPX
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=EAA69712D6D7DEFB95F902D51 247B800D5E980ED'
target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=EAA69712D6D7DEFB95F902D51 247B800D5E980ED</a>
packers (F-Prot): UPX
packers (Authentium): UPX


Добавлено через 2 минуты

Для сомневающихся - прошу обратить внимание на детект
Microsoft 1.4306 2009.02.23 Worm:Win32/Conficker.C
и вот эту статью:
http://blogs.technet.com/mmpc/archive/2009/02/20/updated-conficker-functionality.aspx

Саня Паков
03.03.2009, 00:02
Привет народ,я вижу что нашел здесь бойцов со зверем!!!!!!!!! да у меня тоже эта дрянь Win32 Confiker.AL, так его определял NOD32 с обновленной базой сигнатур, утилита AVPTool - Net worm.Win32.Kido.IH (на которого у Каспера нет обновлений),все они его прибивают,но только копии С:/Document and Settings/NetworkService/LocalSettings/Temporary Internet Files/Content IE5/потом в папке с названием типа DFFHGYTYG/и таким же названием dfgre.gif или *.bmp!,а вот корень никто прибить не может,что делать?

Alex_Goodwin
03.03.2009, 00:32
http://support.kaspersky.ru/faq/?qid=208636215

deepray
03.03.2009, 02:25
Саня Паков, http://www.viruslist.com/ru/alerts?chapter=152434825&discuss=203698715
Я как раз там бился с Kido.ih, когда на каспере даже описания не было..
Ник тотже, где-то внизу, может будет полезно.

Alexey P.
03.03.2009, 02:48
Саня Паков, http://www.viruslist.com/ru/alerts?chapter=152434825&discuss=203698715
Я как раз там бился с Kido.ih, когда на каспере даже описания не было..
Ник тотже, где-то внизу, может будет полезно.
Не думаю, что полезно - там скорее вредные советы.
Удалять всё, что покажется подозрительным - верный путь к переустановке винды с нуля. В очередной раз.

Добавлено через 13 минут

Мне больше всего понравилась инструкция Микрософт.
http://support.microsoft.com/kb/962007
Самое толковое описание, как его бить, особенно в ситуации, когда ничто не помогает, и ни CureIt, ни Kidokiller v3.1 червя не видят. К сожалению, уже несколько раз видел такое. При этом добытый вручную экземпляр червя оказывался Kido.ih и всеми детектился. Почему утилиты его не обнаруживали - чесслово, не знаю. Должны были, но не видели.
Единственный момент, который в той статье упущен - очень стоит в начале и в конце лечения проверить отсутствие процессов rundll32.exe, запускающих троянскую dll, и при их наличии прибить все.

deepray
03.03.2009, 02:55
= Ну, начнём с того, что из 20 машин не упала ни одна!
= Ссылка дана для ознакомления, а не в качестве безукоризненного исполнения. Судя по вопросу - Саня Паков не дебил, разберётся.
= Только попЫ, как им кажется, изгоняют бесов ;) Я же перед принятием решения удалять именно эти файлы принял вовнимание все возможные признаки заражения.
---------
С уважением...
:beer:
------------------
Хорошая статья!, спасибо.
Только для меня поздновато. А эта гадость у меня с конца января поселилась (( когда его и знать незнали... Пришлось самому. А кто новичок в "кидо" )) в самый раз!... пока снова не мутирует...

Alexey P.
03.03.2009, 03:03
Это слишком зависит от опыта лекаря. Если уж давать советы - рассчитывайте на всех, так вернее.

Саня Паков
03.03.2009, 10:40
Не думаю, что полезно - там скорее вредные советы.
Удалять всё, что покажется подозрительным - верный путь к переустановке винды с нуля. В очередной раз.

Добавлено через 13 минут

Мне больше всего понравилась инструкция Микрософт.
http://support.microsoft.com/kb/962007
Самое толковое описание, как его бить, особенно в ситуации, когда ничто не помогает, и ни CureIt, ни Kidokiller v3.1 червя не видят. К сожалению, уже несколько раз видел такое. При этом добытый вручную экземпляр червя оказывался Kido.ih и всеми детектился. Почему утилиты его не обнаруживали - чесслово, не знаю. Должны были, но не видели.
Единственный момент, который в той статье упущен - очень стоит в начале и в конце лечения проверить отсутствие процессов rundll32.exe, запускающих троянскую dll, и при их наличии прибить все.
Переустановка винды с нуля-это не выход,у меня зараза походу даже на цыфровой камере! AntiAutoran тоже ни чего не дает,я уже перебивал винду,и заразился с диска на котором было музло,который я предварительно записал!

drongo
03.03.2009, 12:26
Саня Паков,авторан нужно отключить в самой системе, в чаво есть рег файл для удобства.

R0N
05.03.2009, 14:06
на днях была такая проблема http://virusinfo.info/showthread.php?t=40843

Возможны ли сбой в работе сетевого принтера от этой(Kido) заразы?
Признаки - бесконечная распечатка одно и того же файла, с разных компов

Hanson
05.03.2009, 15:39
а что печатает?

R0N
05.03.2009, 17:31
а что печатает?

то что я ему посылаю,
останавливаться не хочет