VirusInfo сообщает об эпидемии сетевого червя Net-Worm.Win32.Kido

VirusInfo, ведущий российский информационно-аналитический ресурс в сфере лечения персональных компьютеров от вредоносных программ, участник Альянса профессионалов в области анализа безопасности (Alliance of Security Analysis Professionals, ASAP), зафиксировал масштабное распространение вредоносного программного обеспечения "Net-Worm.Win32.Kido" (наименование по классификации "Лаборатории Касперского"), имеющее эпидемический характер.

Признаки присутствия вредоносного ПО Net-Worm.Win32.Kido на компьютерах пользователей отмечаются специалистами VirusInfo с начала 2009 года. За время наблюдения (01.01.2009 - 12.01.2009) было зафиксировано 22 случая инфекции представителями данного семейства вредоносных программ; пик обращений пользователей по данной проблеме пришелся на 10 января текущего года, когда было обнаружено и устранено 6 случаев заражения (не менее 15% от общего количества обращений).

Сетевой червь Net-Worm.Win32.Kido при распространении использует уязвимость в службе Сервер (Server) операционных систем семейства Windows. Данная уязвимость была обнаружена в конце октября 2008 года и описана в бюллетене безопасности Microsoft MS08-067 ([url]http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx[/url]). При успешной эксплуатации уязвимости вредоносное ПО создает файл со случайным именем в системном каталоге %SystemRoot%\system32\.

Характерной чертой активности представителей этого семейства вредоносных программ является блокирование доступа к ряду ресурсов сети Интернет. Наряду с ресурсами антивирусных компаний - "Лаборатории Касперского", "Доктор Веб", ESET - Net-Worm.Win32.Kido блокирует доступ пользователей к доменному имени содержащему слово "virus", с целью не позволить владельцам зараженных компьютеров пройти лечение на сайтах помощи пользователям, в том числе и на VirusInfo. По мнению экспертного сообщества ресурса, этот факт в частности, наглядно демонстрирует, сколь велика та опасность, которую VirusInfo представляет для авторов вредоносных программ благодаря своему сервису бесплатного лечения компьютеров от инфекций.

VirusInfo советует пользователям, пострадавшим от Net-Worm.Win32.Kido, установить срочное обновление операционной системы Windows, исправляющее уязвимость в службе Сервер (Server), и пройти бесплатное лечение на ресурсе. В случае недоступности последнего администрация VirusInfo рекомендует использовать сервисы анонимного доступа к сети (анонимайзеры) или обращаться к ресурсу по его IP-адресу (216.246.90.119).

Убедительная просьба - опубликуйте, пожайлуста, признаки заражения.
Особо интересует поведение компьютера. Спасибо.

Тут [url]http://av-school.ru/news/a-186.html[/url]

[QUOTE=Shark;332720]Убедительная просьба - опубликуйте, пожайлуста, признаки заражения.
Особо интересует поведение компьютера. Спасибо.[/QUOTE]

В предидущем посте написано:

[QUOTE=NickGolovko;332441]Характерной чертой активности представителей этого семейства вредоносных программ является блокирование доступа к ряду ресурсов сети Интернет. Наряду с ресурсами антивирусных компаний - "Лаборатории Касперского", "Доктор Веб", ESET - Net-Worm.Win32.Kido блокирует доступ пользователей к доменному имени virusinfo.info, с целью не позволить владельцам зараженных компьютеров пройти лечение на VirusInfo. По мнению экспертного сообщества ресурса, этот факт наглядно демонстрирует, сколь велика та опасность, которую VirusInfo представляет для авторов вредоносных программ благодаря своему сервису бесплатного лечения компьютеров от инфекций.[/QUOTE]

Так что раз ты написал свой пост, значит у тебя всё хорошо.

к стати если указать сервер обновление касперского по ip, обновление сработает,
например [url]http://212.47.219.89[/url]
но после того как касперский обновился вируса он не находит
нашел вот этим Portable Dr.Web Anti-Virus 5.00.0

у нас завелся Kido.bt.
1. Ключей в реестре как в [url]http://av-school.ru/news/a-186.html[/url] не создает.
2. на Windows Server 2003 падают службы Сервер, Рабочая Станция, Вторичный вход в систему, Обозреватель компьютеров, Диспетчер логических дисков и т.п.
3. серверы с Windows server 2000, как-будто бы не заражены.
4. на машинах с windows XP prof касперский несколько раз в час обнаруживает в c:\windows\system32 экземпляры Kido.bt, несмотря на то, что все обновления системы установлены.

Данный зловред весьма интересен. Dr.Web его идентифицирует как Win32.HLLW.Autoruner.5555.(до обновления 11.01.2009 не видел вообще) Антивирусная утилита от Касперского - Net-Worm.Win32.Kido.bt(видел), Eset Nod32 - Модифицированный Konficer.AA.(видел и прибивал). Сам с ним борюсь уже трое суток в домене windows на базе w2k sp4 . Ситуация такая: компьютер (сервер, рабочая станция) могут быть заражены 2-мя путями - 1) заражение собственно через сеть. Используя механизм удаленного вызова процедур (RPC) и службу удаленного реестра заливают файл с телом вируса на атакуемую платформу (в нашем случае использовалось соединение через порты [url]http://...:3605[/url] [url]http://...:6629[/url], но думаю что он может и в другие порты полезть). Вредоносный код располагается в папке %systemdir% имеет имя в виде произвольного набора символов размер 164768b, как правило расширение dll но не всегда, свойства архивного, скрытого и т.д. Второе место где он прячется -c:\Documents and Settings\ в папках профилей различных пользователей в папке ...\Local Settings\Temporary Internet Files\Content.IE5\ имеет расширение .jpeg,bmp... размер тот же. Кроме того на серверных платформах создаются назначенные задания вроде rundll32.exe <имя зловреда>. 2) распространение через флэш диски и сетевые диски. В корневом каталоге последних создаются файл Autoru.inf а так же папка Recycled/S-............... (длинное название :) в которой лежит файл с именем произвольного набора символов и расширением WMX. Как многие уже догадались при опросе такого диска , в случае если не запрещен авто запуск с данного устройства – получаем инфицированный компьютер. Теперь самое интересное . Что он творит кроме этого? Сканирует сеть на предмет свободных «носителей» для себя. Постоянно долбится в Активку. Если кто чего добавит, особенно касательно того как с ним бороться буду признателен. Да и еще, установка исправления [url]http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx[/url] не помогла.

ссылочку на вирустотал можно по Net-Worm.Win32.Kido?

Подробное описание [URL="http://av-school.ru/desc/a-71.html"]Net-Worm.Win32.Kido.bt[/URL]

пункт 3. поправка:
на Win2000 Net-Worm.Win32.Kido.bt нашелся в : \Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\

[QUOTE]4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).[/QUOTE]

Изначально он и есть во временных файлах...

Как вы считаете, стоит ли ждать обновлений сигнатур антивируса Касперского для Net-Worm.Win32.Kido.bt или можно начинать руками все машины в сети править?

я не особо шарюсь...
если я перебью винду с помощью зеркалки - этот кидо сдохнит?

[QUOTE]Как вы считаете, стоит ли ждать обновлений сигнатур антивируса Касперского для Net-Worm.Win32.Kido.bt или можно начинать руками все машины в сети править?[/QUOTE]

Модификация Net-Worm.Win32.Kido.bt детектируется антивирусом Касперского, но вот как с лечением, думаю сами знаете...

[QUOTE]если я перебью винду с помощью зеркалки - этот кидо сдохнит? [/QUOTE]

Если копия сделана до заражения, то конечно он пропадет...

Утилита Clwk обновлена [url]http://support.kaspersky.ru/faq/?qid=180593202[/url] добавлены следующие модификации:

[QUOTE]# Net-Worm.Win32.Kido.r
# Net-Worm.Win32.Kido.t
# Net-Worm.Win32.Kido.bw
# Net-Worm.Win32.Kido.db
# Net-Worm.Win32.Kido.fk
# Net-Worm.Win32.Kido.fx
# Net-Worm.Win32.Kido.fo
# Net-Worm.Win32.Kido.s
# Net-Worm.Win32.Kido.dh
# Net-Worm.Win32.Kido.ee
# Net-Worm.Win32.Kido.gh
# Net-Worm.Win32.Kido.fa
# Net-Worm.Win32.Kido.gy
# Net-Worm.Win32.Kido.ca
# Net-Worm.Win32.Kido.by
# Net-Worm.Win32.Kido.if
# Net-Worm.Win32.Kido.eo
# Net-Worm.Win32.Kido.bx
# Net-Worm.Win32.Kido.bh
# Net-Worm.Win32.Kido.bg
# Net-Worm.Win32.Kido.ha
# Net-Worm.Win32.Kido.hr
# Net-Worm.Win32.Kido.da
# Net-Worm.Win32.Kido.dz
# Net-Worm.Win32.Kido.cg
# Net-Worm.Win32.Kido.eg
# Net-Worm.Win32.Kido.eq
# Net-Worm.Win32.Kido.bz
# Net-Worm.Win32.Kido.do
# Net-Worm.Win32.Kido.fw
# Net-Worm.Win32.Kido.du
# Net-Worm.Win32.Kido.cv[/QUOTE]

[QUOTE=Гриша;333172]
Утилита Clwk обновлена [url]http://support.kaspersky.ru/faq/?qid=180593202[/url] добавлены следующие модификации:[/QUOTE]

Net-Worm.Win32.Kido.bt не ловит

[QUOTE=Незарегистрированный;333244]Net-Worm.Win32.Kido.bt не ловит[/QUOTE]

У меня тоже. Признаки описанные на сайте касперского есть, а утилита ничего не определяет((

Появление описания на viruslist.com хороший знак товарищи!!!! Остаётся только надеяться на антивирусных дел мастеров из Лаборатории Касперского, дабы избавили они нас от этой заразы, раз и навсегда.

Аналогичная проблема. Борюсь с этой гадостью уже вторую неделю. Корпоративная сеть, причём уже на всех компах эта зараза. Реально в реестре в сервисах нет этой заразы. Но НОД время от времени определяет
13.01.2009 16:16:01 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\nqsutyo.pbk модифицированный Win32/Conficker.AA червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft Office\Office10\WINWORD.EXE.

[QUOTE]Net-Worm.Win32.Kido.bt не ловит [/QUOTE]

Все верно, с списке модификаций которые подвластны утилите его нет...

Касательно лечения могу сказать следующее - Symantec с базами от 8 января его прибивает запросто, главное чтоб комп потянул. Касательно Dr.Web v.4.44 с базами от 11 января его ловит но не всегда прибивает, но к сожалению он продолжает поражать компы с этим антивирусом. Так что приходится перелечивать, установив либо Symantec , либо NOD32(версии баз от 9 января). Отдаю предпочтение NOD32 потому что у него в логах четко видно с какого IP прошла атака. Кроме того даже если что и удается червячку засунуть в машину , то NOD32 это тут же прибивает. Остаются хвосты. На съемных и сетевых дисках папка RECYCLER \S-5-3-42-2819952290-8240758988-879315005-3665 которые можно удалить руками.