VirusInfo сообщает об эпидемии сетевого червя Net-Worm.Win32.Kido

Ну вы наверное мало случаев встречали, где и Нод, Симантек, Доктор Веб и весь мир бессилен...

эу, так что Нод можно и не ставить? не бомбит? или все ж если от 9го числа , то да?
последний пост такой апокалиптический...

Нашли два метода борьбы с этой гадостью:
1. Снять винт и проверить его касперским на другой машине.
2. Найти в папке windous\system32 файл размером 164746 кб и удалить его, опять таки на другой машине.
Желательно сделать эти действия на всех машинах одновременно и уж потом вкл. их в сеть. Обязательно установить фаервол.
Это все опыть четырех дней борьбы

У нас Касперский Work Station 6.0.3.837 ловит и отражает атаки.
Кстати, снятие жесткого диска ничего не дало.

[quote=МИ_ХАСЬ;333525]Касательно Dr.Web v.4.44 с базами от 11 января его ловит но не всегда прибивает, но к сожалению он продолжает поражать компы с этим антивирусом.[/quote]

Это не соответствует действительности. Dr.Web обнаруживает данный вирус и лечит от него систему.
Если компьютеры подключены к локальной сети, необходимо перед лечением отключить все компьютеры от локальной сети и подключать их постепенно после лечения.

а какой именно версии у вас Др.Веб прибил это Кидо?
а подключение к интернету этот зверек тоже может глючить?

[QUOTE=ValeryLedovskoy;333897]Это не соответствует действительности. Dr.Web обнаруживает данный вирус и лечит от него систему.
Если компьютеры подключены к локальной сети, необходимо перед лечением отключить все компьютеры от локальной сети и подключать их постепенно после лечения.[/QUOTE]

Не хочу отрицать, да Dr.Web дейтствительно лечит систему, спору нет. Однако версия Dr.Web 4.44 к величайшему сожалению не отслеживает текущее заражение, не мониторит сетевые обращения (указанного выше зловреда) и не отражает их. А следовательно не выполняет основной своей задачи, обчеспечения работоспособности вычислительной системы, простои которой ведут к немалым затратам. Представьте себе сеть из N персоналок. За каждым компом сидит человек. Этот человек получает зарплату, таким образом получаем немалые потери. И руководство организации заинтересовано чтоб техника работала. А все остальное - полемика.Дальше думаю продолжать нет смысла.
Так вот, NOD и Symantec позволяют продолжать работать системе. И позволяют отследить что где сидит , и оперативно реагировать на эти "звоночки". Если Dr.Web будет позволять то же - буду только рад.

[QUOTE=МИ_ХАСЬ;334145]Не хочу отрицать, да Dr.Web дейтствительно лечит систему, спору нет. Однако версия Dr.Web 4.44 к величайшему сожалению не отслеживает текущее заражение, не мониторит сетевые обращения (указанного выше зловреда) и не отражает их. А следовательно не выполняет основной своей задачи, обчеспечения работоспособности вычислительной системы, простои которой ведут к немалым затратам.[/QUOTE]
какие еще сетевые обращения? это задача файервола. лечить этот вирус в сети любым антивирусом (именно ав) не пропатча (как минимум тремя патчами) машины мало эффективно. пока одну пролечишь с другой уже приползет опять через дыру.

[QUOTE=devon;334281] лечить этот вирус в сети любым антивирусом (именно ав) не пропатча (как минимум тремя патчами) машины мало эффективно. пока одну пролечишь с другой уже приползет опять через дыру.[/QUOTE]

на машины с Windows XP SP3 и со всеми обновлениями Net-Worm.Win32.Kido.bt всё равно лезет :(

[QUOTE=Гриша;333539]весь мир бессилен...[/QUOTE]

Подхватил этот вирус через флешку( проблема еще у меня вот какя - почемуто скрытые папки перестали отображатся, через меню "СЕРВИС" в папках непомогает... ставлю галочку ОТОБРАЖАТЬ СКРЫТЫЕ ПАПКИ - ПРИНЯТЬ - ОК, а они всеравно скрытые, и даже в БЕЗОПАСНОМ РЕЖИМЕ... У вас тоже так или вирус модернизировали? :(

Вам сюда [url]http://virusinfo.info/forumdisplay.php?f=46[/url] по правилам [url]http://virusinfo.info/showthread.php?t=1235[/url]

[QUOTE=Гриша;334479]Вам сюда [url]http://virusinfo.info/forumdisplay.php?f=46[/url] по правилам [url]http://virusinfo.info/showthread.php?t=1235[/url][/QUOTE]
Уважаемый...у нас например в конторе около 60 компов,и все разные и sp3 и sp2 и со всеми обновлениями,и все равно все заражены и атаки идут каждые 15-40 мин.И заплатки от Майкрасофта,это все фигня не помогают.

[QUOTE=Незарегистрированный;334440]на машины с Windows XP SP3 и со всеми обновлениями Net-Worm.Win32.Kido.bt всё равно лезет :([/QUOTE]
заплатки это не все. обязательно нужно сменить пароли на админские учетные записи сделать их не тривиальными (не 12345, root и т.п.), вирус подбирает их по словарю, наиболее простые (в большинстве случаев как видно хватает). тут заплатками не закрыть. либо отключайте скрытые админские шары ADMIN$/IPC$ на всех машинах.

[QUOTE]обращаться к ресурсу по его IP-адресу (216.246.90.119)[/QUOTE]
шас автор продукта подправит 2 строчки и будет резольвить ИП, тогда пупец настанет

Всем привет, может кому-нибудь поможет наш алгоритм борьбы
имеется
Net-Worm.Win32.Kido.em
1.ставим заплатки от майкрософта о которых здесь неоднократно говорилось
2.берём выкачиваем и ставим [URL]http://ccollomb.free.fr/unlocker/[/URL]
3.после этого находим в %systemroot%/system32 файл размера 161612 это хиден dll с произвольным именем
4.клацаем на нем правой кнопкой и выбираем unlock
5.выбираем опцию unlock (разблокировать), кстати за компанию становится видно от какого он процесса
6.тут же по правой кнопке вгоняем этот файл в пасть касперу
7. следует экстренное лечение памяти с перезагрузкой.
8. проверка критической области сразу после перезагрузки компьютера дочищает остатки от вируса в темпах
Каспер 6.0.3.837 b.c.d.e
надеюсь кому-нибудь поможет (сами 2 недели лечились безуспешно - всё равно игнорируя заплатки ЕМ лазит по сети и заново внедряется, у него немного другой механизм регистрации и маскировки, но очень похож на kido.tm)
p.s. khersonec спасибо за наводку про размер вирусного файла, до этого мы не могли его поймать.

[QUOTE=Siam;334528]
3.после этого находим в %systemroot%/system32 файл размера 161612 это хиден dll с произвольным именем[/QUOTE]

у меня ненашло фаила с таким размером, но много фаилов с размером 1616, что делать?

Как я определил рамер:
у нас в корневых каталогах дисков появился каталог recycler\бла-бла-бла\(набор бковок).vmx
Конкретно у нас
вирус Net-Worm.Win32.Kido.em
Файл: G:\RECYCLER\2312312-31231231-321312\jwgkvsq.vmx
На нем мы посмотрели размер.
И потом по размеру стали искать dll в system32
Размер зависит от версии гадости
Причем каспер не смог удалить и вот этот jwgkvsq.vmx

[QUOTE=devon;334281]какие еще сетевые обращения? это задача файервола. лечить этот вирус в сети любым антивирусом (именно ав) не пропатча (как минимум тремя патчами) машины мало эффективно. пока одну пролечишь с другой уже приползет опять через дыру.[/QUOTE]

а вы уважаемый на инфицырованной машине в режиме командной строки выполните команду netstat -a, посмотрите листинг а потом посмотрите что вы в посте написали, может ваше мнение несколько изменится.:wink_3:
Если поделитесь номерами заплаток буду признателен. Про KB958644 можно не писать, его уже многораз помянули, однако "Воз и ныне там".

Рекомендую обазательно проверять папку System Volume Information (если не отключено "Восстановление системы"), в ней как показывает практика лежит екземплярчик зловреда, который система успела забекапить. Проблема в том, что по умолчанию сия папочка имеет разрешения на доступ лишь от System. Надо добавить разрешение полного доступа от текушей учетки, после чего проверить папку антивирусом и прибить паршивца.

У меня была модификация Kido.BW
Это полный пипец ))
В сети 250 машин. Больше суток мучались - пришлось всё же все отключать от сети (в т.ч. серваки), каждый лечить с помощью заплатки мелкософта + KLWK утилитки от Каспера - и только тогда обратно пускать в сеть с двумя перезагрузками...

[url]http://www.life.ru/news/53165[/url]

[QUOTE=KonSer;334628]...... каждый лечить с помощью заплатки мелкософта ...

[/QUOTE]

подскажите какие заплатки ставили?