Закрытая тема
Страница 1 из 10 12345 ... Последняя
Показано с 1 по 20 из 181.

VirusInfo сообщает об эпидемии сетевого червя Net-Worm.Win32.Kido

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1815

    VirusInfo сообщает об эпидемии сетевого червя Net-Worm.Win32.Kido

    VirusInfo, ведущий российский информационно-аналитический ресурс в сфере лечения персональных компьютеров от вредоносных программ, участник Альянса профессионалов в области анализа безопасности (Alliance of Security Analysis Professionals, ASAP), зафиксировал масштабное распространение вредоносного программного обеспечения "Net-Worm.Win32.Kido" (наименование по классификации "Лаборатории Касперского"), имеющее эпидемический характер.

    Признаки присутствия вредоносного ПО Net-Worm.Win32.Kido на компьютерах пользователей отмечаются специалистами VirusInfo с начала 2009 года. За время наблюдения (01.01.2009 - 12.01.2009) было зафиксировано 22 случая инфекции представителями данного семейства вредоносных программ; пик обращений пользователей по данной проблеме пришелся на 10 января текущего года, когда было обнаружено и устранено 6 случаев заражения (не менее 15% от общего количества обращений).

    Сетевой червь Net-Worm.Win32.Kido при распространении использует уязвимость в службе Сервер (Server) операционных систем семейства Windows. Данная уязвимость была обнаружена в конце октября 2008 года и описана в бюллетене безопасности Microsoft MS08-067 (http://www.microsoft.com/technet/sec.../MS08-067.mspx). При успешной эксплуатации уязвимости вредоносное ПО создает файл со случайным именем в системном каталоге %SystemRoot%\system32\.

    Характерной чертой активности представителей этого семейства вредоносных программ является блокирование доступа к ряду ресурсов сети Интернет. Наряду с ресурсами антивирусных компаний - "Лаборатории Касперского", "Доктор Веб", ESET - Net-Worm.Win32.Kido блокирует доступ пользователей к доменному имени содержащему слово "virus", с целью не позволить владельцам зараженных компьютеров пройти лечение на сайтах помощи пользователям, в том числе и на VirusInfo. По мнению экспертного сообщества ресурса, этот факт в частности, наглядно демонстрирует, сколь велика та опасность, которую VirusInfo представляет для авторов вредоносных программ благодаря своему сервису бесплатного лечения компьютеров от инфекций.

    VirusInfo советует пользователям, пострадавшим от Net-Worm.Win32.Kido, установить срочное обновление операционной системы Windows, исправляющее уязвимость в службе Сервер (Server), и пройти бесплатное лечение на ресурсе. В случае недоступности последнего администрация VirusInfo рекомендует использовать сервисы анонимного доступа к сети (анонимайзеры) или обращаться к ресурсу по его IP-адресу (216.246.90.119).
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2007
    Адрес
    Frolovo MegaTown. Why Mega? I am living in Frolovo
    Сообщений
    252
    Вес репутации
    155
    Убедительная просьба - опубликуйте, пожайлуста, признаки заражения.
    Особо интересует поведение компьютера. Спасибо.
    Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для LEON®
    Регистрация
    28.06.2008
    Адрес
    Украина, Днепропетровск
    Сообщений
    220
    Вес репутации
    84
    Цитата Сообщение от Shark Посмотреть сообщение
    Убедительная просьба - опубликуйте, пожайлуста, признаки заражения.
    Особо интересует поведение компьютера. Спасибо.
    В предидущем посте написано:

    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Характерной чертой активности представителей этого семейства вредоносных программ является блокирование доступа к ряду ресурсов сети Интернет. Наряду с ресурсами антивирусных компаний - "Лаборатории Касперского", "Доктор Веб", ESET - Net-Worm.Win32.Kido блокирует доступ пользователей к доменному имени virusinfo.info, с целью не позволить владельцам зараженных компьютеров пройти лечение на VirusInfo. По мнению экспертного сообщества ресурса, этот факт наглядно демонстрирует, сколь велика та опасность, которую VirusInfo представляет для авторов вредоносных программ благодаря своему сервису бесплатного лечения компьютеров от инфекций.
    Так что раз ты написал свой пост, значит у тебя всё хорошо.
    :http:donor.org.ua

  6. #5
    Vass
    Guest
    к стати если указать сервер обновление касперского по ip, обновление сработает,
    например http://212.47.219.89
    но после того как касперский обновился вируса он не находит
    нашел вот этим Portable Dr.Web Anti-Virus 5.00.0
    Последний раз редактировалось Незарегистрированный; 13.01.2009 в 11:36.

  7. #6
    Незарегистрированный
    Guest
    у нас завелся Kido.bt.
    1. Ключей в реестре как в http://av-school.ru/news/a-186.html не создает.
    2. на Windows Server 2003 падают службы Сервер, Рабочая Станция, Вторичный вход в систему, Обозреватель компьютеров, Диспетчер логических дисков и т.п.
    3. серверы с Windows server 2000, как-будто бы не заражены.
    4. на машинах с windows XP prof касперский несколько раз в час обнаруживает в c:\windows\system32 экземпляры Kido.bt, несмотря на то, что все обновления системы установлены.

  8. #7
    Junior Member Репутация
    Регистрация
    09.01.2009
    Сообщений
    7
    Вес репутации
    33
    Данный зловред весьма интересен. Dr.Web его идентифицирует как Win32.HLLW.Autoruner.5555.(до обновления 11.01.2009 не видел вообще) Антивирусная утилита от Касперского - Net-Worm.Win32.Kido.bt(видел), Eset Nod32 - Модифицированный Konficer.AA.(видел и прибивал). Сам с ним борюсь уже трое суток в домене windows на базе w2k sp4 . Ситуация такая: компьютер (сервер, рабочая станция) могут быть заражены 2-мя путями - 1) заражение собственно через сеть. Используя механизм удаленного вызова процедур (RPC) и службу удаленного реестра заливают файл с телом вируса на атакуемую платформу (в нашем случае использовалось соединение через порты http://...:3605 http://...:6629, но думаю что он может и в другие порты полезть). Вредоносный код располагается в папке %systemdir% имеет имя в виде произвольного набора символов размер 164768b, как правило расширение dll но не всегда, свойства архивного, скрытого и т.д. Второе место где он прячется -c:\Documents and Settings\ в папках профилей различных пользователей в папке ...\Local Settings\Temporary Internet Files\Content.IE5\ имеет расширение .jpeg,bmp... размер тот же. Кроме того на серверных платформах создаются назначенные задания вроде rundll32.exe <имя зловреда>. 2) распространение через флэш диски и сетевые диски. В корневом каталоге последних создаются файл Autoru.inf а так же папка Recycled/S-............... (длинное название в которой лежит файл с именем произвольного набора символов и расширением WMX. Как многие уже догадались при опросе такого диска , в случае если не запрещен авто запуск с данного устройства – получаем инфицированный компьютер. Теперь самое интересное . Что он творит кроме этого? Сканирует сеть на предмет свободных «носителей» для себя. Постоянно долбится в Активку. Если кто чего добавит, особенно касательно того как с ним бороться буду признателен. Да и еще, установка исправления http://www.microsoft.com/technet/sec.../MS08-067.mspx не помогла.

  9. #8
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Groft
    Регистрация
    26.11.2007
    Сообщений
    510
    Вес репутации
    654
    ссылочку на вирустотал можно по Net-Worm.Win32.Kido?

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Подробное описание Net-Worm.Win32.Kido.bt

  11. #10
    Незарегистрированный
    Guest
    пункт 3. поправка:
    на Win2000 Net-Worm.Win32.Kido.bt нашелся в : \Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
    Изначально он и есть во временных файлах...

  13. #12
    Рвущийся в бой
    Guest
    Как вы считаете, стоит ли ждать обновлений сигнатур антивируса Касперского для Net-Worm.Win32.Kido.bt или можно начинать руками все машины в сети править?

  14. #13
    Незарегистрированный
    Guest
    я не особо шарюсь...
    если я перебью винду с помощью зеркалки - этот кидо сдохнит?

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Как вы считаете, стоит ли ждать обновлений сигнатур антивируса Касперского для Net-Worm.Win32.Kido.bt или можно начинать руками все машины в сети править?
    Модификация Net-Worm.Win32.Kido.bt детектируется антивирусом Касперского, но вот как с лечением, думаю сами знаете...

    если я перебью винду с помощью зеркалки - этот кидо сдохнит?
    Если копия сделана до заражения, то конечно он пропадет...

    Утилита Clwk обновлена http://support.kaspersky.ru/faq/?qid=180593202 добавлены следующие модификации:

    # Net-Worm.Win32.Kido.r
    # Net-Worm.Win32.Kido.t
    # Net-Worm.Win32.Kido.bw
    # Net-Worm.Win32.Kido.db
    # Net-Worm.Win32.Kido.fk
    # Net-Worm.Win32.Kido.fx
    # Net-Worm.Win32.Kido.fo
    # Net-Worm.Win32.Kido.s
    # Net-Worm.Win32.Kido.dh
    # Net-Worm.Win32.Kido.ee
    # Net-Worm.Win32.Kido.gh
    # Net-Worm.Win32.Kido.fa
    # Net-Worm.Win32.Kido.gy
    # Net-Worm.Win32.Kido.ca
    # Net-Worm.Win32.Kido.by
    # Net-Worm.Win32.Kido.if
    # Net-Worm.Win32.Kido.eo
    # Net-Worm.Win32.Kido.bx
    # Net-Worm.Win32.Kido.bh
    # Net-Worm.Win32.Kido.bg
    # Net-Worm.Win32.Kido.ha
    # Net-Worm.Win32.Kido.hr
    # Net-Worm.Win32.Kido.da
    # Net-Worm.Win32.Kido.dz
    # Net-Worm.Win32.Kido.cg
    # Net-Worm.Win32.Kido.eg
    # Net-Worm.Win32.Kido.eq
    # Net-Worm.Win32.Kido.bz
    # Net-Worm.Win32.Kido.do
    # Net-Worm.Win32.Kido.fw
    # Net-Worm.Win32.Kido.du
    # Net-Worm.Win32.Kido.cv

  16. #15
    Незарегистрированный
    Guest
    Цитата Сообщение от Гриша Посмотреть сообщение
    Утилита Clwk обновлена http://support.kaspersky.ru/faq/?qid=180593202 добавлены следующие модификации:
    Net-Worm.Win32.Kido.bt не ловит

  17. #16
    Незарегистрированный
    Guest
    Цитата Сообщение от Незарегистрированный Посмотреть сообщение
    Net-Worm.Win32.Kido.bt не ловит
    У меня тоже. Признаки описанные на сайте касперского есть, а утилита ничего не определяет((

  18. #17
    Рвущийся в бой
    Guest
    Появление описания на viruslist.com хороший знак товарищи!!!! Остаётся только надеяться на антивирусных дел мастеров из Лаборатории Касперского, дабы избавили они нас от этой заразы, раз и навсегда.

  19. #18
    Незарегистрированный
    Guest
    Аналогичная проблема. Борюсь с этой гадостью уже вторую неделю. Корпоративная сеть, причём уже на всех компах эта зараза. Реально в реестре в сервисах нет этой заразы. Но НОД время от времени определяет
    13.01.2009 16:16:01 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\nqsutyo.pbk модифицированный Win32/Conficker.AA червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft Office\Office10\WINWORD.EXE.

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Net-Worm.Win32.Kido.bt не ловит
    Все верно, с списке модификаций которые подвластны утилите его нет...

  21. #20
    Junior Member Репутация
    Регистрация
    09.01.2009
    Сообщений
    7
    Вес репутации
    33
    Касательно лечения могу сказать следующее - Symantec с базами от 8 января его прибивает запросто, главное чтоб комп потянул. Касательно Dr.Web v.4.44 с базами от 11 января его ловит но не всегда прибивает, но к сожалению он продолжает поражать компы с этим антивирусом. Так что приходится перелечивать, установив либо Symantec , либо NOD32(версии баз от 9 января). Отдаю предпочтение NOD32 потому что у него в логах четко видно с какого IP прошла атака. Кроме того даже если что и удается червячку засунуть в машину , то NOD32 это тут же прибивает. Остаются хвосты. На съемных и сетевых дисках папка RECYCLER \S-5-3-42-2819952290-8240758988-879315005-3665 которые можно удалить руками.

Закрытая тема
Страница 1 из 10 12345 ... Последняя

Похожие темы

  1. По поводу последней эпидемии сетевого червя
    От rasclogin в разделе Вредоносные программы
    Ответов: 3
    Последнее сообщение: 24.05.2009, 16:29
  2. Ответов: 24
    Последнее сообщение: 11.04.2009, 23:10
  3. Ответов: 0
    Последнее сообщение: 17.01.2009, 21:26
  4. «Доктор Веб» сообщает об эпидемии Trojan.Packed.1198
    От SDA в разделе Вредоносные программы
    Ответов: 0
    Последнее сообщение: 27.10.2008, 21:36

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00631 seconds with 16 queries