Вернуться   Ultramarine forum > Интернет-провайдер ЗАО "Ультрамарин" > Функционирование узла доступа "Ультрамарин" > Защита и безопасность Вашей информации

 
 
Опции темы Опции просмотра
Старый 04.06.2009, 00:23   #1
bugs__bunny
Junior Member
 
Регистрация: 01.04.2009
Сообщений: 24
bugs__bunny is on a distinguished road
По умолчанию Поймал KIDO

Установил на днях чистую систему. Установил аутпост.

Оставил комп включенным и подключенным только к локалу, т.е. ВПН не поднят.

Спустя час моего отсутствия винда выдала ошибку svchost.exe. Точное описание ошибки не дам...но окно типа "Отправить отчет к Мелкомягким или нет"

Так вот путем не долгих вычислений понял, что поймал Net-Worm.Win32.Kido. Нашел кучу информации и решил поделиться с вами ))

1. Признаки таковы: Выскакивает ошибка Форточек и после этого ... нет возможности подключиться к нету, пропал звук, загруз проца 100 %.

2. Что делать: Можно лечить (народ говорит лечиться), можно формат С: , что я и сделал.

3. Как лечить... привожу инструкцию с сайта каспера и ссылки на заплатки от мелкософта

http://www.microsoft.com/rus/technet.../MS08-067.mspx
http://www.microsoft.com/rus/technet.../MS08-068.mspx
http://www.microsoft.com/rus/technet.../MS09-001.mspx

Цитата:
Симптомы заражения
  1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.

    Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

    Невозможно получить доступ к сайтам большинства антивирусных компаний, например, avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.

    Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно и возникает одна из ошибок:
Ошибка активации. Процедура активации завершилась с системной ошибкой 2.
Ошибка активации. Невозможно соединиться с сервером.
Ошибка активации. Имя сервера не может быть разрешено.




Краткое описание семейства Net-Worm.Win32.Kido.
Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org


Способы удаления

Удаление сетевого червя производится с помощью специальной утилиты KK.exe. Операционные системы MS Windows 95 и MS Windows 98 не подвержены заражению данным сетевым червем.

С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
Установить патчи, закрывающие уязвимости.

Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр. Либо сменить ранее установленный пароль локального администратора.

Отключить автозапуск исполняемых файлов со съемных носителей, запустив утилиту KK.exe с ключом -a.

Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана.

Удаление сетевого червя утилитой KK.exe можно производить локально на зараженном компьютере.

Начиная с версии 3.4.6 в утилиту KK.exe добавлены коды возврата (%errorlevel%):

3 - Были найдены и удалены зловредные потоки (червь был в активном состоянии).
2 - Были найдены и удалены зловредные файлы (червь был в неактивном состоянии).
1 - Были найдены зловредные задания планировщика или перехваты функций (данная машина не заражена, но в этой сети могут находиться зараженные машины - администратору следует обратить на это внимание).
0 - Ничего не было найдено.


Локальное удаление:
Скачайте архив KK_v3.4.7.zip и распакуйте его в отдельную папку на зараженной машине.

Запустите файл KK.exe .


По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KK.exe с ключом -y.

Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KK.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Выполните сканирование всего компьютера с помощью Антивируса .
И не забудьте делать обновление винды )))
Вложения
Тип файла: zip KK_v3.4.7.zip (163.0 Кб, 71 просмотров)
bugs__bunny вне форума   Ответить с цитированием
 

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +3, время: 20:37.