Как вылечить вирус kido
Карма +2009/-14
Offline
Пол:
Сообщений: 17725
снова в Москве
ИЖ-21261-070 248i Омск, 2005г.в., оригинал (пока)
Вирус КИДО нахождение, уничтожение и профилактика, windows заплатки от вирус Кидо, лечение вирус Кидо вирус
kido известный под разными именами (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based и т д) и во множестве вариациях, Kido был обнаружен впервые ещё осенью прошлого года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows.
Действия вируса кидо
Помимо атаки на «дырявый» сервис, Вирус Кидо умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители («флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» – конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, вирус кидо отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов и спокойно занимается лавинным размножением. Благодаря изощренной механике Кидо заразил к настоящему моменту более девяти миллионов машин и продолжает прогрессировать. Данная вредоносная и очень не беспечная программа, по мнению F-Secure создана для формирования бот-сетей с целью извлечения из нее прибыли или пакетной продажи. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет. Также, «Создатели этого вируса kido еще по-настоящему не использовали его. Но они могут в любой момент сделать с зараженными машинами все, что захотят», — говорит главный советник по вопросам безопасности все того же F-Secure – Патрик Руналд (Patrik Runald).
Сетевой червь kido, распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован kido при помощи UPX.
Распространение при помощи сменных носителей
Вирус кидо копирует свой исполняемый файл на все съемные диски со следующим именем:
<X>:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665<rnd>.vmx, где rnd – случайная последовательность строчных букв, X – буква съемного диска.
Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
<X>:autorun.inf
Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы “Проводник”.
Деструктивная активность
При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов “svchost.exe”. Внедренный код выполняет основной деструктивный функционал червя:
отключает службу восстановления системы;
блокирует доступ к адресам, содержащим следующие строки:
indowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus
Также червь скачивает файл по следующей ссылке:
https://trafficconverter.biz/*****/antispyware/loadadv.exe
Скачанный файл сохраняется в системный каталог Windows (%System%) с оригинальным именем и запускается на выполнение. На момент создания описания указанная ссылка не работала.
Также червь может скачивать файлы по ссылкам вида:
https://<URL>/search?q=<%rnd2%>
где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату вирус Кидо запрашивает с одного из следующих сайтов:
https://www.w3.org
https://www.ask.com
https://www.msn.com
https://www.yahoo.com
https://www.google.com
https://www.baidu.com
Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.
При заражении компьютера червь kido запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.
Вирус кидо получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого вирус кидо отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя kido и запускает его. После чего происходит инсталляция вируса kido на атакуемой машине.
Симптомы Заражения и буйствия вируса:
– отключена служба восстановления системы;
-заблокирован доступ к адресам сайтов вирусной безопасности;
– невозможно включение отображения скрытых папок в Documents and Settings;
-в локальной сети настает непомерный объем сетевого трафика.
Лечение гада (вируса Кидо):
Отключить компьютер или все компьютеры от локальной сети, отключить автозапуск сменных носителей и применить одно из решений:
Решение 1 от Лаборатории Касперского
Решение 2 от Компании «Доктор Веб»
Далее установить 3 заплатки 2 на Windows XP2 и одну Windows XP3:
MS08-067
MS08-068
MS09-001
Атаки kido с зараженных компьютеров будут продолжаться и дальше поэтому установите если у вас еще нет -антивирус ( в настоящий момент все антивирусы на него реагируют) и специальный софт для блокирования любой заразы поступающей с “флэшек” или съемных дисков.
Пакет состоящий из трех заплаток от Microsoft для Windows XP2/XP3 RUS и двух специальных бесплатных утилит от Лаборатории Касперского и Компании «Доктор Веб» – Dr.Web CureIt!® от 01.02.2009г и KidoKiller v.3.4 единым пакетом для пользователей :
Скачать : Пакет утилит и отрава для КИДО
Первый признак заражения kido – это когда вы не можете зайти на официальный сайт Лаборатории Касперского.
Самый простой способ лечить комп от Kido.bt (.wd .ws .wr .dd .fd .df .ss):
1 Вставляете флэшку в комп (желательно отформатированную, чтобы на ней небыло папки Recycler , дальше узнаете почему)
2 На флэшке появляется папка Recycler (если у Вас Kido то он в любом случае лезит на флэшку – один из способов распространения)
3 В этой папке Recycler находим файл (он там один в опять же в отдельной папке)
4 Через Total Commander определяем длину файла в байтах
5 Опять же через Total Commander ищем в папке System | System32 файл именно той длинны (обязательно в байтах)
6 Все нашедшие файлы сносим (только ВНИМАТЕЛЬНО смотрим какие файлы удаляем, потому как эта зараза, особенно Kido.ss, имеет свойство подстраиваться под системные файлы)
Кидо действует как бомба! Он срабатывает не сам по себе а только при каком-то действии,каком сам черт знает!
ВНИМАНИЕ! Если Касперский обнаружил kido на вашем компе, но когда вы вставляете флэшку и после нескольких попыток на флэшке нет папки Recycler с файлом внутри, то должен Вас огорчить!!! Вирус кидо МОДИФИЦИРОВАЛСЯ! И отловить его становится уже не реально.
Остается только Format C: D: E: … только форматировать надо все диски , а не только на котором операционая система, что поделать другого выхода нет, иначе после форматирования , например , только диска С, и установки на нем винды, после запуска он перелезет с зараженых дисков на С, такая уж у него спицификация, поражать все куда только можно пролезть и сохранить свое тело.
Есть еще способ удаления сетевого червя Кидо ( для более опытных, так как изменив в реестре что то не то, можно распрощаться с операционной системой)
Рекомендации по удалению Вируса Кидо
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления воспользуйтесь специальной утилитой и рекомендациями по удалению, которые можно скачать по следующей ссылке:
Лекарство от вируса Кидо
либо выполните следующие действия:
Удалить ключ системного реестра:
[HKLMSYSTEMCurrentControlSetServicesnetsvcs]
Удалить строку “%System%<rnd>.dll” из значения следующего параметра ключа реестра:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] “netsvcs”
Перезагрузить компьютер
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:
%System%<rnd>.dll, где <rnd> – случайная последовательность символов.
Удалить следующие файлы со всех съемных носителей:
<X>:autorun.inf
<X>:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665.vmx, где vmx – случайная последовательность строчных букв, X – буква съемного диска.
Скачать и установить обновление операционной системы по следующей ссылке: www.microsoft.com
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать полную версию).
Новая версия Кидо Киллер (Kidokiller.exe) (текущая версия утилиты -3.4.13)
Скачать бесплатно: https://depositfiles.com/ru/files/te0fsap8x (срок жизни ссылки ограничен)
Источник
В связи с большим количеством обращений пользователей “Лаборатория Касперского” подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup.
В связи с большим количеством обращений пользователей “Лаборатория Касперского” подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup. Комментирует Виталий Камлюк, ведущий антивирусный эксперт “Лаборатории Касперского”.
Что такое Kido?
Вредоносная программа Kido представляет на данный момент серьезную угрозу для всего интернет-сообщества. Миллионы компьютеров, зараженных Kido, потенциально могут стать самым мощным ресурсом кибепреступников в Интернете. Эта вредоносная программа впервые была детектирована в ноябре 2008 года. Ее активизация ожидается 1 апреля: ботнет Kido начнет искать центр управления среди 50 000 доменов в день (ранее он подключался лишь к 250 доменам) и загружать на компьютеры пользователей новые версии других вредоносных программ. Последующие за этим действия злоумышленников на настоящий момент не поддаются прогнозированию.
В чем опасность Kido?
Таким образом, созданная авторами Kido гигантская зомби-сеть (ботнет) потенциально может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).
До последнего времени Kido распространялся через компьютерные сети и сменные носители информации. В частности, он проникал на компьютеры, используя критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года. По мнению экспертов, на значительной части машин патч не был установлен на момент пика распространения Kido в январе. Этот фактор, а также игнорирование эффективной антивирусной защиты и привели к эпидемии: в настоящее время различными версиями Kido заражены, по меньшей мере, от 5 до 6 миллионов компьютеров, имеющих доступ в сеть Интернет. В последних версиях Kido отсутствует явная возможность самораспространения. Программа лишь пытается укрепиться на уже зараженных компьютерах.
В Kido реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д.
Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.
Как избежать заражения вредоносной программой Kido?
Продукты “Лаборатории Касперского” успешно блокируют проникновение всех версий Kido на компьютеры пользователей. Проверьте, что автоматические обновления не отключены и, в том случае, если у вас есть подозрение, что Kido уже мог проникнуть на компьютер, выполните сканирование всего компьютера с помощью Антивируса Касперского. Своевременная установка патчей для ликвидации уязвимости MS08-067, безусловно, является обязательной мерой для предотвращения заражения, однако установленное решение Kaspersky Internet Security не позволит использовать уязвимость даже на непропатченной операционной системе.
Как понять, что произошло заражение сети или компьютера?
При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
Если вы подозреваете заражение своего компьютера, попробуйте открыть браузер и перейти на произвольную страничку любимого поискового движка. Если страница открылась — попытайтесь загрузить www.kaspersky.com или www.microsoft.com. Если этого сделать не удалось — то доступ к сайтам скорее всего блокирует вредоносная программа. Полный список ресурсов, заблокированных Kido, можно увидеть, например, здесь: https://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725
Я – администратор локальной сети. Как мне быстрее и удобнее всего локализовать проблему?
Удаление сетевого вредоносной программы производится с помощью специальной утилиты KKiller.exe. С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер: Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001. Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому – пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
Отключить автозапуск исполняемых файлов со съемных носителей. Остановить службу Task Scheduler (Планировщик Задач) в Windows. Удаление вредоносной программы Kido утилитой KKiller.exe необходимо производить локально на зараженном компьютере.
Как бороться с Kido обычному пользователю домашнего компьютера?
Скачайте архив KKiller_v3.4.1.zip и распакуйте его в отдельную папку на зараженной машине. Запустите файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y. Дождитесь окончания сканирования.
Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
Источник
*инкогнито *
Гений
(77570)
9 лет назад
https://forum.kaspersky.com/index.php?showtopic=101154
https://myopyt.ru/?p=75
Удаление вируса Kido
1. Устанавливаем патчи от Microsoft – MS08-067, MS08-068, MS09-001. Для большей надежности советую установить все обновления для Windows, скачать которые можно на Windows Update.
2. Отключаемся от интернета и от локальной сети.
3. Очищаем компьютер от временных файлов с помощью программы CCleaner.
4. Устанавливаем более надежные пароли.
5. Необходимо скачать KidoKiller с оффициального сайта Лаборатории Касперского. Запускаем утилиту, дожидаемся завершения её работы. Если утилита не хочет запускаться, то попробуйте её переименовать в любое другое название, например в moipost_ru.exe.
6. Теперь можно подключиться к интернету и локальной сети.
7. Не забудьте удалить все старые точки восстановления системы в панели управления, сначала отключив восстановлении системы, а потом снова включив.
Некоторые модификации вируса, такие как Net-Worm.Win32.Kido.ng не позволяют запускаться утилите KidoKiller и антивирус Касперского ничего с ним не может сделать, хотя и определяет его. Тогда придется нести винчестер на проверку с другого компьютера, либо форматировать его, а затем заново устанавливать Windows XP. Обновляется вирус с приблизительно 500 доменов, догружая дополнительные части кода. С помощью данного вируса, злоумышленники могут воровать личные данные с компьютеров, распространять различную рекламу, а также совершать DDOS-атаки на любые веб-сайты, поэтому рекомендую обязательно установить антивирус последней версии и скачать последние обновления антивирусных баз.
шу
Мыслитель
(5662)
9 лет назад
Не заходит на сайты антивирей, значит, файл windows/system32/drivers/etc/hosts не пустой, а с кучей перенаправлений.
Есть сканировщики от доктора веба и касперского, пробуйте их с livecd.
А вообще, не надо работать из учетной записи админа и ставить левый софт. Или хотяб uac не отключайте.
Наталья ТарасенкоМастер (2149)
9 лет назад
у меня hosts вообще отсутствует, хотя когда контакт блокировался, именно в хостсе я удаляла ненужные строки. В этот раз нет этого файла. Левый софт не ставлю сижу не с админской учетки,а со своей (но тоже с правами идминистратора – или это косяк?), левый софт не качаю. UAC где находится и как узнать его состояние? Вряд ли я его откючала, ибо не знаю, что это)) Спасибо)
Святослав Золотенин
Гуру
(2588)
9 лет назад
Попробуй установить Касперского 2010 (проверенный вариант) . Если не поможет то нужно снимать хард и лечить его через другой комп.
Еще как вариант – проверка на вирусы чарез сетку (тоже лучше касперским, он такую фигню на раз ловит)
Андрей Новиков
Гуру
(3472)
9 лет назад
Если комп выдает ошибку запоминай адрес ошибки (к примеру majod.exe) через поиск пробиваешь эту строку, находишь папку, работающий антивир тут же сканирует её автоматически, удаляешь зараженые файлы. Если заражено приложение, удаляй через панель управления, это в пуске. Если удалить такие явные проблемы от вируса, мешающие его удалению, то сам вирус не способен быстро себя защитить и его удаление-лечение будет быстрее и качественнее
Nur
Мыслитель
(6980)
9 лет назад
Kido удалять лучше всего утилитой KK от лаборатории касперского. Для начала надо вырубить все компы из сети и запустить на всех машинах сканирование. Лично я так вылечил.
Источник
Статья написана для того чтобы потомки не наступали на грабли на которые наступил я.
Если на вашем сервере/локальном компьютере перестало открываться сетевое окружение с ошибкой «Ни одна из служб доступа к сети не может обработать сетевой путь» добро пожаловать
В общем в один прекрасный день мне позвонил пользователь и сказал что не может по самбе законектиться на основной сервер (естественно он сказал не так, но суть передана) Я попробовал со своего компьютера набрать \server (имя изменено для удобства понимания) и получил ошибку. хотя сервер прекрасно пинговался и все нужные порты были открыты. После перезагрузки сервера (а это как известно полный ахтунг посреди рабочего дня) сервер проработал около часа и ошибка повторилась. На самом сервере при попытке пойти по сети на любой компьютер \user получали ошибку «Ни одна из служб доступа к сети не может обработать сетевой путь»
Как было сказано ранее порт 445 был открыт. Ошибка «Ни одна из служб» подтолкнуло на мысль что проблема в службах 🙂
Итак лезем в службы и на вскидку видим следующее: службы сервер, рабочая станция, обозреватель компьютеров упали. Запускаем — работает, минут через 10-15 снова падает. В логах приложений видим ошибку
«Ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.»
Сразу после которой падают службы
Гуглим…
Приходим к однозначному выводу что причиной всему некоторый вирус kido, который атакует компы сети по 445 порту, приводя к ошибке buffer-overflow. Решение — запуск kk.exe на всех компьютерах сети. kk.exe — програмка для лечения вируса kido от касперских. Сам антивирус касперского не переношу на дух, хотя проверку провел — сам касперский угроз не обнаружил, а kk.exe — нашел и по всей видимости полечил.
Пройдя по всем компьютерам сети и запустив kk обнаружили и почистили много этой вирусни. Кроме того дабы обезопасить только что зараженные компьютеры запустили kk в режиме мониторинга «kk -m» и добавили в автозагрузку. После всех этих манипуляций вздохнули свободно, хотели отдохнуть, но не тут то было. Сервисы стали падать не так часто. Но от этого легче не стало! Кстати временное решение проблемы — зайти в свойства одного из сервисов и установить «перезапускать сервер» во всех полях закладки восстановления. Сервисы хоть и падают, но почти сразу восстанавливаются.
Итак стал думать почему сервисы падают пачками. И что объединяет эти сервисы. ответ оказался прост — один из svchost.exe запускал все эти сервисы. Вот полный список:
• Обозреватель компьютеров (!)
• Службы криптографии
• Диспетчер логических дисков
• Служба событий COM+
• Справка и поддержка
• Сервер (!)
• Рабочая станция (!)
• Сетевые подключения (!)
• Служба сетевого расположения
• Планировщик заданий (!)
• Вторичный вход в систему
• Уведомление о системных событиях
• Определение оборудования оболочки
• Клиент отслеживания изменившихся связей
• Инструментарий управления windows
• Автоматическое обновление
• Беспроводная настройка
В общем мысль пошла далее. Раз вирусов на сервере больше нет, значит вирус все еще есть на каких либо компьютерах сети. И он продолжает атаковать сервер. Но почему сервер от этого падает? Значит есть какаято дыра. А если есть дыра — значит должна быть заплатка. С горем пополам нашел такую заплатку для WinXP — KB958644
А уж имея название заплатки для Win2003 нашел заплатку без проблем.
поставил заплатки на сервер и все компьютеры сети. вместо ошибки
«Ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.»
стало появляться предупреждение
«Отчет об ошибке постановки в очередь: ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.»
В принципе проблема решена, можно выписывать. Но (!) Раз атаки продолжаются значит вирус еще где то действует. Вот об этом хотелось бы спросить хабрасообщество — как выявить зараженный в сети компьютер?
Логично предположить что нужно слушать 445 порт — кто лезет, тому и по рогам. Но ведь на сервере пошарено много всего, люди лезутредактируютсоздаютсохранаютсмотрют… Как нормальный траф 445 порта отделить от вредоносного?
В комментариях жду советов, и надеюсь что в будущем моя статья поможет кому либо побыстрее разобраться с этой проблемой.
ЗЫЖ автоматическое обновление стояло, 2003 был обновлен — почему то эта заплатка не качается со всеми вместе.
Источник