|
Лекарство от сетевого червя Net-Worm.Win32.Kido
|
|
Лекарство от популярного вируса в сети Conficker Downadup или Kido. На сегодняшний день заражено 3 700 000 компьютеров
Распространение вируса осуществляется несколькими способами:
- с использованием уязвимостей ОС (предотвращается инсталляцией бюллетеней безпасности Microsoft)
- посредством выполнения сетевого входа на рабочую станцию, используя учетные данные пользователя, совершившего интерактивный вход.
При растространении на рабочую станцию копируется файл, имеющий случайное имя и формируется назначенное задание с целью запуска Rundll32.exe со скопированным файлом. При исполнении задания останавливаются процессы svchost и запускается собственная служба от имени system.
Характерными признаками наличия данного вируса может быть
1. обнаружение антивирусным ПО зараженных файлов
- %все папки общего доступа% \RECYCLER\S-\%случайная буквенная комбинация%.vmx
- \Internet Explorer\%случайная буквенная комбинация%.dll
- \Movie Maker\%случайная буквенная комбинация%.dll
- \%случайная буквенная комбинация%.dll
- \%случайная буквенная комбинация%.dll
- \Application Data\%случайная буквенная комбинация%.dll
2. остановка служб:
- server
- workstation\
и отсутствие возможности их запуска.
- отсутствие звука системы и вообще
- Блокировка обновления ВСЕХ популярных антивирусников, так же захода на их странички!
- Частый ребут
3. наличие в системе назначенных задний формата At1.job, At2.job,..
Также вредоносное ПО может модифицировать ряд веток реестра, что может повлечь за собой некорректную работу ряда сервисов.
После успешной установки себя в качестве службы вирус предпринимает попытки дальнейшего растространения, а также пытается подобрать пароли к учетным записям. Учетные записи перебираются по очереди, для каждой из них используется статичный набор простых паролей (порядка 100).
Вирус написан на MS Visual C++.
С целью снижения вероятности заражения необходимо инсталлировать на рабочих станциях пакеты обновления (бюллетени безопасности Microsoft MS08-067 и MS09-001)
При подозрении заражения необходимо:
- запустить утилиту McAfee Stinger
- проверить наличие указанных пакетов обновления, при отсутствии – инсталлировать
- Далее запустить kidokiller
Подробнее здесь
http://kukosh.com/pljus/net-wormwin32kido-kak-my-s-nim-borolis
Добавил:
skyline
|
Просмотров:
849
|
Дата:
29 декабря 2009
|
Комментов :
(0)
|