Как избавиться от вируса kido. Способы заражения вирусом kido. Вот прога которая удаляет вирус и заплатка

Сейчас в сети миллионы компьютеров заражены вирусом Kido / Conficker . Если у вас не открываются сайты kaspersky.com и microsoft.com (а также других антивирусных компаний) то вы заражены вирусом. Для борьбы с этим вирусом/трояном нужно удалить сам вирус, и затем поставить обновление системы, чтобы предотвратить повторное заражение.

Сейчас в сети миллионы компьютеров заражены вирусом Kido / Conficker . Если у вас не открываются сайты kaspersky.com и microsoft.com (а также других антивирусных компаний) то вы заражены вирусом. Для борьбы с этим вирусом/трояном нужно удалить сам вирус, и затем поставить обновление системы, чтобы предотвратить повторное заражение.

Вот прога которая удаляет вирус и заплатка.

Полезная информация:

Известный под разными именами (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based и т д) и во множестве модификаций, Kido был обнаружен впервые ещё осенью 2008 года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства Microsoft Windows. Благодаря изощренной механике Kido заразил к настоящему моменту более девяти миллионов машин и продолжает распространяться далее. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль - используется перечисление популярных паролей) и съёмные накопители («флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к целому ряду антивирусных сайтов и спокойно занимается лавинным размножением.

Этот троян распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован при помощи UPX. При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер». Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Симптомы "запущенного" состояния: отключена служба восстановления системы; заблокирован доступ к адресам сайтов вирусной безопасности; невозможно включение отображения скрытых папок в Documents and Settings; в локальной сети настает непомерный объем сетевого трафика.

На личном опыте, так сказать

Руководство: борьба с KIDO\CONFICKER в сети (рабочая группа). V.2.0​

Спойлер: руководство

(в моем случае в сети 50 компьютеров+файлопомойка без домена, DHCP, DNS сервер без AD, прокся)

Определение заражения:
Лезем в реестр и проверяем параметр netsvcs в ветке

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

если в списке служб в самом конце есть бессмысленный набор букв(типа xpprdjj) и вы не можете ассоциировать это название с легальными службами (у каждой службы кроме длинного есть короткое имя например - Автоматическое обновление: Wuauserv ) - (Можно посмотреть в остнастке службы либо с помощью любой другой утилиты, например, autoruns)

Вышесказанное относится к модификациям вируса Win32/Conficker.A - .C . Более новая модификация Win32/Conficker.D записывает свою службу в параметре netsvcs не в конец списка, а в произвольное место списка, что усложняет ее поиск! Вот таблица типичных "валидных" служб для примера (взял отсюда):

Служба, выделенная красным - это пример записи, которую создает вирус Win32/Conficker в папаметре netsvcs в разделе реестра SVCHOST .
- Реальный список служб может включать дополнительные записи в зависимости от программ, установленных в системе.
- В таблице указаны службы, запускаемые в конфигурации Windows по умолчанию.
Запись, добавляемая в список вирусом Win32/Conficker, может служить примером техники запутывания. В выделенной записи вируса первая буква кажется буквой «L» в нижнем регистре, но на самом деле это буква «I» в верхнем регистре. Из-за начертания шрифта, используемого в операционной системе, буква «I» в верхнем регистре похожа на букву «L» в нижнем регистре.

Вобщем если есть неопознанная служба поздравляю - скорее всего вы счастливый обладатель самого новейшего вируса

Также надо проверить ветку реестра

Код:

Если такая есть это точно Kido. Однако не во всех модификациях вируса такая ветка создается.

После этого в сети и на каждом компьютере необходим целый комплекс противовирусных мероприятий:

I В сети предприятия.​

1. Планируется глобальная политика безопастности - способ входа в систему длинна пароля, количество попыток при вводе неправильного пароля, меняются все пароли на сложные не меньше 6 знаков, раздаем права доступа на NTFS, Всех выгоняем из УЗ Администратора. Вобщем вспоминаем за что платят админам деньги

2. Закрываем на всех компьютерах ВСЕ общие папки, в т.ч. на серверах. Это заодно будет стимулом быстрее перевести всех на файловый сервер и быстрее пролечить сеть
Легче всего эту задачу выполнить - остановив на каждом компьютере службу Server .

3. В настройках прокси\брэндмауэра запрещаем P2P сети! Это важно- именно по этому протоколу зараза обменивается информацией и обновляется.

4. Заодно можно на время отключить сетевую службу Доступ к файлам и принтерам , дабы закрыть 139, 445 порт(я так не делал, а просто запретил порты на проксе\DNS)

5. Отключить сервер и полноценно проверить его без доступа к сети. Установить на него заплатки (все необходимые). Используйте Microsoft Baseline Security Analizer .(нужен интернет, так что делайте до отключения сети).

II. На каждом компьютере отдельно. (в т.ч. на серверах )​

1. Удаляем сначала вирусную службу определенную ранее из списка служб в параметре netsvcs (в конце должна быть пустая строка ) и убив саму службу в

Код:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Удалив указанную в соответстующей вирусу ветке dll-ку.

Здесь интересный момент: Зайдя, например, в случае как на картинке, в раздел реестра, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rhlnccbs вы не увидите весь раздел и имени запускаемой dll. Вирус использует наше же оружие - он закрывает через разрешения доступ к своей ветке всем кроме System. Чтобы справится с вирусом меняем разрешения на ветку: Заходим в Разрешения для данной ветки - нажимаем Дополнительно, затем выбираем галочку "Наследовать от родительского объекта... ", и вуаля- видим ветку вирусного драйвера целиком с путем и имененм dll- вот и попался голубчик!

Удаляем ветку, если она есть

Код:

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs

2. Запрещаем доступ к ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost для всех на изменение значений.
ПКМ на разделе SvcHost- Разрешения- добавить пользователя Все (на англ ОС- Everyone)-
далее в раздел дополнительно и выбрав пользователя Все задаем ему специальное разрешение(в данном случае запрещение ) - запрещаем право ЗАДАНИЕ ЗНАЧЕНИЯ

Важно: При закрытии этой ветки реестра на запись становится невозможным устанавливать новые службы использующие Svchost. На время лечения ветка должна быть закрыта на всех компьютерах сети!!! Иначе процедура лечения бессмысленна!
Подробнее о нюансах связанных с блокированием ветки реестра Svchost см.

3. Удаляем как советует майкрософт запланированные задания:

Код:

At /delete /yes

4. Качаем и устанавливаем обновление Windows XP-KB958644.
Также установите

Сетевых червей и прочих . Но чтобы мгновенно заразить множество компьютеров – это ведь надо уметь! Для данных целей очень подойдет такое изобретение, как вирус Kido. Изготовителями он был придуман для создания . Данная штука подчиняет себе много компьютеров, даже целую сеть, и владелец (разработчик, отправитель) Kido с этими компьютерами может сделать все, что захочет. Что же этот выдающийся вирус из себя представляет?

Такой вирус, как Kido, очень часто встречается даже сейчас. Заражает операционные системы начиная с 2000 винды и заканчивая семеркой. Написан на самом любимом языке хакеров — C++.

Данный вирь известен не под одним именем, а под целой плеядой: Win32.HLLW.Shadow.based, Downadup, Conficker, Win32.HLLW.Autorunner.5555, а также имеет не одну вариацию с разными расширениями: .bt, .dd, .wd, .ws, .wr, .ss, .df, .fd. И все это Kido.

Kido действует не сразу, а при определенном действии пользователя: он срабатывает как бомба. Если нашел Kido, а на нет файла autorun.inf или папки , скорее всего, вирус уже модифицировался. Отловить его тогда будет проблематично.

Распространется этот «вредитель» через сеть локальную и съемные носители информации ( ), а так же по почте через вложения в письмах. Но это еще не все. Kido блокирует доступ к официальным сайтам настоящих антивирусных программ: сайт лаборатории Касперского, NOD32, DrWeb, , а так же к сайтам, которые содержат слово «virus». Более того, он отключает службы автозапуска и автоматического обновления Windows. Если данное «создание» уже активировалось, с одного и того же будут постоянно приходить пакеты на порты 139 и 445.

Если вы хотите завести такого «жильца» в своем компе, никогда не включайте ваш файерволл. Задайте на машине пароли типа 123, 345, 567 и тому подобные, запустите удаленные службы типа: удаленный , , рабочая станция, открывайте вложения во всех письмах от всех людей, даже там где помечено «спам», откройте несколько папок для общего доступа, отключите TCP фильтрацию.

Поздравляю! Если вы подключены к огромной локалке, заражение Kido вам обеспечено. А если вы отключите ваш антивирусник и все в разделе «Центр обеспечения безопасности», зайдете в интернете на сомнительный сайт, у Kido появится компания из других червей, вирусов, , программ-шуток, взломщиков паролей…

Думаю вам понятно, что все вышеперечисленные действия нужно выполнить/не выполнить наоборот и тогда никакой вирус вам будет не страшен… На этом все, с Вами на связи был Кравченко Роман. Удачи!

(2 votes, average: 5,00 out of 5)

Многие, наверное слышали о вирусе (configer, kido – это один и тот же вирус), у него ещё много названий. Разные антивирусы определяют название по- своему. Первая версия этого вируса распространялась только по сети, а все последующие версии «научились» распространяться через флеш карты. Вирусом были заражены миллионы компьютеров, во многих странах. Компания Майкрософт, даже обещала награду тому, кто даст информацию о создателе. Так, что же он делает, попав в компьютер?

Первое – пропадает звук на компьютере. Второе – отключается интернет, причём значок уведомления, о том, что интернет подключен не исчезает. Повторное подключение интернета не получается. Помогает только перезагрузка компьютера. Появляется и звук и интернет, но только на то время, пока вирус не начнёт свою очередную атаку. И тут уж, как повезёт- может пройти пять часов, а может и пятнадцать минут. Если вирус не начнёт свою атаку сразу, то может даже показаться, что его и вовсе нет.

Обновлённые версии антивирусов, практически все видят и успешно борются с этим вирусом. Но, если у вас антивирус не обновлялся, то вирус обнаружится только тогда, когда попадёт в систему. Что делать в этом случае?

Если у вас компьютер подключен по сети, к другим компьютерам, то надо отключить сеть. Затем нужно «закрыть дыры», через которые kido проникает к вам, для этого вам нужно обновить систему, полное обновление не обязательно, достаточно скачать вот эти обновления (если у вас хр.): KB957097-x86-RUS, KB958644-x86-RUS, KB958687-x86-RUS. Затем, с помощью программы kidokiller, уничтожаем вирус. После всех этих процедур, поставьте себе хороший антивирус, но тут уж, как говорится на вкус и цвет товарищей нет. Каждый отдаёт предпочтение своему излюбленному антивирусу.

Сталкиваясь за последнее время с вопросами наподобие: А зачем отключать автораны? , Какое от них зло? и т.д., решил набросать небольшой материал об известном вирусе Kido, который достаточно часто распространяется через флэшки как раз с помощью autorun.inf.

1.Что такое Kido?
Kido (Worm:Win32/Conficker.A, W32.Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based, Downup, Downadup и Conficker) - один из опаснейших на сегодняшний день компьютерных червей. Известный под разными именами и во множестве вариаций, Kido был обнаружен впервые ещё осенью прошлого года, сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители («флэшки»). На них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов (список ниже) и спокойно занимается лавинным размножением. Атакует операционные системы семейства Microsoft Windows (от Windows 2000 до Windows Vista и Windows Server 2008). Благодаря изощренной механике (см. пункт 2) Kido на январь 2009 года поразил 12 миллионов компьютеров во всём мире. 13 января 2009 Microsoft обещала 250 000 долларов за информацию о создателях вируса. 1 апреля вирус не активировался (как ожидалось), но опасность сохраняется по сей день. Файл вредоносной программы является библиотекой Windows (PE-DLL-файл). Многочисленно упакован различными утилитами паковки. Первый слой – UPX. Размер файла – 50-60 килобайт. В Kido реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д. Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.

2.Принцип работы.
Червь находит уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. Первым делом он отключает ряд служб: автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting. Периодически генерируя список сайтов, червь обращается к ним для получения исполняемого кода. При получении с сайта исполняемого файла червь сверяет электронно-цифровую подпись и, если она совпала, исполняет файл. Кроме того, червь реализует P2P (peer-to-peer) механизм обмена обновлениями, что позволяет ему рассылать обновления удалённым копиям, минуя управляющий сервер.
При запуске червь создаёт свою копию в директории %SYSTEM% с произвольным именем. После чего проверяет, какую операционную систему использует заражённый компьютер. Если это Windows 2000, то внедряет свой код в процесс services.exe. Если же операционная система отлична от указанной, то создаёт службу со следующими характеристиками:
Имя службы: netsvcs
Путь к файлу: %SYSTEM%\svchost.exe -k netsvcs
Создаёт следующий ключ реестра, обеспечивая себе автозапуск при следующей загрузке:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%SYSTEM%\.dll"
Червь пытается подключиться к домену traff******ter.biz и загрузить следующий файл:

В случае успеха, загруженный файл запускается на выполнение.
Другие действия - червь производит обновление системы, закрывая тем самым описанную выше уязвимость. Делается это для того, чтобы таким же способом в систему не попали другие вредоносные программы.
На съемных носителях вирус создаёт файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (в данном случае лучше настроить на брандмауэре правило мониторинга обращения к ним):

3.Симптомы заражения.
Отключена служба восстановления системы; невозможно включение отображения скрытых папок в Documents and Settings. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit. Невозможно получить доступ к сайтам большинства антивирусных компаний, например: avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.
Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно и возникает одна из ошибок:

Ошибка активации. Процедура активации завершилась с системной ошибкой 2.
- Ошибка активации. Невозможно соединиться с сервером.
- Ошибка активации. Имя сервера не может быть разрешено.

4. Рекомендации по удалению.
1 путь - для более опытных:
Если ваш компьютер не был защищён антивирусом и оказался заражён данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. Удалить оригинальный файл червя (его расположение на заражённом компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл, созданный трояном, в каталоге:
%SYSTEM%\.dll
Посмотреть имя файла можно в ключе:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll
3. Удалить ветку реестра:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
4. Произвести полную проверку компьютера Антивирусом Касперского с обновлёнными антивирусными базами.
Ещё один путь:
Скачать архив KKiller_v3.4.1.zip с сайта Касперского и распаковать его в отдельную папку на зараженной машине. Запустить файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна лучше запускать утилиту KKiller.exe с ключом -y. Подождать окончания сканирования. Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузить компьютер (более подробно механизм описан на самом сайте).

Отнюдь не претендуя на истину в последней инстанции, буду рад, если информация, описанная выше, сбережёт кому-либо нервы и время.

Статья написана на основе данных с сайта Касперского, ряда форумов, посвящённых проблеме вирусов и т.д.

Статья написана исключительно для новичков, однако мнение и полезные советы экспертов только приветсвуются!

Внимание! Все действия, описанные в статье, вы делаете исключительно на свой страх и риск - ни автор, ни администрация сайта не несут отвественности за ваши действия. Как говориться, не уверен - не лезь!