Известный под разными именами (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based и т д) и во множестве вариациях, Kido был обнаружен впервые ещё осенью прошлого года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители («флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов и спокойно занимается лавинным размножением. Благодаря изощренной механике Kido заразил к настоящему моменту более девяти миллионов машин и продолжает злобствовать. Данная вредоносная программа по мнению F-Secure создана для формирования бот-сетей с целью извлечения из нее прибыли или пакетной продажи. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет. Также, «Создатели этого вируса еще по-настоящему не использовали его. Но они могут в любой момент сделать с зараженными машинами все, что захотят», — говорит главный советник по вопросам безопасности все того же F-Secure - Патрик Руналд (Patrik Runald) .



Сетевой червь, распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован при помощи UPX.


При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Симптомы "запущенного" состояния: отключена служба восстановления системы; заблокирован доступ к адресам сайтов вирусной безопасности; невозможно включение отображения скрытых папок в Documents and Settings; в локальной сети настает непомерный объем сетевого трафика.

Лечение: Отключить компьютер или все компьютеры от локальной сети, отключить автозапуск сменных носителей и применить одно из решений:


Решение 1 от Лаборатории Касперского:

http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215


http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip


Решение 2 от Компании «Доктор Веб»:

http://news.drweb.com/show/?i=204&c=5&p=0

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe


Далее установить 3 заплатки на Windows XP2 и одну Windows XP3:

MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx);

MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx);

MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx)


Атаки с зараженных компьютеров будут продолжаться и дальше поэтому установите если у вас еще нет антивирус ( в настоящий момент все антивирусы на него реагируют) и специальный софт для блокирования любой заразы поступающей с "флэшек" или съемных дисков.


****************************************************************************************


Набор состоящий из трех заплаток от Microsoft для Windows XP2/XP3 RUS и двух специальных бесплатных утилит от Лаборатории Касперского и Компании «Доктор Веб» - Dr.Web CureIt!® от 01.02.2009г и KidoKiller v.3.1 единым пакетом для пользователей 2baksa.net :


23,83 MB



Скачать | Download






Скачать | Download






Скачать | Download






Скачать | Download







Скачать | Download




Пароль / Password: www.2baksa.net



(полная чистота в индентичности файлов гарантируется автором поста - TerMiNaL, так же пострадавшим от деятельности данного зловреда)

Уважаемые пользователи nowa.cc и 2baksa.ws. У нас сложилось тяжёлое финансовое положение. Мы работаем для вас вот уже более 15 лет и сейчас вынуждены просить о помощи. Окажите посильную поддержку проектам. Мы очень надеемся на вас. Реквизиты для переводов ниже. WMZ: 826074280762 WME: 804621616710 4100117770549562 Спасибо за поддержку!

Внимание! Всегда проверяйте анти-вирусом файлы, полученные по ссылкам в комментариях! Attention! Always check files you download from links in comments with your anti-virus software!

Markmaster 05.02.09 | 01:15:54 Жесть. Спасибо.

shtirberg 05.02.09 | 01:46:17 Спасибо!!!!!Всех Вам благ!

GrayZOR 05.02.09 | 03:08:56 А что в этот раз ESET типо не рулит?

TerMiNaL 05.02.09 | 07:48:17 to GrayZOR- ESET - вообще то не русский проект! И на главном сайте говорит по-английски. Поэтому ссылки и не даются. Если Вы владеете английским, то можете привести все решения ото всех антивирусов планеты.

2download 05.02.09 | 08:48:43 http://delux.ifolder.ru/103...

antistatic081269 05.02.09 | 09:36:26 Thanks very very match

Fighter1 05.02.09 | 11:31:32 Тяжелый вирус, я его ручками лечил, как только он появился - замучался! Спасибо!

kasper1 05.02.09 | 12:40:22

febr 05.02.09 | 13:30:39 http://www.ziddu.com/downlo...

Craig 05.02.09 | 14:16:57 А если ОС крякнутая, то заплатки ставить? Или запалят? )

Lavron 05.02.09 | 14:53:33 А я несчастный видимо...проверил утилитой одной, другой...ну нету ничего . А стоит нод, а все вопят что нод дырявый но мне то видней! ...Ну незнаю плакать или радоваться что у меня "дырявый нод" а ничего вредоносного нету...

homer 05.02.09 | 15:38:18 Согласен с Lavron Стоит Vista и Нод уже 7 месяцев - а по сайтам каким бегаю уууууу и никаких проблем

TerMiNaL 05.02.09 | 18:57:19 Успокойтесь зараза была зафиксирована сразу после Нового Года в период каникул. 13- касперский, 14 - Доктор вэб и только 16-го Nod. И не надо спорить какой антивирус лучше, главное чтобы от этой заразы у него присутствовал антирукитный движок. Не стоит обольщатся, все до поры до времени. Кто больше серфит тот и больше попадает, кто голову не поднимает и ходит только на один сайт и у кого на компе нет ничего ценного боятся нечего. Впрочем как и в жизни... Ад-нозначно!

Fighter1 06.02.09 | 09:06:48 Lavron, homer - "в настоящий момент все антивирусы на него реагируют", это раз, а во-вторых, когда приходишь на комп, где никогда не было антивируса и пробуешь его (антивирус) установить - вот тогда и становится актуальным и KidoKiller и т.п. Еще раз спасибо автору поста!

Zveruga 06.02.09 | 09:16:04 Lavron и homer, вы как маленькие. Ну не поймали сегодня, поймаете завтра. Ни один антивирус 100% не даёт, подождите вашей очереди.

TerMiNaL 06.02.09 | 11:23:37 @ Fighter1 - немного не так. Реакция и вакцина на червя пришла как всегда запоздалая (2 недели). За это время он расплодился по миру до масштаба эпидемии. Антивирусы его профукали. Теперь остается только просканировать систему специальной утилитой или своим антивирусом у которого наличиствует ломающий защитную оболочку вируса антирукитный движок с обновленными базами.

Lavron 06.02.09 | 14:09:41 Ребята, объясните пожалуйста...Это как именно проникает вирус в комп? Когда допустим юзер загружает сайт а там скрипт копируется во временные интернет файлы и запускается на выполнение, инфицируя систему...или как?

Для добавления комментариев необходимо зарегистрироваться на сайте