Эксперты ЛК объяснили как бороться с вирусом Kido

image

Теги: Лаборатория Касперского, Conficker, Kido

В связи с большим количеством обращений пользователей "Лаборатория Касперского" подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup.

В связи с большим количеством обращений пользователей "Лаборатория Касперского" подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup. Комментирует Виталий Камлюк, ведущий антивирусный эксперт "Лаборатории Касперского".

Что такое Kido?

Вредоносная программа Kido представляет на данный момент серьезную угрозу для всего интернет-сообщества. Миллионы компьютеров, зараженных Kido, потенциально могут стать самым мощным ресурсом кибепреступников в Интернете. Эта вредоносная программа впервые была детектирована в ноябре 2008 года. Ее активизация ожидается 1 апреля: ботнет Kido начнет искать центр управления среди 50 000 доменов в день (ранее он подключался лишь к 250 доменам) и загружать на компьютеры пользователей новые версии других вредоносных программ. Последующие за этим действия злоумышленников на настоящий момент не поддаются прогнозированию.

В чем опасность Kido?

Таким образом, созданная авторами Kido гигантская зомби-сеть (ботнет) потенциально может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).

До последнего времени Kido распространялся через компьютерные сети и сменные носители информации. В частности, он проникал на компьютеры, используя критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года. По мнению экспертов, на значительной части машин патч не был установлен на момент пика распространения Kido в январе. Этот фактор, а также игнорирование эффективной антивирусной защиты и привели к эпидемии: в настоящее время различными версиями Kido заражены, по меньшей мере, от 5 до 6 миллионов компьютеров, имеющих доступ в сеть Интернет. В последних версиях Kido отсутствует явная возможность самораспространения. Программа лишь пытается укрепиться на уже зараженных компьютерах.

В Kido реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д.

Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.

Как избежать заражения вредоносной программой Kido?

Продукты "Лаборатории Касперского" успешно блокируют проникновение всех версий Kido на компьютеры пользователей. Проверьте, что автоматические обновления не отключены и, в том случае, если у вас есть подозрение, что Kido уже мог проникнуть на компьютер, выполните сканирование всего компьютера с помощью Антивируса Касперского. Своевременная установка патчей для ликвидации уязвимости MS08-067, безусловно, является обязательной мерой для предотвращения заражения, однако установленное решение Kaspersky Internet Security не позволит использовать уязвимость даже на непропатченной операционной системе.

Как понять, что произошло заражение сети или компьютера?

При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Если вы подозреваете заражение своего компьютера, попробуйте открыть браузер и перейти на произвольную страничку любимого поискового движка. Если страница открылась — попытайтесь загрузить www.kaspersky.com или www.microsoft.com. Если этого сделать не удалось — то доступ к сайтам скорее всего блокирует вредоносная программа. Полный список ресурсов, заблокированных Kido, можно увидеть, например, здесь: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725

Я – администратор локальной сети. Как мне быстрее и удобнее всего локализовать проблему?

Удаление сетевого вредоносной программы производится с помощью специальной утилиты KKiller.exe. С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер: Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001. Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

Отключить автозапуск исполняемых файлов со съемных носителей. Остановить службу Task Scheduler (Планировщик Задач) в Windows. Удаление вредоносной программы Kido утилитой KKiller.exe необходимо производить локально на зараженном компьютере.

Как бороться с Kido обычному пользователю домашнего компьютера?

Скачайте архив KKiller_v3.4.1.zip и распакуйте его в отдельную папку на зараженной машине. Запустите файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y. Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.


или введите имя

CAPTCHA
Страницы: 1  2  3  4  
FSA
01-04-2009 22:01:43
С 1 апреля??? Странно, если ещё кто-то не умеет бороться с этой заразой имея под рукой сетку, пусть даже и отрезанную от интернета.
0 |
Kido father
01-04-2009 23:04:29
Мой сынок уже растет, скоро вес интернет будет под моим контролем!!!!!!!!!!
0 |
финансовый директор
01-04-2009 23:13:35
Виндузятники с правами админов это основа благополучия лабораторий Касперского
0 |
Всем знаком...
01-04-2009 23:35:13
А ты воняешь из-за того, что завидно? Капча: 18330
0 |
дык
02-04-2009 09:12:31
Чему завидовать то? 0_о Тому, что вас опять поимели? Куясе повод для зависти. ЗЫ капчу в тело сообщения нормальные люди вставляют только тогда, когда она чем либо примечательная. Вот как сейчас 92444
0 |
zap
02-04-2009 11:58:22
тебя жестоко обманули. нормальные люди капчу вообще не вставляют.
0 |
02-04-2009 09:30:35
Идиот, права юзера от взлома сервиса тебя даже на луноходе не спасут.
0 |
Ыку
02-04-2009 09:52:25
Идиот, ты забыл про то, что он распространяется через сменные носители. ========= VIP удлинение комментариев ========= =================== Дорого ===================
0 |
kaspersky
03-04-2009 22:46:53
Виндузятники с правами админов это основа благополучия лабораторий Касперского +1 Прямо в яблочку))
0 |
01-04-2009 23:38:10
Продукты "Лаборатории Касперского" успешно блокируют проникновение всех версий Kido на компьютеры пользователей.еще бы, через 3 то месяца после начала глобального ужаса. А в базы они его добавили ток через неделю после того как на их форуме стали кричать что странная зверюшка играется с доменами и лочит шары.
0 |
КЕГ
02-04-2009 04:00:56
да в базы они его добавили еще до того как написали
0 |
44202
02-04-2009 05:15:43
Я – администратор локальной сети. Как мне быстрее и удобнее всего локализовать проблему?увольнять таких админов нужно сразу! сидит с непропатченной вендой чуть ли не полгода!
0 |
Vas
02-04-2009 05:39:11
Каспер позорно просрал войну с кидо. Сам лечил машину с самым обновлённым KIS2009, в феврале. Дак вот, вставляем флэшку, кидо создаёт на ней свой файл, и каспер радостно виляя хвостом рапортует "У вас тута вирус", а вот увидеть создателя ему не досуг. Удаляем вирус с флэшки, вытаскиваем вставляем снова, и каспер снова радостно визжит. Про админские права юзверей, увы кривософтописатели + майкрософт сделали так, что юзерам приходится давать админские права, потому что иначе у них не работает половина программ.
0 |
Имя:*
02-04-2009 07:25:38
Ещё один вендузятник с кривыми руками. Список в студию! Назови хоть одну распростанённую прогу, которая с правами пользователя не сможет работать, максимум, что иногда приходится делать, так это давать пользователю права на запись в реестре в ветку нужной этой кривонаписаной проги.
0 |
73769
02-04-2009 08:43:09
+1. ********************удлинняю комменты. недорого****************
0 |
BeastGuest
02-04-2009 09:34:41
Клиент банк(сбербанк) и КриптоПро, если подскажешь как их запускать с правами юзера, респект тебе и уважуха)
0 |
76483
02-04-2009 09:48:53
скинь сегодня проги на файлообменник и выложи сцылко. Погляжу шта можна сделать...
0 |
s7s
02-04-2009 10:01:56
Ключи, пароли и внешние IP не забудь указать.
0 |
BeastGuest
02-04-2009 13:34:19
В отношении Клиен-банка правда, а КриптоПро можно и без ключей и паролей протестить)
0 |
BeastGuest
02-04-2009 10:06:46
КриптоПро можно скачать например отсюда http://www.otchet-online.ru/index.php?id=download На форуме есть вся инфа по установке.
0 |
37914
02-04-2009 13:25:06
поставил... потом еле как серийник нашел - штоб полнофункционально работал.... начал курить чо как работает. Через 15 мин. забил на это дело - позвонил знакомому одмину банка (у него, собственна, и брал "погонять" ключег) - он грит, если уже все настроено (сертификаты и т.д.) - то работает и под юзером. На чем, собственна, и закончилось мое знакомство с прогой. ЗЫ - виртуалки рулят! не пришлось этим мусором захламлять живую систему
0 |
Школьник
02-04-2009 13:53:03
Не хочу никого оскорбить, но Крипто Про работает в полнофункциональном режиме без ключика месяц)) Хороший админ у вас))
0 |
48917
02-04-2009 20:27:52
ключ я у него попросил - просто позвонил и сказал, что нужно то-то и к тому то. При этом не объясняя, что вот тока шта поставил этот про крипт. Ну привычка у мну такая, если нужен серийник - то надо его сразу ввести, а не ждать пробный/триал период с неограниченной/ограниченной функциональностью
0 |
Kju
02-04-2009 10:25:05
А в чем проблема с КриптоПро? У меня прекрасно работает под учеткой юзера и не на одном компе
0 |
guest
02-04-2009 11:55:32
А у меня с банк-клиентом и КриптоПро юзеры спокойно как раз при своих ограниченных правах и работают. Правда банк не сберовский. Но КриптоПро нормально бегает. Просто сетку надо правильно строить.
0 |
Школьник
02-04-2009 12:42:44
Сбер тоже работает, Балтинвест тоже, по моему просто он не видел никогда этих программ))
0 |
BeastGuest
02-04-2009 13:32:14
Сегодня разговаривал с супортом сберовским на счет прав Windows, на что получил следующие ответы: 1. Клиент-банк может работать только с админскими правами. 2. В разных регионах могут использоваться разные клиентские программы. 3. Мы не дадим вам ни дистрибутив ни мануал. Остается вооружаться filemon'ом, regmon'ом и долго плясать с бубном...
0 |
Школьник
02-04-2009 14:02:16
Допустим я поверил в твой разговор с админом))) Тогда объясни мне это: http://vvb.sbrf.ru/services_u/index.phtml?71 И вырезку из мана по этой странице: Процедура установки системы, с использованием этих средств защиты следующая: АРМ ''Клиент'' устанавливается пользователем, входящим в группу Администраторов; После установки, используя пользователя Администратора операционной системы, необходимо запустить приложение Установка службы параметров, которое устанавливается в ту же группу что и АРМ ''Клиент''. После выполнения указанных действий можно работать с АРМ ''Клиент'', посредством пользователя операционной системы, не обладающего правами Администратора.
0 |
BeastGuest
02-04-2009 15:09:21
Разговор с тех. поддержкой, а не с админом. А вообще ты конечно быстрый парень) Естественно, когда возник вопрос с правами(год назад), первое что я сделал это полез в гугл за решением, потом общался с тех.поддержкой, и не найдя ничего забил на проблему. И вот сегодня почитав коменты еще раз позвонил в поддержку - результат тот же. Проблема в том что у нас не АРМ "Клиент", ЦФТ-Банк Клиент) PS С того времени могла появиться какая то инфа, надо снова все перерыть...
0 |
Школьник
02-04-2009 17:13:32
Сорри, насчет админа запарил) Ну дак речь шла о Сбере(О их оригинальном клиенте) или я не вкурил? Я знаю о том как работает АРМ не из гугла)) О ЦФТ первый раз слышу. Но не думаю что заставить работать его под юзером вселенская проблема, в конце концов на то и есть админы и безопасники чтоб что то делать)) З.Ы. Бубен не нужен
0 |
lexy
04-04-2009 15:48:58
Назови хоть одну распростанённую прогу, которая с правами пользователя не сможет работать[Оформление текста в виде цитаты] легко! ACDSee базу картинок кладет явно в юзерпрофайл администратора, вне зависимости, от какого ты пользователя работаешь )))))))
0 |
Huk
10-10-2011 15:36:46
Попробовал бы сам что-нибудь написать и при этом не обкакаться!
0 |
kaspersky
03-04-2009 22:50:05
Про админские права юзверей, увы кривософтописатели + майкрософт сделали так, что юзерам приходится давать админские права, потому что иначе у них не работает половина программ. ТЫ чё курил?))
0 |
Страницы: 1  2  3  4