Сетевой вирус, забивающий канал, Про вирус KIDO и как с ним боротся!

[Sammuel]

Убедительная просьба ознакомиться с данным топиком. И даже если у вас нет признаков червя, то обязательно установите "заплатки" для операционной системы.

Windows XP (рус 32-bit)
xp_x86.zip (1.89 MB)

Windows XP (eng 64-bit)
xp_x64.zip (3.50 MB)

Windows Vista (рус 32-bit)
vista_x86.zip (1.07 MB)

Windows Vista (рус 64-bit)
vista_x64.zip (1.49 MB)

Windows 2000 (рус)
2000.zip (2.12 MB)


Утилита Касперского для удаления червя KidoKiller_v2.zip (106.81 KB)


Способы удаления

Удаление сетевого червя производится с помощью специальной утилиты kidokiller.exe.

С целью предохранения от заражения необходимо провести следующий комплекс мер:

1. Установить патчи, закрывающие уязвимость.

2. Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

3. Отключить автозапуск исполняемых файлов со съемных носителей.


Удаление сетевого червя утилитой kidokiller.exe.

Скачайте архив KidoKiller_v2.zip и распакуйте его в отдельную папку на зараженной машине.

Запустите файл KidoKiller.exe.

По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KidoKiller.exe с ключом -y.

Дождитесь окончания сканирования.

Выполните сканирование всего компьютера с помощью обновленного антивируса




Источник http://talk.lg.ua/index.php?showtopic=78233&st=0

спасибо Dr.Petruhos

[Dubrovich]

Утилита Касперского для удаления червя, новая версия (v3) лежит здесь
http://depositfiles.com/files/b96f5429s

[bond95]

112.5 kb можно и сюда загрузить было ..

[Gatin®]

у меня 1 біл :)

[bond95]

Кстати вот заплатка для винды дабы не искали ...

Обновление утилиты до версии 3.1 и информация о вирусе ..

Код:

Технические детали


Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов варьируется в пределах от 155 до 165 КБ. Упакован при помощи UPX.
Инсталляция

Червь копирует свой исполняемый файл в системный каталог Windows со случайным именем вида:

%System%\<rnd>.dll, где <rnd> - случайная последовательность символов.

Для автоматического запуска при следующем старте системы червь создает службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] 

Также червь изменяет значение следующего ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" = "<оригинальное значение> %System%\<rnd>.dll"
Распространение по сети

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Для того, чтобы воспользоваться вышеуказанной уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора. Для этого червь последовательно перебирает следующие пароли:

Подробнее смотрите по ссылке ниже ..
http://www.viruslist.com/ru/viruses/...rusid=21782725