28988 авторов и 62 редактора ответили на 85259 вопросов,
разместив 135226 ссылок на 43432 сайта, присоединяйтесь!

Как бороться с сетевым червем Net-Worm.Win32.Kido?

РедактироватьВ избранноеПечать

    Сетевой червь Net-Worm.Win32.Kido при распространении использует уязвимость в службе Сервер (Server) операционных систем семейства Windows. Данная уязвимость была обнаружена в конце октября 2008 года и описана в бюллетене безопасности Microsoft MS08-067 . При успешной эксплуатации уязвимости вредоносное ПО создает файл со случайным именем в системном каталоге %SystemRoot%\system32\. Характерной чертой активности представителей этого семейства вредоносных программ является блокирование доступа к ряду ресурсов сети Интернет. Наряду с ресурсами антивирусных компаний - "Лаборатории Касперского", "Доктор Веб", ESET - Net-Worm.Win32.Kido блокирует доступ пользователей к доменному имени содержащему слово "virus", с целью не позволить владельцам зараженных компьютеров пройти лечение на сайтах помощи пользователям, в том числе и на VirusInfo.

 

Симптомы заражения в сети:

1.При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.

2.Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

 

Краткое описание семейства Net-Worm.Win32.Kido.

  • Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx
  • В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
  • Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
  • Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.

Как удалить данный вирус:

1. Отключить от сети компьютер

2. Установить патч от MS (MS08-067)

3. Установить криптостойкие(пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр) пароли для всех локальных учетных записей.

4. Запустить утилиту Kido Killer

5. Отключить автозапуск исполняемых файлов со съемных носителей.

Один из способов. Откройте блокнот. Скопируйте следующий текст:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun] "NoDriveTypeAutoRun"=dword:000000b1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:000000b1

 

Сохраните в файл с расширением .reg и запустите.

 

Использованы следующие источники:

  • virusinfo.info - ведущий российский информационно-аналитический ресурс в сфере лечения персональных компьютеров от вредоносных программ
  • support.kaspersky.ru - страница техподдержки лаборатории Касперского

Последнее редактирование ответа: 16.02.2009

  • Оставить отзыв

    Оставить отзыв

РедактироватьВ избранноеПечать

Похожие вопросы

«Как бороться с сетевым червем Net-Worm.Win32.Kido»

В других поисковых системах:

GoogleЯndexRamblerВикипедия

В соответствии с пользовательским соглашением администрация не несет ответственности за содержание материалов, которые размещают пользователи. Для урегулирования спорных вопросов и претензий Вы можете связаться с администрацией сайта genon.ru. Размещенные на сайте материалы могут содержать информацию, предназначенную для пользователей старше 18 лет, согласно Федерального закона №436-ФЗ от 29.12.2010 года "О защите детей от информации, причиняющей вред их здоровью и развитию". Обращение к пользователям 18+.