Net-Worm.Win32.Kido
Не так давно появился интересный червь, проникающий на компьютер жертвы
через уязвимость ОС Windows, которая позволяет злоумышленнику выполнить
любой код на атакуемой системе. Интересным свойством является то, что
он производит обновление системы, которое закрывает указанную
уязвимость. Делается это для того, чтобы таким же способом на компьютер
не попали другие вредоносные программы... Технические детали
Сетевой червь, использующий для проникновения на компьютер достаточно
«свежую» уязвимость, описанную в бюллетене MS08-067. Червь может
загружать произвольные файлы и запускать их на выполнение. Файл
вредоносной программы является библиотекой Windows (PE-DLL-файл).
Многочисленно упакован различными утилитами паковки. Первый слой – UPX.
Размер файла – 50-60 килобайт. Деструктивная активность
При запуске червь создаёт свою копию в директории %SYSTEM% с
произвольным именем. После чего проверят, какую операционную систему
использует заражённый компьютер. Если это Windows 2000, то внедряет
свой код в процесс services.exe. Если же операционная система отлична
от указанной, то создаёт службу со следующими характеристиками: Имя службы: netsvcs
Путь к файлу: %SYSTEM%\svchost.exe -k netsvcs
Создаёт следующий ключ реестра, обеспечивая себе автозапуск при следующей загрузке:
В случае успеха, загруженный файл запускается на выполнение. Другие действия
Червь производит обновление системы, закрывая тем самым описанную выше
уязвимость. Делается это для того, чтобы таким же способом в систему не
попали другие вредоносные программы. Рекомендации по удалению
Если ваш компьютер не был защищён антивирусом и оказался заражён данной
вредоносной программой, то для её удаления необходимо выполнить
следующие действия:
1. Удалить оригинальный файл червя (его расположение на заражённом
компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл, созданный троянцем в каталоге:
%SYSTEM%\<название_файла>.dll
Посмотреть имя файла можно в ключе:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Par ameters\ServiceDll
3. Удалить ветку реестра:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
4. Произвести полную проверку компьютера Антивирусом Касперского с обновлёнными антивирусными базами.
Другие названия: Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)
эпидемия нового червя идет по нарастающей, поэтому краткая информация по предотвращению заражения компа.
Превентивные меры: вирус .kido распространяется по локальной сети, используя дырки в службе RPC.locator Windows (http://www.microsoft.com/technet/sec.../MS08-067.mspx) , работающей по 445 порту, посему желательно этот порт (равно как 135, 137-139) прикрыть наглухо
ВНИМАНИЕ!! ЕСЛИ В ОРГАНИЗАЦИИ используется «общий доступ к папкам или
сетевым принтерам», а также доменная структура, то данный шаг приведет
к тому, что у вас все перестанет работать. В нашей сети этот netbios
протокол давно уже надо было убить.
Далее пример приведен на базе WindowsXP SP2
Пуск-подключения-отобразить подключения
Правой клавишей мыша нажимаем на «подключение по локальной сети» и
выбираем «свойства». В выпавшем окне убираем галки возле следующих
пунктов: “клиент для сетей Microsoft” и “служба доступа к файлам и
принтерам сети Microsoft”
Далее протокол Интернета tcp/ip – свойства – дополнительно –WINS
Убрать галку «просмотр файлов LMHosts
Выбрать пункт «отключить NetBIOS»
Далее закачиваем себе программку Windows Worms Door Cleaner, с помощью
которой закроете себе потенциально опасные службы. Взять тут: ftp://fex.ntown//incoming/Software/antikido/wwdc.zip отключите у себя DCOM RPC, RPC Locator, NetBios.
Флэшки, как еще один потенциальный источник заразы.
Трагедия заключается в том, что в Windows XP по умолчанию запрет
автозапуска для съемных дисков не установлен, и благодаря этому вирусы
типа Autorun получили огромную распространенность. В версиях Windows
2000 и 2003 заразить Autorun-вирусом можно по сути только через CD, но
через CD много людей не заразишь, да и сам CD заразить довольно сложно,
а флешки — просто идеальный вариант. Поэтому, если у Вас Windows XP, и
Вы ничего специально не настраивали, то Вы рискуете заразить свой
компьютер, вставляя очередную флешку Вашего лучшего друга, и начать
заражать после этого других своих друзей. Далее я расскажу про 2
способа защититы от этого.
Вариант 1 Через Пуск/Выполнить запустите gpedit.msc. В появившемся окне
выберите ветку дерева слева Конфигурация компьютера - Административные
шаблоны - Система. В рабочей области найдите пункт “Отключить
автозапуск”. Выбрав “включен”, выберите также на “всех дисководах”.
Через данный интерфейс можно отключить автозапуск либо только для CD
(что в действительности включает в себя: неизвестные, CD, сетевые и
съемные диски), либо для всех дисков. Обратите внимание, отключение для
CD-дисководов отключает также и съемные (флеш) диски, что вобщем-то
решает нашу проблему, но оставляет, например, автозапуск для жестких
дисков. Поэтому я рекомендую использовать отключение для всех дисков.
Если вы напротив хотите отключить автозапуск везде, кроме CD, то для
этого придется через regedit залезть в реестр в ветку
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol
icies\Explorer\NoDriveTypeAutoRun а также ветку
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol
icies\Explorer\NoDriveTypeAutoRun и установить нужное значение DWord,
которое формируется посредством битовой маски (суммированием чисел,
соответствующих разным битам):
0x01 (DRIVE_UNKNOWN) — привод, тип которого не может быть определен
0x02 (DRIVE_NO_ROOT_DIR) — диск с невалидным корнем (сетевые “шары”?)
0x04 (DRIVE_REMOVABLE) — съемный диск (дискеты, флешки)
0x08 (DRIVE_FIXED) — несъемный диск (жесткий диск)
0x10 (DRIVE_REMOTE) — сетевой диск
0x20 (DRIVE_CDROM) — CD-привод
0x40 (DRIVE_RAMDISK) — виртуальный диск (RAM-диск)
0x80 (DRIVE_FUTURE) — будущие типы устройств
Сумма всех этих типов есть 0xFF, что соответствует отключению автозапуска для абсолютно всех дисков.
Дефолтные значения:
0x95 — Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков)
0x91 — Windows XP (отключен автозапуск сетевых и неизвестных дисков)
В Windows XP Home по умолчанию этот ключ отсутствует (как и сам раздел
Explorer), поэтому вы должны создать раздел и параметр
NoDriveTypeAutoRun вручную (”Создать” / “Параметр DWORD”).
Для тех, у кого проблемы с двоичным счислением: для того, чтобы авторан
срабатывал только с CD выставляем значение 0хDF. Если же хотите, чтобы
оно не работало нигде – ставьте 0xFF
Создал блог о туризме Прошу указать на мои ошибки, может чего добавить нужно Вот одна из статей:http://slyspider.net - Новые путешествие всегда интересно исследовать. Читайте, комментируйте и подписывайтесь. У нас все свежее.
Полезные обзоры игр Конечно тема наверное многим надоела, но http://obzormania.ru/ - лучшие игры, всё таки есть. На http://obzormania.ru/igronevs/ - http://obzormania.ru/
мама ; официально подтверждаю что я Миронов Олег М. 1959 г.р. г.Москва конкретно проститутка, проститутка и тупой г0вн0блоггер !!Министр обороны август 2013 Карл ДРЕМЛЮГА У.Н. Семенов Николай Николаевич, Кретов А.Н. известный бизнесмен, Серафим;счастье машины Абромович фото оружие Барселона директор школы Домодедово Магнитное склонение блогеры Белковский друзья истории , Сервис , минтай счастье Ганапольский ВМС США Минаев-лайф :))) (Миронов 1959 - фуфел!!) Пасха с 01.07. – 06.12.2002г. – коммерческий директор ОАО «Эльдорадо М»; зверьё моё А еще я Миронов О.М. 1959.08.21 штопаный контрацептив и я подставил жену :)
Главная 
