Kido

Защита информации, сетевая безопасность, уязвимости

Модератор: Rostov114

Kido

Сообщение Zver » 04 май 2009, 17:01

Что такое Kido?

Вредоносная программа Kido представляет на данный момент серьезную угрозу для всего интернет-сообщества. Миллионы компьютеров, зараженных Kido, потенциально могут стать самым мощным ресурсом кибепреступников в Интернете. Эта вредоносная программа впервые была детектирована в ноябре 2008 года. Ее активизация ожидается 1 апреля: ботнет Kido начнет искать центр управления среди 50 000 доменов в день (ранее он подключался лишь к 250 доменам) и загружать на компьютеры пользователей новые версии других вредоносных программ. Последующие за этим действия злоумышленников на настоящий момент не поддаются прогнозированию.

В чем опасность Kido?

Таким образом, созданная авторами Kido гигантская зомби-сеть (ботнет) потенциально может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).

До последнего времени Kido распространялся через компьютерные сети и сменные носители информации. В частности, он проникал на компьютеры, используя критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года. По мнению экспертов, на значительной части машин патч не был установлен на момент пика распространения Kido в январе. Этот фактор, а также игнорирование эффективной антивирусной защиты и привели к эпидемии: в настоящее время различными версиями Kido заражены, по меньшей мере, от 5 до 6 миллионов компьютеров, имеющих доступ в сеть Интернет. В последних версиях Kido отсутствует явная возможность самораспространения. Программа лишь пытается укрепиться на уже зараженных компьютерах.

В Kido реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д.

Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.

Как избежать заражения вредоносной программой Kido?

Продукты "Лаборатории Касперского" успешно блокируют проникновение всех версий Kido на компьютеры пользователей. Проверьте, что автоматические обновления не отключены и, в том случае, если у вас есть подозрение, что Kido уже мог проникнуть на компьютер, выполните сканирование всего компьютера с помощью Антивируса Касперского. Своевременная установка патчей для ликвидации уязвимости MS08-067, безусловно, является обязательной мерой для предотвращения заражения, однако установленное решение Kaspersky Internet Security не позволит использовать уязвимость даже на непропатченной операционной системе.

Как понять, что произошло заражение сети или компьютера?
При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Если вы подозреваете заражение своего компьютера, попробуйте открыть браузер и перейти на произвольную страничку любимого поискового движка. Если страница открылась — попытайтесь загрузить http://www.kaspersky.com или http://www.microsoft.com. Если этого сделать не удалось — то доступ к сайтам скорее всего блокирует вредоносная программа. Полный список ресурсов, заблокированных Kido, можно увидеть, например, здесь: http://www.viruslist.com/ru/viruses/enc ... d=21782725

Я – администратор локальной сети. Как мне быстрее и удобнее всего локализовать проблему?

Удаление сетевого вредоносной программы производится с помощью специальной утилиты KKiller.exe. С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер: Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001. Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

Отключить автозапуск исполняемых файлов со съемных носителей. Остановить службу Task Scheduler (Планировщик Задач) в Windows. Удаление вредоносной программы Kido утилитой KKiller.exe необходимо производить локально на зараженном компьютере.

Как бороться с Kido обычному пользователю домашнего компьютера?

Скачайте архив KKiller_v3.4.1.zip и распакуйте его в отдельную папку на зараженной машине. Запустите файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y. Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

---------------------------------------------------------------------------------
Решил написать, т.к. сам был заражён им.
Вложения
KKiller_v3.4.1.zip
(152.81 Кб) Скачиваний: 708
Zver
Активный участник
 
Сообщения: 1333
Зарегистрирован: 18 дек 2008, 18:51
Откуда: Саратов, Заводской

Re: Kido

Сообщение Rostov114 » 04 май 2009, 18:10

Слышал...слышал...но слава богу не подхватил...
Некоммерческий проект «HSDN»
Аватара пользователя
Rostov114
Автор
 
Сообщения: 3197
Зарегистрирован: 18 окт 2007, 02:21

Re: Kido

Сообщение Zver » 04 май 2009, 21:44

Это полный ппц. Касперский вообще не запускается, как и остальные антивирусы. На сайт тех. поддержки касперского незя зайти....А вот ещё - "Диспетчер задач отключён админом....", "редактор рестора запрещён"....
Zver
Активный участник
 
Сообщения: 1333
Зарегистрирован: 18 дек 2008, 18:51
Откуда: Саратов, Заводской

Re: Kido

Сообщение Conteo » 05 май 2009, 06:56

Ставиш форматить винты и идеш пить чай
Изображение
Пользователи федоры - как тараканы. Слабые духом и нервами давно вымерли, а оставшихся в живых уже ничем не взять.
Аватара пользователя
Conteo
Активный участник
 
Сообщения: 1813
Зарегистрирован: 14 мар 2008, 13:21
Откуда: Саратов, Заводской район
Домен: http://conteo.vfose.ru

Re: Kido

Сообщение Zver » 05 май 2009, 10:44

Млин, похоже вирус остался, он был на "D:\", а эта утилита удаляет его только с "С:\" ! После каждой перезагрузки винды, он "копируется" на "С:\"...А вот форматировать Д очень жалко......
Zver
Активный участник
 
Сообщения: 1333
Зарегистрирован: 18 дек 2008, 18:51
Откуда: Саратов, Заводской

Re: Kido

Сообщение Rostov114 » 06 май 2009, 00:02

Zver писал(а):Млин, похоже вирус остался, он был на "D:\", а эта утилита удаляет его только с "С:\" ! После каждой перезагрузки винды, он "копируется" на "С:\"...А вот форматировать Д очень жалко......

:) Ну если это тот вирус с которым я боролся...то там крайне простой алгоритм избавления от него.

Берем девственно чистую флешку...скидываем всю инфу на нее...далее форматируем C: отключая все другие винты...физически...если D: это часть C: то его тоже прийдется форматировать. далее ставиш ОС...ставиш NOD32...обновляешся...поочередн поключаеш винчестера и сканируеш антивирем. При этом советую отключить автозапуск...потом сканиш флеш карту....естественно нод по удаляет зараженные файлы. И все твой компьютер чист.
= ) таким макаром помог 2 людям...по сей день вирус не давал о себе знать.
Некоммерческий проект «HSDN»
Аватара пользователя
Rostov114
Автор
 
Сообщения: 3197
Зарегистрирован: 18 окт 2007, 02:21

Re: Kido

Сообщение Otshelnik » 06 май 2009, 00:22

Отключаем сеть. Т.е. отключаем ADSLm Dial-up, LAN - любые сетевые подключения. Просто выдергиваем кабель.
Идем к неинфицированному компьютеру (в крайнем случае интернет-кафе), т.к. на инфицированном не удастся получить доступ к сайту, и скачиваем Dr.Web CureIt!. Это бесплатное приложение, которое может работать даже без установки. Скачанное приложение по возможности записываем на CD/DVD или флешку с защитой - дабы вирус не мог испортить программу. Если испортит - вместо приветственного окошка вы увидите окно стандартного распаковщика WinRAR SFX.
Чиним реестр с помощью установки ключа. Соглашаемся с внесением изменений в реестр.
Загружаемся в безопасном режиме, удерживая длительное время сразу после включения компьютера клавишу F8. Должно появиться меню с выбором вариантов загрузки. Нам нужен "Безопасный режим".
Лечим компьютер от вирусов. Для этого вставляем диск с записанным Dr.Web CureIt! и проводим полную проверку компьютера.
Перезагружаемся в обычном режиме.
Вновь проводим полную проверку.
Устанавливаем нормальный антивирус со свежими базами.
- так сестре ноут вылечил (забыли ей вовремя антивирус поставить.. с фоса или инета подхватила). сам, слава богу, не ловил такую дрянь
http://horror-films.aqproject.ru/-билайн
http://beoff.ru-внешка
-Любите ужасы,триллеры и мистику?
-Приют Отшельника
Аватара пользователя
Otshelnik
Автор
 
Сообщения: 188
Зарегистрирован: 26 окт 2008, 02:08
Откуда: Саратов
Домен: https://otshelnik-fm.ru

Re: Kido

Сообщение Костик » 06 май 2009, 00:34

в качестве альтернативной борьбы с вирусами могу еще предложить использовать другую систему не Windows :)
FreeBSD 9.2 and Fedora 18 user
Аватара пользователя
Костик
Активный участник
 
Сообщения: 1944
Зарегистрирован: 03 сен 2007, 02:15

Re: Kido

Сообщение AVX » 06 май 2009, 08:09

немного запоздали - самая крупная волна уже прошла в январе-феврале. Сейчас уже известны и уязвимости, и способы размножения, и методы лечения.

В частности, уже было тут.

Сейчас не намного отличается, а последствия лечатся утилитой AVZ, сам вирус - сканером CureIt! либо с Live-CD DrWeb или Касперского (наиболее эффективно).
AVX
Активный участник
 
Сообщения: 227
Зарегистрирован: 07 ноя 2008, 23:36
Откуда: Пугачев
Домен: http://pug-cs.ru/

Re: Kido

Сообщение Zver » 09 май 2009, 20:47

Нашёл на флехе много скрытых файлов, удалил всё что мог, но один ("hqtgt.cmd") не удаляется "нет прав". Если файл преименновать, то он создаётся заново..... Что делать ? Флеху форматировать тоже незя, выдаёт ошибку....
Zver
Активный участник
 
Сообщения: 1333
Зарегистрирован: 18 дек 2008, 18:51
Откуда: Саратов, Заводской

След.

Вернуться в Компьютерная безопасность

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 16

cron