Несмотря на то, что этот сетевой червь уже достаточно давно разгуливает по интеннету, многие пользователи всё ещё не обезопасили себя от него. Я буквально вчера столкнулся с организацией, где из 30 рабочих станций порядка 10 были заражены этим червем, причем на всех из них стоит обновленный антивирус. Эпидемия распространилась буквально за считанные часы и парализовала работу всего офиса. Итак, порядок действий.
Симптомы заражения в сети1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
Краткое описание семейства Net-Worm.Win32.Kido
1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
3. Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
4. Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
5. Обращается к следующим сайтам:
http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org
http://schemas.xmlsoap.org
http://trafficconverter.biz
http://www.maxmind.com
Способ удаления
1. Скачайте архив и распакуйте его в отдельную папку 2. Запустите файл KKiller.exe
3. Дождитесь окончания сканирования и перезагрузите компьютер
4. Выполните сканирование всего компьютера с помощью обновленного антивируса или утилитой Kaspersky Virus Removal Tool
5. Установите патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001