|
Как бороться с опаснейшим вирусом Kido. Ответы.
В связи с большим количеством обращений пользователей "Лаборатория Касперского" подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup. Комментирует Виталий Камлюк, ведущий антивирусный эксперт "Лаборатории Касперского".
Что такое Kido? Вредоносная программа Kido представляет на данный момент серьезную угрозу для всего интернет-сообщества. Миллионы компьютеров, зараженных Kido, потенциально могут стать самым мощным ресурсом кибепреступников в Интернете. Эта вредоносная программа впервые была детектирована в ноябре 2008 года. Ее активизация ожидается 1 апреля: ботнет Kido начнет искать центр управления среди 50 000 доменов в день (ранее он подключался лишь к 250 доменам) и загружать на компьютеры пользователей новые версии других вредоносных программ. Последующие за этим действия злоумышленников на настоящий момент не поддаются прогнозированию. В чем опасность Kido? Таким образом, созданная авторами Kido гигантская зомби-сеть (ботнет) потенциально может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки). До последнего времени Kido распространялся через компьютерные сети и сменные носители информации. В частности, он проникал на компьютеры, используя критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года. По мнению экспертов, на значительной части машин патч не был установлен на момент пика распространения Kido в январе. Этот фактор, а также игнорирование эффективной антивирусной защиты и привели к эпидемии: в настоящее время различными версиями Kido заражены, по меньшей мере, от 5 до 6 миллионов компьютеров, имеющих доступ в сеть Интернет. В последних версиях Kido отсутствует явная возможность самораспространения. Программа лишь пытается укрепиться на уже зараженных компьютерах. В Kido реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д. Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей. Как избежать заражения вредоносной программой Kido? Продукты "Лаборатории Касперского" успешно блокируют проникновение всех версий Kido на компьютеры пользователей. Проверьте, что автоматические обновления не отключены и, в том случае, если у вас есть подозрение, что Kido уже мог проникнуть на компьютер, выполните сканирование всего компьютера с помощью Антивируса Касперского. Своевременная установка патчей для ликвидации уязвимости MS08-067, безусловно, является обязательной мерой для предотвращения заражения, однако установленное решение Kaspersky Internet Security не позволит использовать уязвимость даже на непропатченной операционной системе. Как понять, что произошло заражение сети или компьютера? При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit. Если вы подозреваете заражение своего компьютера, попробуйте открыть браузер и перейти на произвольную страничку любимого поискового движка. Если страница открылась — попытайтесь загрузить Kaspersky Lab: Antivirus software или Microsoft Corporation. Если этого сделать не удалось — то доступ к сайтам скорее всего блокирует вредоносная программа. Полный список ресурсов, заблокированных Kido, можно увидеть, например, здесь: Viruslist.com - Net-Worm.Win32.Kido.bt Я – администратор локальной сети. Как мне быстрее и удобнее всего локализовать проблему? Удаление сетевого вредоносной программы производится с помощью специальной утилиты KKiller.exe. С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер: Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001. Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр. Отключить автозапуск исполняемых файлов со съемных носителей. Остановить службу Task Scheduler (Планировщик Задач) в Windows. Удаление вредоносной программы Kido утилитой KKiller.exe необходимо производить локально на зараженном компьютере. Как бороться с Kido обычному пользователю домашнего компьютера? Скачайте архив KKiller_v3.4.1.zip и распакуйте его в отдельную папку на зараженной машине. Запустите файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y. Дождитесь окончания сканирования. Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер. источник mail.ru |
7 апреля 2009 г. неизвестные злоумышленники распространили новую версию вируса Conficker, также известного под названиями Kido, Downup и Downadup. Новый вариант вируса стал одним из немногих примеров, когда вирус имеет ограниченный срок действия. Как выяснили эксперты антивирусных компаний, новый Conficker.C должен полностью прекратить работу уже 3 мая.
Как мы уже писали, вирус Conficker.C распространяется через Интернет, а также через съемные USB-накопители, в том числе через привычные многим пользователям флэшки. Кстати, компания Microsoft уже пообещала вознаграждение 250 тысяч долларов за поимку авторов этого опасного вируса. Интересно, что обновленные версии вируса загружаются на зараженные машины через собственную файлообменную P2P-сеть. Еще одной особенностью Conficker.C является впервые реализованный механизм быстрой смены корневых серверов, используемых для распространения обновлений для вируса. Пока известно, что некоторые следы распространения новой версии вируса ведут на серверы в Южной Корее. На данный момент исследователи всего мира пытаются найти связь между новой версией Conficker и давно известным спам-ботом Waledac. Дело в том, что вместе с обновлениями вируса загружается новый вариант Waledac.E, который пока умеют обнаруживать лишь немногие антивирусные продукты. Возможно, авторами Conficker выступает та же группа, что отвечает за создание Waledac и его предшественника – печально знаменитого ботнета Storm. Как заявил специалист «Лаборатории Касперского» Алекс Гостев, вместе с инструментами похищения пользовательской информации и рассылкой спама новый вариант Conficker.C загружает и фальшивую антивирусную программу. Этот фальшивый антивирус требует от пользователя приобрести пакет «Spyware Protect 2009» за 49,95 доллара. Само собой, никакой реальной защиты «Spyware Protect 2009» не обеспечивает. Если вы хотите проверить, не заражен ли ваш компьютер вирусом Conficker, посетите специальную страницу, созданную учеными из Боннского университета (Германия). Там специальный сервис автоматически определит, есть ли на вашем компьютере признаки заражения. Подробное руководство по обнаружению и удалению вируса можно также найти в специально бюллетене Microsoft MS08-067. источник: mail.ru |
Лаборатория Касперского сообщила о найденной новой версии Kido, известной также как Conficker и Downadup. В ночь с 8 на 9 апреля компьютеры, зараженные Trojan-Downloader.Win32.Kido, взаимодействуя друг с другом через p2p-соединения, отдали команду другим зараженным машинам на загрузку новых файлов. Ботнет Kido активизировался. Новый вариант Kido отличается от своих предыдущих версий, и теперь это снова червь. Первичный анализ кода позволяет говорить о том, что текущая версия Kido будет функционировать до 3 мая 2009 года.
Согласно последним данным, червь загружает на зараженные ПК поддельный антивирус SpywareProtect2009. Его работа в системе видна пользователям, чьи компьютеры заражены. Выглядит это примерно так: поддельный антивирус постоянно, каждые несколько минут, показывает на экране различные сообщения об «обнаружении вирусов», «сетевых атаках», «проблемах с браузером» и так далее. Назойливость этого поддельного антивируса настолько велика, что неискушенный пользователь с большой вероятностью может кликнуть на предложение об оплате «лечения» и не только потерять 50 долларов США, но и «подарить» данные своей кредитной карточки злоумышленникам — с самым непредсказуемым результатом. Кроме того, Kido загружает на зараженные компьютеры червя Iksmas, также известного как Waledac. Он появился в январе 2009 года. Предназначение Iksmas - кража персональных данных и рассылка спама. В среднем один компьютер, зараженный Iksmas, отправляет в сутки 80 тысяч спам-сообщений. Практически все домены, с которыми связываются Iksmas для получения инструкций, находятся в Китае. Впервые атака червя Kido(Conficker) была зафиксирована в начале 2009 года. В течение нескольких дней он заразил десять миллионов компьютеров. Ботнет, образованный этими компьютерами, является одним из крупнейших в мире. источник:securitylab.ru |
Цитата:
|
всё в норме;)
|
да боюсь что нет =) , после посещения странички появились сомнения , ибо я увидел там " System is possibly infected with Conficker.B"
|
Цитата:
|
просканируйся avz
|
тоже мучался с кидо каспер его постоянно находил и удалял с флехи эта сволочь даже на болванку самостоятельно записывалась с помощью inCD а вчера я запустил систему в безопасном режиме и поставил каспера на проверку он его нашёл на диске с и всё теперь его нету
|
Цитата:
Недавно странная фишка произошла. Принесли флеху - нашел кучу вирусов - удалил. Флеху забрали, а под вечер зглючил проводник. Все значки и панель попропадали. Обычно человек перезагружает комп в таких ситуациях, а я запустил проводник через диспетчер задач. И тут попался вирус, который какимто образом остался "в картиридере", с которого я читал флешку. Видно ждал момента, чтоб подгрузится ещё когда антивирус не загружен :D. |
в соседней организации эпидемия кидо разразилась ..... корпоративный касперский 8-й с антихакером ничего не смог сделать. Как всегда, помогли NOD и CureIT
|
Symantec: Червь Conficker активизируется.
Эксперты по вопросам безопасности из компании Symantec предупреждают о том, что червь Conficker начинает проявлять все большую активность. Как отмечают специалисты, вредоносная программа Conficker постепенно превращает тысячи инфицированных ПК в зомбированные машины для рассылки спама и распространения шпионских модулей. Червь загружает на компьютеры вредоносный код, известный под названием Waledac, который объединяет зараженные узлы в ботнет. Как заявляют сотрудники компании Trend Micro, сеть зомбированных машин, формируемая при помощи червя Conficker, является одним из самых сложных и продуманных ботнетов. Процесс создания этой сети протекает относительно медленно, однако эксперты не исключают возможности применения ботнета при организации массированных атак и распространении миллионов нежелательных сообщений. Напомним, что Conficker был обнаружен в ноябре прошлого года, однако пик его активности пришелся на начало января. По различным оценкам, в настоящее время вредоносная программа могла инфицировать до 20 миллионов компьютеров по всему миру. источник: securitylab.ru |
Conficker.E перестанет заражать новые компьютеры 3 мая
Вирус Conficker (он же Kido), активации которого в панике ожидали пользователи всего мира, замедлил темпы распространения. В то же время эксперты из многих антивирусных компаний считают, что ситуация с Conficker является симптомом другой, более комплексной и опасной проблемы. Как мы уже писали, 1 апреля многие авторитетные организации ожидали полномасштабной активации всех компьютеров, зараженных новыми разновидностями опасного вируса Conficker. Вопреки ожиданиям общественности вирус сначала повел себя странно – по команде злоумышленников состоялось обновление вирусов с использованием уникального файлообменного механизма. В дальнейшем выяснилось, что в ходе обновления модулей вируса произошла установка дополнительных вредоносных программ на зараженные компьютеры. Последняя версия Conficker.E сочетает в себе сразу несколько вредоносных факторов. Во-первых, вирус обладает разносторонним механизмом обнаружения и использования известных уязвимостей. Кстати, Пол Фергюсон (Paul Ferguson) из Trend Micro отметил, что Conficker принес определенную пользу, заставив многих пользователей наконец обновить системы безопасности на своих компьютерах. Во-вторых, вирус Conficker.E связывается с управляющим сервером своих разработчиков и превращает зараженный компьютер в «зомби», рассылая спам по всему миру. В-третьих, Conficker.E вымогает у пользователей деньги, требуя приобрести фальшивый антивирусный пакет за 50 долларов США (сумма может отличаться). Разработчики Conficker.E явно знали, что делали. До сих пор специалисты не могут найти средство для полного блокирования эпидемии. Тем не менее, исследователи сразу нескольких антивирусных компаний утверждают, что нынешняя версия Conficker.E прекратит распространение уже 3 мая текущего года. С чем связан выбор даты – неизвестно, возможно, дата связана со Всемирным днем свободы печати или Национальным днем учителя в США. Также неизвестно, какие еще атаки последуют за этой остановкой в распространении. Возможно, авторы Conficker ищут новые способы извлечения прибыли из своего ботнета или готовят свой преступный сервис к продаже другим злоумышленникам. Кроме того, предыдущие версии Conficker по-прежнему продолжают свое распространение, и бороться с ними все еще непросто. Представители компании Symantec считают, что Conficker демонстрирует совершенно новый подход в написании вирусов и извлечении доходов из этой преступной деятельности. Суммарные убытки от Conficker по всему миру уже оцениваются в сумму до 9,1 млрд. долларов. источник : soft.mail.ru |
сегодня словил себе этого kido.затупил,выключил Каспера и воткнул флешку(чужую),когда опомнился,включил Каспера,он сразу поймал его на флехе.потом просканил комп,нашел,пролечил.после перезагрузки не стал показывать скрытые и системные файлы.подправил реестр,вроде все нормально.Каспер 7.0.базы новые.трафик вроде как обычно.где еще может проявиться эта дрянь?
|
не дает соединиться с сервером Касперского. University of Bonn: Conficker Online Infection Indicator пишет "System is possibly infected with Conficker.B"
проверил в безопасном режиме AVZ.нашел пару троянов,но не kido.кроме невозможности соединиться с Касперским никаких сюрпризов. |
в f8 от доктора веба проскань утилитой.
|
на веба тоже не дает зайти.надо с другого компа выходить и скачивать.:(
|
попробуй скачать с браузера другого.
|
|
Олег, я отправила тебе на мыло утилиту(KK_v3.4.7.zip) с касперского и инструкцию.
в f8 если в обычном не выйдет режиме. |
спасибо,большое.
|
спасибо,большое.вроде все нормально.
|
Народ извиняйте меня но я совсем ламер понял что поймал kido но скачать KKiller_v3.4.1.zip нигде не могу help
|
здесь: Устранение сбоев в работе
|
Цитата:
Зараженный комп на сайт Каспера может не пустить, поэтому см. ссылку, там есть альтернативный источник. |
народ хелп. на внешнем накопители сидит эта зараза каспер его определяет но удалить не может. kkiller сканит толтко комп а до внешнего накопителя ему дела нет. как с внешненго харда его удалит?????
|
У меня НОД32 (про каспера не знаю): правой кнопкой на внешний хард/проверить с помощью НОД32... Все чистит и удаляет.
|
а каспер пишет что невозможно удалить. файл защищён от записи. попробовал в безопасном режиме тоже самое. через тотал командер нашёл этот файл но он тоже не может его удалить.
я бы форматнул накопитель но вот данные перекопировать некуда. на накопителе файлов в три раза больше чем места на моих двух компьютерах :( |
Болванки тебе в помощь:)))
А серьезно подожди остальных... |
это моя история: не работают ни файерволл, ни антивири, ни архиватор, т.д. и т.п.
причем, как раз с мая 2009 г. всё и началось: сначала полетел ПК - такого никто не видел (вызывала спеца), потом все нормально, вот теперь через торрент-сайт подцепила этот вирь - и караул! |
КидоКиллер сработал, или с ним проблема?
|
| Часовой пояс GMT +4, время: 12:08. |
Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.