С начала года наблюдается глобальная эпидемия сетевого червя Net-Worm.Win32.Kido
Данный зверёк распространяется через локальную сеть и при помощи съемных носителей информации.
При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.
Червь для атаки использует уязвимость операционных систем семейства Windows, обнаруженную в конце октября 2008 года MS08-067 в сервисе «Сервер». Для того, чтобы воспользоваться уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора, последовательно перебирая пароли, заложенные создателем в теле вируса.
После запуска, на компьютере-жертве блокируется доступ к сайтам антивирусных компаний. Также блокируется доступ пользователей к доменным именам, содержащим слова «virus, rootkit, spyware» и прочим, с целью не позволить владельцам зараженных компьютеров пройти лечение на сайтах помощи пользователям.
Известны десятки модификаций данного червя.
Рекомендации по удалению выпущены всеми ведущими производителями АВ. ЛК выпустила специальную утилиту — KidoKiller для борьбы с сетевым червем Net-Worm.Win32.Kido, утилита содержит generic-детектирование всех известных модификаций червя.
Алгоритм лечения с помощью данной утилиты описан в данной статье www.kaspersky.ru/support/wks6mp3/error?qid=208636215
По материалам virusinfo.info, av-school.ru
Подкатом — алгоритм лечения, скопирован с сайта ЛК, для не имеющих туда доступ в результате действий червя.
Во первых, сайты АВ компаний доступны по IP адресу. Сайт 195.27.181.35
Во вторых, вы можете посетить ресурс Virusinfo.info (216.246.90.119) — наши хелперы помогут Вам справиться с заражением.
Сама инструкция.
Способы удаления
Удаление сетевого червя производится с помощью специальной утилиты kidokiller.exe.
Внимание! С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
o Установить патч, закрывающий уязвимость MS08-067.
o Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому — пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
o Отключить автозапуск исполняемых файлов со съемных носителей.
Удаление сетевого червя утилитой kidokiller.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.
Локальное удаление:
1. Скачайте архив KidoKiller_v2.zip (другой сайт 1, другой сайт 2) и распакуйте его в отдельную папку на зараженной машине.
2. Запустите файл KidoKiller.exe.
Замечание
По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KidoKiller.exe с ключом -y.
3. Дождитесь окончания сканирования.
4. Выполните сканирование всего компьютера с помощью Антивируса Касперского.
Данный зверёк распространяется через локальную сеть и при помощи съемных носителей информации.
При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.
Червь для атаки использует уязвимость операционных систем семейства Windows, обнаруженную в конце октября 2008 года MS08-067 в сервисе «Сервер». Для того, чтобы воспользоваться уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора, последовательно перебирая пароли, заложенные создателем в теле вируса.
После запуска, на компьютере-жертве блокируется доступ к сайтам антивирусных компаний. Также блокируется доступ пользователей к доменным именам, содержащим слова «virus, rootkit, spyware» и прочим, с целью не позволить владельцам зараженных компьютеров пройти лечение на сайтах помощи пользователям.
Известны десятки модификаций данного червя.
Рекомендации по удалению выпущены всеми ведущими производителями АВ. ЛК выпустила специальную утилиту — KidoKiller для борьбы с сетевым червем Net-Worm.Win32.Kido, утилита содержит generic-детектирование всех известных модификаций червя.
Алгоритм лечения с помощью данной утилиты описан в данной статье www.kaspersky.ru/support/wks6mp3/error?qid=208636215
По материалам virusinfo.info, av-school.ru
Подкатом — алгоритм лечения, скопирован с сайта ЛК, для не имеющих туда доступ в результате действий червя.
Во первых, сайты АВ компаний доступны по IP адресу. Сайт 195.27.181.35
Во вторых, вы можете посетить ресурс Virusinfo.info (216.246.90.119) — наши хелперы помогут Вам справиться с заражением.
Сама инструкция.
Способы удаления
Удаление сетевого червя производится с помощью специальной утилиты kidokiller.exe.
Внимание! С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
o Установить патч, закрывающий уязвимость MS08-067.
o Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому — пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
o Отключить автозапуск исполняемых файлов со съемных носителей.
Удаление сетевого червя утилитой kidokiller.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.
Локальное удаление:
1. Скачайте архив KidoKiller_v2.zip (другой сайт 1, другой сайт 2) и распакуйте его в отдельную папку на зараженной машине.
2. Запустите файл KidoKiller.exe.
Замечание
По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KidoKiller.exe с ключом -y.
3. Дождитесь окончания сканирования.
4. Выполните сканирование всего компьютера с помощью Антивируса Касперского.
