Проблемы с сетевым окружением Windows /XP или злобный вирус kido / Хабр

Сейчас в сети миллионы компьютеров заражены вирусом Kido / Conficker.  Если у вас не открываются сайты kaspersky.com и microsoft.com (а также других антивирусных компаний) то вы заражены вирусом. Для борьбы с этим вирусом/трояном нужно удалить сам вирус, и затем поставить обновление системы, чтобы предотвратить повторное заражение.

 

Сейчас в сети миллионы компьютеров заражены вирусом Kido / Conficker.  Если у вас не открываются сайты kaspersky.com и microsoft.com (а также других антивирусных компаний) то вы заражены вирусом. Для борьбы с этим вирусом/трояном нужно удалить сам вирус, и затем поставить обновление системы, чтобы предотвратить повторное заражение.

Вот прога которая удаляет вирус и заплатка.

1. Прога — http://asadmin.ru/files/KidoKiller_v3.3.2.zip
2. Заплатка для Xp — http://asadmin.ru/files/WindowsXP-KB958644-x86-RUS.exe
3. Заплатки для разных версий windows — http://www.microsoft.com/technet/securi … 8-067.mspx

 

Полезная информация: 

 Известный под разными именами (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based и т д) и во множестве модификаций, Kido был обнаружен впервые ещё осенью 2008 года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства Microsoft Windows. Благодаря изощренной механике Kido заразил к настоящему моменту более девяти миллионов машин и продолжает распространяться далее. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль — используется перечисление популярных паролей) и съёмные накопители («флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» — конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к целому ряду антивирусных сайтов и спокойно занимается лавинным размножением.

Этот троян распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт.

Антананариву — Столица Мадагаскар

Упакован при помощи UPX. При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер». Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Симптомы "запущенного" состояния: отключена служба восстановления системы; заблокирован доступ к адресам сайтов вирусной безопасности; невозможно включение отображения скрытых папок в Documents and Settings; в локальной сети настает непомерный объем сетевого трафика.

 

При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов «svchost.exe».

Антананариву

Внедренный код выполняет основной деструктивный функционал червя:

  • отключает следующие службы: wuauserv BITS
  • блокирует доступ к адресам, содержащим следующие строки: indowsupdate wilderssecurity threatexpert castlecops spamhaus cpsecure arcabit emsisoft sunbelt securecomputing rising prevx pctools norman k7computing ikarus hauri hacksoft gdata fortinet ewido clamav comodo quickheal avira avast esafe ahnlab centralcommand drweb grisoft eset nod32 f-prot jotti kaspersky f-secure computerassociates networkassociates etrust panda sophos trendmicro mcafee norton symantec microsoft defender rootkit malware spyware virus

Также червь может скачивать файлы по ссылкам вида:

http://

где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов:

http://www.w3.org http://www.ask.com http://www.msn.com http://www.yahoo.com http://www.google.com http://www.baidu.com

Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.

Например Net-Worm.Win32.Kido.ir:

Данный скрипт используется для запуска библиотеки червя из семейства Kido при подключении к компьютеру съемных носителей. Содержимое файла скрипта обфусцировано путем добавления случайного набора символов. Восстановив обфусцированные данные получаем следующий код скрипта автозапуска:

[AUTorUN]

AcTION=Open folder to view files

icon=%syStEmrOot%sySTEM32sHELL32.Dll,4

OpEn=RunDll32.EXE .RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx,ahaezedrn

sHEllExECUTe=RUNdLl32.ExE .RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx,ahaezedrn

useAuTopLAY=1

Подразумевается, что библиотека червя находится в следующей папке на съемном носителе:

.RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx

Данная версия скрипта отображает фразу «Открыть папку для просмотра файлов» на английском языке в диалоговом окне автозапуска.

Пропало сетевое окружение на ХР

Я
   mojed

 

30.07.09 — 08:12

Одноранг
Ось вин ХР SP 2 HOME

На машине дэвушки пропало сетевое окружение
C её машины пинги идут, на неё нет
доступ к  дискам на машине  открыл, к принтерам открыл

к сетевым принтерам и серверу пока подключил по \\***.***.***.***

 
 
   KRV

 

1 — 30.07.09 — 08:31

странно… проверить на вирусы никто до сих по не сказал…

   JeHer

 

2 — 30.07.09 — 08:37

Net-worm.Kido. Скорее всего разновидность — Conficker… Третий день бьемся с ним. Отрубает службы Сервер и Рабочая станция.

   Скользящий

 

3 — 30.07.09 — 08:41

(2) А че с ним биться? Комплекс мер уже давно известен по борьбе с ним. Можешь мою ветку посмотреть OFF: Проблемка с вирусом.

   UFO

 

4 — 30.07.09 — 08:43

Вижу по симптомам не запущена служба Обозреватель компьютеров

   JeHer

 

5 — 30.07.09 — 08:44

(3) Дык три компа в сетке можно за полдня обойти, а когда их больше, да еще хрен поймешь действия старого админа, приходится долбиться.

   UFO

 

6 — 30.07.09 — 08:44

Выруби на ее компе брандмауэр, тогда будут пинги и на ее комп идти и обозреватель будет запускаться

   UFO

 

7 — 30.07.09 — 08:45

Или на вкладке исключения поставь галочки на общем доступе и пингах

   UFO

 

8 — 30.07.09 — 08:45

Точней, входящие эхо-запросы

   Скользящий

 

9 — 30.07.09 — 09:00

(5) А не надо все компы обходить, достаточно заплатки поставить на серваки, а потом уже можно спокойно всей сетью заниматься.

   mojed

 

10 — 30.07.09 — 12:33

(6)
не помогло

 
 

   mojed

 

11 — 30.07.09 — 12:34

(1)
(2)
(3)
сканеры ни чего не нашли

   mojed

 

12 — 30.07.09 — 12:39

(4)запущена

   Скользящий

 

13 — 30.07.09 — 12:44

(11) ты ВСЕ компы в сети проверил?

antananarivo

Одна завирусованная машина ложит всю сеть.

   Скользящий

 

14 — 30.07.09 — 12:49

и еще замечу, что на всех компах пароль локального админа надо сложный поставить. Иначе все бессмысленно.

   mojed

 

15 — 31.07.09 — 17:10

(13)
переставили ось и драверы
за тем же ip, mac и hostname
всё прошло
выходит не » Одна завирусованная машина ложит всю сеть»

   Ёпрст

 

16 — 31.07.09 — 17:14

(0) поднять службу (или перезапустить) обозреватель компутеров..

   mojed

 

17 — 31.07.09 — 18:19

(16)
не помогло
KK,lanch,aavast,dweb и прю ни чего не нашли
все указанные Вами службы перезапускал
дебажить венду не чего то не хочется (из-за отсутствия мат.стимула)
гораздо дешевле format /u и setup

   Скользящий

 

18 — 31.07.09 — 18:22

(17) Маньяк. )

   mojed

 

19 — 31.07.09 — 18:34

(18)
format/u что шелудивому баня + чистая рубашка

 

Наведи порядок в своей работе используя конфигурацию 1C "Управление IT-отделом 8"

ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку «Обновить» в браузере.

Ветка сдана в архив. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.

Добавить комментарий

Закрыть меню