Началась эпидемия вируса Net-Worm.Win32.Kido.ee. Большая часть компьютеров (из более чем 3000) и серверов заражены. На компютерах создается файл с разными именами, например c:WINDOWSsystem32ymcphkq.lgg или c:WINDOWSsystem32otqlrwy.dll. Файл имеет размер 164 529 байт. Имеет скрытые атрибуты, доступен только для чтения. В настройках безопасности указан только доступ для чтения. Вирус создает сервис HKLMSYSTEMCurrentControlSetServices так же с разными именами и описаниями (бывает и без описания). Эту службу не видно из стандартных средств управления службами (видно только утилитами сторонних производителей, например Hyena). Сервис так же имеет атрибуты только для чтения для учетной записи system. Для его удаления нужно в свойствах безопасности добавить имя пользователя и установить атрибуты для полного доступа. После этого служба удаляется без проблем.
Для удаления работающего вируса из памяти мы использовали утилиты sysinternals. Но в последнее время он не находит в памяти работающий вирус. Но удалить файл при этом не удается. Антивирус в памяти тоже ничего не находит, но и у него не получатся удалить файл с вирусом.
После перезагрузки антивирус все также не удаляет файл, но если остановить постоянную защиту и изменить атрибуты и безопасность файла, то удалить можно.
На вылеченных компьютерах анти-хакер отражает большое количество атак, вот кусочек лога:
05.01.2009 6:23:30,Intrusion.Win.NETAPI.buffer-overflow.exploit,10.20.36.140,TCP,445
05.01.2009 8:07:34,DoS.Generic.SYNFlood,10.14.48.141,TCP,139
На некоторых зараженных компьютерах после регистрации в системе появляется сообщение с системной ошибкой и через 60 секунд компьютер перезагружается.
Кроме того на серверах контроллеров домена Windows регистрируется очень большое количество неправильных входов в домен под разными именами пользователей домена, возможно идет перебор паролей?
© forum.kaspersky.com
П.С
Настоятельно советую обновить ваши антивирусы и обязательно поставить Dr.Web сканер (+ плагин ****** браузера Опера, Файфокс и т.д)
Для удаления вируса вручную ( а другого варианта нет, пока-что только защита от вмешательства ) прочитайте инстуркцию данную ниже.
П.С2
Если вы не понимаете того, что написанно ниже из-за отстутствия опыта, не советую делать это самому, лучше обратитесь к опытным людям.
-----------------------------------------------------------------
Удалить оригинальный файл червя (его расположение на заражённом компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл, созданный троянцем в каталоге:
SYSTEM%<название_файла>.dll
Посмотреть имя файла можно в ключе:
Пуск, выполнить, regedit
HK_LOCAL_MACHINE -> SYSTEM -> CurrentControlSetServices ->netsvcs -> ParametersServiceDll
Удалить ветку реестра:
HKLM -> SYSTEM -> CurrentControlSet ->Services -> netsvcs
------------------------------------------------------------
Есть подозрения ,что червь заимел функциональность распространения при помощи autorun.inf, помимо эксплуатации уязвимости MS08-067.
Это говорит о том, что распостранения вируса происходит через сьемные носители имееющие файлы Автозапуска.
Есть сведенья, что Service Pack 3 ( для XP) имеет более стойкую структуру защиты против как этого вируса, так и грядущих. Так что по возможности, обновляйте SP до 3й версии. Для остальных Windows, более стойкой защиты нет.
Windows Vista. Являеться потенциальной жертвой.
Предпологаемые файлыимена вируса:
INF/Conficker
BAT/Autorun.IWB
Conficker.C.worm
TROJ_DOWNAD.A
Предпологаемые функции и симптомы:
1) Брутфорс подбор паролей
2) Безпричинная нагрузка канала при выходе в интернет
3) Возможный спам размера исходящего траффика (при использовании Торрент-систем)
4) Огромная нагрузка на CPU при использовании каких-либо браузеров.
5) Проникновение в системный процесс svchost.exe
5.1) Безпричинная остановка рабочей станции ОС, с требованием перезагрузки через 60 секунд.
P.S (5.1) Первый симптом того, что вирус только что внедрилься в систему.
6) Графические дефекты Панели Задач ОС.
7) Графические дефекты при переключении между приложениями.
8) Безпричинная блокировка получения некоторой информации с сайтов, которые вы посещали
PS. (8) : Блокировка происходит в браузере
9) Безпричинное отсутствие выхода в интернет, имея соединение по сети
9.1) Ошибки при получении сетевого адреса (DHCP)
10) Критические ошибки или зависание приложений ICQ - QIP - Skype и т.д
11) Остутствие доступа к другим ПК через локальную сеть.
© Demellion
Перейти к Demellion's блогу, 'user_report.php?return_url=http%3A%2F%2Fwww.amigos.lg.ua%2Fblog.php%3Fuser%3DDemellion%26blogentry_id%3D788&TB_iframe=true&height=300&width=450', '', './images/trans.gif');){kind=spacer}
Некорректное содержание
