Сетевой червь Net-Worm.Win32.Kido при распространении использует уязвимость в службе Сервер (Server) операционных систем семейства Windows. Данная уязвимость была обнаружена в конце октября 2008 года и описана в бюллетене безопасности Microsoft MS08-067 . При успешной эксплуатации уязвимости вредоносное ПО создает файл со случайным именем в системном каталоге %SystemRoot%\system32\. Характерной чертой активности представителей этого семейства вредоносных программ является блокирование доступа к ряду ресурсов сети Интернет. Наряду с ресурсами антивирусных компаний - "Лаборатории Касперского", "Доктор Веб", ESET - Net-Worm.Win32.Kido блокирует доступ пользователей к доменному имени содержащему слово "virus", с целью не позволить владельцам зараженных компьютеров пройти лечение на сайтах помощи пользователям, в том числе и на VirusInfo.
Симптомы заражения в сети:
1.При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
2.Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
Краткое описание семейства Net-Worm.Win32.Kido.
- Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx
- В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
- Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
- Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Как удалить данный вирус:
1. Отключить от сети компьютер
2. Установить патч от MS ()
3. Установить криптостойкие(пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр) пароли для всех локальных учетных записей.
4. Запустить утилиту .
5. Отключить автозапуск исполняемых файлов со съемных носителей.
Один из способов. Откройте блокнот. Скопируйте следующий текст:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun] "NoDriveTypeAutoRun"=dword:000000b1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:000000b1
Сохраните в файл с расширением .reg и запустите.
Использованы следующие источники:
- - ведущий российский информационно-аналитический ресурс в сфере лечения персональных компьютеров от вредоносных программ
- - страница техподдержки лаборатории Касперского