Начало / Борьба с вредоносными программами / Способы удаления вирусов

Как бороться с сетевым червем Net-Worm.Win32.Kido (другие названия: Conficker, Downadup)
В этом разделе Вы найдете информацию о методах борьбы с различными вредоносными программами, которые не могут быть вылечены продуктами Лаборатории Касперского в штатном режиме и требуют дополнительных действий со стороны пользователя, например, изменение системного реестра или использование дополнительной утилиты. Если Вы не нашли интересующую Вас информацию в данном разделе, пожалуйста, отправьте запрос в службу Технической поддержки Лаборатории Касперского, заполнив вебформу HelpDesk.

Как бороться с сетевым червем Net-Worm.Win32.Kido (другие названия: Conficker, Downadup)

 ID статьи: 1956    Другие языки:  Francais  German  Dutch  Japan  Poland  Español  English      Просмотров за неделю 7 471    Дата последней модификации статьи 07.07.2010 10:44
Информация из статьи применима к следующим продуктам:

  • Антивирус Касперского версии 6.0/7.0/2009
  • Kaspersky Internet Security версии 6.0/7.0/2009
  • Антивирус Касперского 6.0 для Windows Workstations MP1/MP2/MP3
  • Антивирус Касперского 6.0 для Windows Servers MP1/MP2/MP3
  • Kaspersky Administration Kit 6.0 MP1/MP2

    • Служба технической поддержки уведомляет клиентов Лаборатории Касперского о том, что в настоящий момент возросло количество обращений по факту заражения рабочих станций и серверов под управлением операционных систем Windows штаммами сетевого червя Net-Worm.Win32.Kido (другие названия: Conficker, Downadup).

     

    Краткое описание семейства Net-Worm.Win32.Kido

    Симптомы заражения

    Способы удаления

    Способ удаления для домашних пользователей

    Способ удаления для корпоративных пользователей

    Ключи для запуска утилиты из командной строки


     

    Краткое описание семейства Net-Worm.Win32.Kido

     

    1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
    2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
    3. Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
    4. Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
    5. Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):

     

    Вернуться в начало статьи

     


    		 Полезные ссылки:
    		 



    		 

    Симптомы заражения

    1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.

    2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

    3. Невозможно получить доступ к сайтам большинства антивирусных компаний, например,  avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.

    4. Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно и возникает одна из ошибок:
      • Ошибка активации. Процедура активации завершилась с системной ошибкой 2.
      • Ошибка активации. Невозможно соединиться с сервером.
      • Ошибка активации. Имя сервера не может быть разрешено.

    Замечание

    Если ваш компьютер не заражен сетевым червем Net-Worm.Win32.Kido, но при активации Антивируса  Касперского/Kaspersky Internet Security все равно возникают ошибки активации, то для решения проблемы, пожалуйста, воспользуйтесь блоком полезных ссылок, где описаны возможные причины ошибок активации.

     

    Вернуться в начало статьи

     

    Способы удаления


    Удаление сетевого червя производится с помощью специальной утилиты KidoKiller.

    Операционные системы MS Windows 95/MS Windows 98/MS Windows Me не подвержены заражению данным сетевым червем.

    ВниманиеС целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

    • Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001 (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его).

    • Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому  - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр. Либо сменить ранее установленный пароль локального администратора.

    • Отключить автозапуск исполняемых файлов со съемных носителей, запустив утилиту kk.exe с ключом -a:

    Для ОС Windows XP/Server: Пуск - Выполнить - наберите команду kk.exe -a - после ввода команды нажмите Enter. 
    Для OC Windows Vista: Пуск - Все программы - Стандартные - Выполнить - наберите команду kk.exe -a - после ввода команды нажмите Enter.

    • Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана.

    Блокировать TCP-порты 445 и 139 необходимо только на время лечения. Как только будет пролечена вся сеть, можно разблокировать эти порты.

    Удаление сетевого червя утилитой KidoKiller можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.

     

    Запуск утилиты с помощью командной строки. Все ключи, которые можно указать при запуске утилиты указаны ниже в таблице.

    • Чтобы запустить командную строку
      • Для ОС Windows Vista: ПускВсе программы - Стандартные - Выполнить - наберите команду cmd
      • Для ОС Windows XP/ServerПуск - Выполнить - наберите команду cmd
    • Чтобы осуществить запуск утилиты KidoKiller
      • Сохраните файл kk.exe, например, на диск С.
      • Для запуска утилиты необходимо указать местоположениефайла kk.exe. Например, команда для запуска утилиты, сохраненной на диске С будет выглядеть вот так:
        "С:\kk.exe" и нажмите Enter.

     

    Вернуться в начало статьи

     

    Для домашних пользователей (локальное удаление)

     
    1. Скачайте архив kk.zip и распакуйте его в отдельную папку на зараженной машине.

    2. Если у вас на зараженном компьютере установлены следующие программы Лаборатории Касперского:

      - Kaspersky Internet Security 2009;
      - Антивирус Касперского 2009;
      - Kaspersky Internet Security 7.0;
      - Антивирус Касперского 7.0;
      - Kaspersky Internet Security 6.0;
      - Антивирус Касперского 6.0; 
      - Антивирус Касперского 6.0 для Windows Workstations;
      - Антивирус Касперского 6.0 SOS;
      - Антивирус Касперского 6.0 для Windows Servers.

      Вниманиепожалуйста, отключите в Антивирусе Касперского компонент Файловый Антивирус на время работы утилиты.  

    3. Запустите файл kk.exe.

      При запуске файла kk.exe без указания каких-либо ключей утилита останавливает активное заражение (удаляет потоки, снимает перехваты), выполняет сканирование основных мест, подверженных заражению, сканирует память, чистит реестр, проверяет flash-накопители.

      ЗамечаниеПо окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать файл kk.exe с ключом -y.

    4. Дождитесь окончания сканирования.


      ВниманиеЕсли на компьютере, на котором запускается утилита KidoKiller, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

    5. Выполните сканирование всего компьютера с помощью Антивируса Касперского.

     

    Вернуться в начало статьи

     

    Для корпоративных пользователей (централизованное удаление)

     

    1. Скачайте утилиту kk.zip и распакуйте архив.

    2. В Консоли Администрирования создайте инсталляционный пакет для приложения kk.exe. На этапе выбора дистрибутива приложения выберите вариант Создать инсталляционный пакет для приложения, указанного пользователем.

      ЗамечаниеВ поле Параметры запуска исполняемого файла укажите ключ -y для автоматического закрытия окна консоли после того, как утилита отработает.



    3. На основе данного инсталляционного пакета создайте групповую или глобальную задачу удаленной установки для зараженных или подозрительных компьютеров сети.

      ЗамечаниеВы можете запустить утилиту KidoKiller на всех компьютерах вашей сети.

    4. Перед запуском утилиты обязательно отключите на клиентских компьютерах компонент Файловый Антивирус, входящий в состав Антивируса Касперского.

    5. Запустите задачу на выполнение.


      ЗамечаниеПри запуске утилиты через Administration Kit она запускается с правами пользователя SYSTEM. В  этом случае для нее будут недоступны все сетевые диски / общие папки. Если администратору необходимо, чтобы утилита писала отчеты на какой-либо сетевой диск /общий ресурс, то нужно запускать утилиту с помощью команды run as.

    6. После того как утилита отработает, выполните сканирование каждого компьютера сети с помощью Антивируса Касперского.

      ВниманиеЕсли на компьютере, на котором запускается утилита KidoKiller, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

     

    ЗамечаниеВ доменной сети важно в первую очередь лечить контроллеры домена и компьютеры, на которых залогинены пользователи, входящие в группы "Administrators" и "Domain Admins" в домене. В противном случае, лечение бесполезно - все компьютеры, входящие в домен, будут заражаться каждые 15 минут.

     

    Вернуться в начало статьи

     

    Ключи для запуска файла kk.exe из командной строки

    Параметр

       Описание

    -p <путь для сканирования>

       Сканировать определенный каталог

    -f

       Сканировать жесткие диски, переносные жесткие диски

    -n

       Сканировать сетевые диски

    -r

       Сканировать flash-накопители

    -y

       Не ждать нажатия любой клавиши

    -s

       Silent- режим (без черного окна консоли)

    -l <имя файла>

       Запись информации в файл отчета

    -v

       Ведение расширенного отчета (параметр -v работает только в случае, 
       если в командной строке указан также параметр -l)

    -z

       Восстановление служб:

    • Background Intelligent Transfer Service (BITS),
    • Windows Automatic Update Service (wuauserv),
    • Error Reporting Service (ERSvc/WerSvc)

       Восстановление возможности показа скрытых и системных файлов

    -a

       Отключение автозапуска со всех носителей

     

    -m

       Режим мониторинга потоков, заданий, сервисов.
       В этом режиме утилита постоянно находится в памяти и периодически
       проводит сканирование потоков, сервисов, заданий планировщика -
       при обнаружении заражения выполняется лечение и продолжение
       мониторинга

    -j

       Восстановление ветки реестра Safe Boot (при ее удалении компьютер
       не может загрузиться в безопасном режиме)

    -help

       Получение дополнительной информации об утилите

     

    Например,
    для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится файл kk.exe) используйте следующую команду:
    kk.exe -r -y -l report.txt -v

    для сканирования другого раздела диска, например, D используйте команду:

    kk.exe -p D:\ 

    ЗамечаниеНачиная с версии 3.4.6 в утилиту KidoKiller добавлены коды возврата (%errorlevel%):

    3 - Были найдены и удалены зловредные потоки (червь был в активном состоянии).
    2 - Были найдены и удалены зловредные файлы (червь был в неактивном состоянии).
    1 - Были найдены зловредные задания планировщика или перехваты функций (данная машина не заражена, но в этой сети могут находиться зараженные машины - администратору следует обратить на это внимание).
    0 - Ничего не было найдено.

    Вернуться в начало статьи

     Помогла ли Вам предоставленная информация?

                           

     Оставить подробный отзыв.