Мережевий черв'як Net-Worm.Win32.Kido при поширенні використовує уразливість в службі Сервер (Server) Операційних систем сімейства Windows. Дана уразливість була виявлена в кінці жовтня 2008 року і описана в бюлетені безпеки Microsoft MS08-067 . При успішної експлуатації уразливості шкідливе ПЗ створює файл з випадковим ім'ям в системному каталозі%SystemRoot% system32 . Характерною рисою активності представників цього сімейства шкідливих програм є блокування доступу до ряду ресурсів мережі Інтернет. Поряд з ресурсами антивірусних компаній - "Лабораторії Касперського", "Доктор Веб", ESET - Net-Worm.Win32.Kido блокує доступ користувачів до доменного імені містить слово "virus", З метою не дозволити власникам заражених комп'ютерів пройти лікування на сайтах допомоги користувачам, у тому числі і на VirusInfo.
Симптоми зараження в мережі:
1.При наявності заражених комп'ютерів в локальній мережі підвищується обсяг мережевого трафіку, оскільки з цих комп'ютерів починається мережева атака.
2.Антівірусние додатки з активним мережевим екраном повідомляють про атаку Intrusion.Win.NETAPI.buffer-overflow.exploit.
Короткий опис сімейства Net-Worm.Win32.Kido.
- Створює на знімних носіях (іноді на мережевих дисках загального користування) файл autorun.inf і файл RECYCLED {SID} RANDOM_NAME.vmx
- В системі черв'як зберігається у вигляді dll-файлу з випадковим ім'ям, що складається з латинських букв, наприклад c: windows system32 zorizr.dll
- Прописує себе в сервісах - так само з випадковим ім'ям, що складається з латинських букв, наприклад knqdgsm.
- Намагається атакувати комп'ютери мережі по 445 або 139 TCP порту, використовуючи уразливість в ОС Windows MS08-067.
Як видалити даний вірус:
1. Відключити від мережі комп'ютер
2. Встановити патч від MS (MS08-067)
3. Встановити криптостійкі (пароль повинен містити не менше шести символів, з використанням різних регістрів і / або цифр) паролі для всіх локальних облікових записів.
4. Запустити утиліту Kido Killer.
5. Відключити автозапуск виконуваних файлів зі знімних носіїв.
Один із способів. Відкрийте блокнот. Скопіюйте наступний текст:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Cdrom] "AutoRun" = dword: 00000000 [HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion policies Explorer NoDriveTypeAutoRun] "NoDriveTypeAutoRun" = dword: 000000b1 [HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer] "NoDriveTypeAutoRun" = dword: 000000b1
Збережіть у файл з розширенням .reg і запустіть.
Використані наступні джерела:
- virusinfo.info - провідний російський інформаційно-аналітичний ресурс в сфері лікування персональних комп'ютерів від шкідливих програм
- support.kaspersky.ru - сторінка техпідтримки лабораторії Касперського