sorus.ucoz.ru
Главная
Вход
Регистрация
Понедельник, 02.12.2024, 12:54Приветствую Вас Гость | RSS
Поиск на сайте

Меню сайта

Наша ссылка
    Мы будем благодарны, если Вы установите у себя нашу ссылку (на Ваш выбор, любой из предложенных вариантов):

    Русские программы

    Русские программы

    Русские программы


Главная » 2009 » Февраль » 6 » В Сети бушует эпидемия червя Kido. Уже 9 000 000 зараженных PC!
В Сети бушует эпидемия червя Kido. Уже 9 000 000 зараженных PC!
20:29



Известный под разными именами (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based и т д) и во множестве вариациях, Kido был обнаружен впервые ещё осенью прошлого года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители («флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов и спокойно занимается лавинным размножением. Благодаря изощренной механике Kido заразил к настоящему моменту более девяти миллионов машин и продолжает злобствовать. Данная вредоносная программа по мнению F-Secure создана для формирования бот-сетей с целью извлечения из нее прибыли или пакетной продажи. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет. Также, «Создатели этого вируса еще по-настоящему не использовали его. Но они могут в любой момент сделать с зараженными машинами все, что захотят», — говорит главный советник по вопросам безопасности все того же F-Secure - Патрик Руналд (Patrik Runald).

Сетевой червь, распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован при помощи UPX.

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Симптомы "запущенного" состояния: отключена служба восстановления системы; заблокирован доступ к адресам сайтов вирусной безопасности; невозможно включение отображения скрытых папок в Documents and Settings; в локальной сети настает непомерный объем сетевого трафика.

Лечение:

Отключить компьютер или все компьютеры от локальной сети, отключить автозапуск сменных носителей и применить одно из решений:

Решение 1 от Лаборатории Касперского:

http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215

http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip

Решение 2 от Компании «Доктор Веб»:

http://news.drweb.com/show/?i=204&c=5&p=0

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

Далее установить 3 заплатки на Windows XP2 и одну Windows XP3:

MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx);

MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx);

MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx);

Атаки с зараженных компьютеров будут продолжаться и дальше поэтому установите если у вас еще нет антивируса ( в настоящий момент все антивирусы на него реагируют) и специальный софт для блокирования любой заразы поступающей с "флэшек" или съемных дисков.



Категория: Новости, промо-акции | Просмотров: 1498 | Добавил: kruksik
Всего комментариев: 11
11 dmitriy07   (08.02.2009 21:54) [Материал]
СПАСИБО KRUKSIK!!!

10 Ворчун   (08.02.2009 17:51) [Материал]
кстати,заплатку для Винды(XP-SP3-----KB958687) я скачал с офсерва и весит она всего 650 кб

9 Ворчун   (08.02.2009 17:48) [Материал]
Таня,я в принципе перестраховался-Каспер уже сам научился затыкать эти дыры,да и другие антивирусники тоже)),а так для уверености поставил-чтоб спать лучше))

8 Tanya   (08.02.2009 16:33) [Материал]
Кстати тоже хотела спросить. Спасибо и за ответ. Кто ставил заплатки, как система?

9. Alex (Alex)
Для XP-SP3-----KB958687

Вчера
8. Сергей (Ворчун)
Ната,а для ХР (СП3) адрес заплатки отдельно укажи пожалуйста)


7 Alex   (08.02.2009 01:40) [Материал]
Для XP-SP3-----KB958687

6 Ворчун   (07.02.2009 20:43) [Материал]
Ната,а для ХР (СП3) адрес заплатки отдельно укажи пожалуйста)

5 wital2005   (07.02.2009 19:02) [Материал]
спасиб за инфу! счас проверим компу)))) ^_^

4 VladO   (07.02.2009 13:52) [Материал]
Огромное спасибо, за такую важную информацию. ^_^ Буду проверять, третий день компьютер ерундит, а в чём дело не пойму?

3 vit2005   (07.02.2009 11:20) [Материал]
Эта зараза активно ползает с середины января,спасибо
за большую работу и напоминание,что нужно почаще
"мыть руки" ^_^

2 Tanya   (07.02.2009 05:19) [Материал]
Да уж. Надеюсь KIS 8.0.0.506 её не пропустит. batman

1 malchikvova   (06.02.2009 23:35) [Материал]
Ууу.., какая бяка, но не стоит забывать про чудесную программу: Shadow Defender

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Форма входа

Календарь новостей
«  Февраль 2009  »
ПнВтСрЧтПтСбВс
      1
2345678
9101112131415
16171819202122
232425262728

Статистика дня

Онлайн всего: 7
Гостей: 7
Пользователей: 0


SORUS 2008-2024 | Sitemap