Как удалить Net-Worm.Win32.Kido (Conficker)

Тема в разделе "Борьба с типовыми зловредами", создана пользователем akok, 13 янв 2009.

  1. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Симптомы

    1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
    2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
    3. Невозможно получить доступ к сайтам большинства антивирусных компаний, например, avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.
    4. Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно, и возникает одна из ошибок:
      • Ошибка активации. Процедура активации завершилась с системной ошибкой 2.
      • Ошибка активации. Невозможно соединиться с сервером.
      • Ошибка активации. Имя сервера не может быть разрешено.

    Краткое описание семейства Net-Worm.Win32.Kido.

    1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
      В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
    2. Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
    3. Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
    4. Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
    Подробнее



    Подготовка к удалению
    1. Необходимо закрыть уязвимости, установив обновления:
    2. Установить пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложным паролем)
    3. Отключите автозапуск

    Методики удаления
    1. Скачайте утилиту, распакуйте архив в отдельную папку. Запустите.
      • kk.zip (если нет возможности скачать с серверов ЛК.

      *Если на компьютере, на котором запускается утилита, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

    2. Обладая опытом работы с командной строкой, вы можете применять ключи, которые понимает утилита

      [​IMG]

    3. Или воспользоваться удобным графическим интерфейсом, который разработал наш коллега Drongo, это позволит легко работать консольными утилитами Лаборатории Касперского при помощи удобного интерфейса.






    Источники информации:
    1. Техническая поддержка
    2. www.eset.com
    3. www.online-solutions.ru
    4. www.bdtools.net
    5. www.symantec.com
    6. www.f-secure.com
    7. http://support.microsoft.com
    Отдельное спасибо всем пользователям, которые нашли и опубликовали информацию, которая позволяет бороться с Kido:


    _____________________

    P>S> Если перечисленные рекомендации не помогли, то еще не все потеряно. Необходимо обратится в раздел "Помощь в борьбе с вредоносными программами" и подготовить логи

    Хоть все рекомендации отбирались по принципу "не навреди", но ресурс не несет ответственность за работоспособность ПК после выполнения этих рекомендаций.
     
    Последнее редактирование модератором: 27 апр 2016
    26 пользователям это понравилось.
  2. volk1234
    Оффлайн

    volk1234 Разработчик

    Сообщения:
    52
    Симпатии:
    209
    вот сделал скриптик для автоматизации закрытия дырок в ХР, надеюсь обновления скачаете сами,
    мне помогло:

    Код (Text):
    @Echo off
    Echo Устанавливаются критические обновления безопасности
    Echo.
    Echo По окончании установки компьютер перезагрузится !!!!!
    Echo.

    Set /P VVV=" Нажмите любую цифру для продолжения, или '0' для отмены "
    If %VVV% == 0 Goto :EOF

    Echo 1. WindowsXP-KB957097-x86-RUS.exe
    start /wait WindowsXP-KB957097-x86-RUS.exe /quiet /norestart /nobackup
    Echo.
    Echo 2. WindowsXP-KB958644-x86-RUS.exe
    start /wait WindowsXP-KB958644-x86-RUS.exe /quiet /norestart /nobackup
    Echo.
    Echo 3. WindowsXP-KB958687-x86-RUS.exe
    start /wait WindowsXP-KB958687-x86-RUS.exe /quiet /forcerestart /nobackup
    Также надюсь, что обновления вы поместите в одну папку со скриптом. Кодировка -оем. Если после перезагрузки вылезет сообшение вроде:
    файл csrsr.exe не найден - почистите автозагрузку с помощью утилит: HiJackthis, autoruns и проч...
     
    Последнее редактирование: 10 апр 2009
    13 пользователям это понравилось.
  3. volk1234
    Оффлайн

    volk1234 Разработчик

    Сообщения:
    52
    Симпатии:
    209
    На личном опыте, так сказать
    Руководство: борьба с KIDO\CONFICKER в сети (рабочая группа). V.2.0 ​


    (в моем случае в сети 50 компьютеров+файлопомойка без домена, DHCP, DNS сервер без AD, прокся)

    Определение заражения:
    Лезем в реестр и проверяем параметр netsvcs в ветке
    Код (Text):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
    если в списке служб в самом конце есть бессмысленный набор букв(типа xpprdjj) и вы не можете ассоциировать это название с легальными службами (у каждой службы кроме длинного есть короткое имя например - Автоматическое обновление: Wuauserv) - ( Можно посмотреть в остнастке службы либо с помощью любой другой утилиты, например, autoruns)
    [​IMG]

    Вышесказанное относится к модификациям вируса Win32/Conficker.A - .C. Более новая модификация Win32/Conficker.D записывает свою службу в параметре netsvcs не в конец списка, а в произвольное место списка, что усложняет ее поиск! Вот таблица типичных "валидных" служб для примера (взял отсюда ):
    [​IMG]

    - Служба, выделенная красным — это пример записи, которую создает вирус Win32/Conficker в папаметре netsvcs в разделе реестра SVCHOST.
    - Реальный список служб может включать дополнительные записи в зависимости от программ, установленных в системе.
    - В таблице указаны службы, запускаемые в конфигурации Windows по умолчанию.
    Запись, добавляемая в список вирусом Win32/Conficker, может служить примером техники запутывания. В выделенной записи вируса первая буква кажется буквой «L» в нижнем регистре, но на самом деле это буква «I» в верхнем регистре. Из-за начертания шрифта, используемого в операционной системе, буква «I» в верхнем регистре похожа на букву «L» в нижнем регистре.

    Вобщем если есть неопознанная служба поздравляю - скорее всего вы счастливый обладатель самого новейшего вируса :)
    [​IMG]
    Также надо проверить ветку реестра
    Код (Text):
    HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
    Если такая есть это точно Kido. Однако не во всех модификациях вируса такая ветка создается.

    После этого в сети и на каждом компьютере необходим целый комплекс противовирусных мероприятий:

    I В сети предприятия .​

    1. Планируется глобальная политика безопастности - способ входа в систему длинна пароля, количество попыток при вводе неправильного пароля, меняются все пароли на сложные не меньше 6 знаков, раздаем права доступа на NTFS, Всех выгоняем из УЗ Администратора. Вобщем вспоминаем за что платят админам деньги :)

    2. Закрываем на всех компьютерах ВСЕ общие папки, в т.ч. на серверах. Это заодно будет стимулом быстрее перевести всех на файловый сервер и быстрее пролечить сеть :)
    Легче всего эту задачу выполнить - остановив на каждом компьютере службу Server.

    3. В настройках прокси\брэндмауэра запрещаем P2P сети! Это важно- именно по этому протоколу зараза обменивается информацией и обновляется.

    4. Заодно можно на время отключить сетевую службу Доступ к файлам и принтерам, дабы закрыть 139, 445 порт( я так не делал, а просто запретил порты на проксе\DNS)

    5. Отключить сервер и полноценно проверить его без доступа к сети. Установить на него заплатки (все необходимые). Используйте Microsoft Baseline Security Analizer .(нужен интернет, так что делайте до отключения сети).


    II. На каждом компьютере отдельно. (в т.ч. на серверах)​




    1. Удаляем сначала вирусную службу определенную ранее из списка служб в параметре netsvcs (в конце должна быть пустая строка) и убив саму службу в
    Код (Text):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    + удалив указанную в соответстующей вирусу ветке dll-ку.

    Здесь интересный момент: Зайдя, например, в случае как на картинке, в раздел реестра, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rhlnccbs вы не увидите весь раздел и имени запускаемой dll. Вирус использует наше же оружие - он закрывает через разрешения доступ к своей ветке всем кроме System. Чтобы справится с вирусом меняем разрешения на ветку: Заходим в Разрешения для данной ветки - нажимаем Дополнительно, затем выбираем галочку 'Наследовать от родительского объекта...', и вуаля- видим ветку вирусного драйвера целиком с путем и имененм dll- вот и попался голубчик!

    Удаляем ветку, если она есть
    Код (Text):
    HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
    2. Запрещаем доступ к ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost для всех на изменение значений.
    ПКМ на разделе SvcHost- Разрешения- добавить пользователя Все (на англ ОС- Everyone)-
    далее в раздел дополнительно и выбрав пользователя Все задаем ему специальное разрешение( в данном случае запрещение :)) - запрещаем право ЗАДАНИЕ ЗНАЧЕНИЯ
    [​IMG]

    Важно: При закрытии этой ветки реестра на запись становится невозможным устанавливать новые службы использующие Svchost. На время лечения ветка должна быть закрыта на всех компьютерах сети!!! Иначе процедура лечения бессмысленна !
    Подробнее о нюансах связанных с блокированием ветки реестра Svchost см. в замечаниях...

    3. Удаляем как советует майкрософт запланированные задания:
    Код (Text):
     at /delete /yes
    4. Качаем и устанавливаем обновление WindowsXP-KB958644.
    Также установите MS08-068 MS09-001

    5. Отключаем автозапуск , службу планировщика.

    6. Для удобства большинство действий можно сделать Bat- файлом(ветки реестра лучше править вручную):
    Пример (по окончании компьютер перезагрузится):

    Код (Text):
    @Echo off
    Net stop server
    Net stop ShellHWDetection
    AT /Delete /Yes
    Net stop Schedule

    Rem Заплатка отключения автозапуска, скачайте ее перед запуском :)

    Start /wait WindowsXP-KB967715-x86-RUS.exe /passive /nobackup /norestart

    Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul
    Reg Add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul
    Reg Delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f >nul
    Reg Add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" >nul
    Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v HonorAutorunSetting /t REG_DWORD /d 0x00000001 /f >nul

    Rem Заплатка АнтиКидо, скачайте перед запуском :)

    Start /wait WindowsXP-KB958644-x86-RUS.exe /passive /norestart /forcerestart
    7. Проверяем компьютер антивирусным сканером. В моем случае заражение сопровождалось другим вирусом -csrcs прописывающемся в Winlogon.

    8. Обязательно соберите у всех пользователей флэшки (даже под угрозой увольнения), поудалять с флешек и корневых разделов дисков autorun.inf и папку\файл RECYCLED и RECYCLER и защитите их с помощью FlashDisinfector, либо сами создайте скрипт:
    Код (Text):
    md "[B]буква флэшки[/B]:\autorun.inf"
    type nul > "\\?\[B]буква флэшки[/B]:\autorun.inf\lpt3.In Memory on Flash_Disinfector"
    attrib.exe +h +r +s +a "[B]буква флэшки[/B]:\autorun.inf"

    Ставим нормальный антивирус и обновляем его регулярно(не реже каждого дня). Поставьте известный хороший антивирус (Мне известны три: Антивирус Касперского, Dr.Web, Symantec\Norton). И проведите этим самым антивирусным сканером полную проверку всех единиц компьютерной техники в сети.


    Для уверенности(или если вам непонятны действия описанные выше):
    Скачиваем и запускаем какуюнибудь утилиту для удаления kido (bitdefender , kidokiller). Здесь можно почитать как использовать kidokiller

    А также Некоторые замечания по профилактике/лечению win32.Kido/Confickier
     
    Последнее редактирование: 24 окт 2009
    27 пользователям это понравилось.
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Наш колега Drongo, создал графическую оболочку для консольной программы KidoKiller 3.4.7 Это позволяет наглядно и привычным способом выбрать необходимые параметры запуска KidoKiller.

    Скачать
     
    6 пользователям это понравилось.
  5. Analyzer
    Оффлайн

    Analyzer Ассоциация VN

    Сообщения:
    113
    Симпатии:
    150
    я делаю так:
    создаем бат файл (.bat) называем его как хотим вставляем туда это:
    Код (Text):
    attrib autorun.inf -r -s -h
    del autorun.inf
    mkdir autorun.inf
    attrib autorun.inf +h +s
    cd autorun.inf
    mkdir 1..\
    cls
    exit
    сохраняем, копируем созданный бат файл на флешку, запускаем и всё, в корни флешки не сможет создаться файл autorun.inf

    вот скрипт для того чтобы отменить выше сделанное:
    Код (Text):
    attrib autorun.inf -r -s -h
    cd autorun.inf
    rd 1..\
    cd \
    rd autorun.inf
     
    всё также создаем файл, копируем, запускаем.
     
    8 пользователям это понравилось.
  6. volk1234
    Оффлайн

    volk1234 Разработчик

    Сообщения:
    52
    Симпатии:
    209
    Добавил в мануал описание как удалить dll-файл вируса.
    Добавил имя еще одной папки которую надо удалить с флэшек пользователей.
    Добавил в пример скрипта запуск установки заплатки WindowsXP-KB967715-x86-RUS.exe
     
    4 пользователям это понравилось.
  7. volk1234
    Оффлайн

    volk1234 Разработчик

    Сообщения:
    52
    Симпатии:
    209
    Обновил инструкцию - добавил ссылок на анти кидо утилиты, закрыл на картинке имя пользователя - он сильно морально страдал бедняжка. :)
     
    2 пользователям это понравилось.
  8. volk1234
    Оффлайн

    volk1234 Разработчик

    Сообщения:
    52
    Симпатии:
    209
    Некоторые замечания по профилактике/лечению win32.Kido/Confickier

    Здесь запишу некоторые общие моменты, которые не стоит раскрывать в руководстве.
    Хотя появление этого зловреда было ожидаемым, всех застала врасплох его живучесть, возможность проникать "практически везде", и скорость распространения, а также способ обмена информацией и обновления.
    ==================
    Замечание 1

    Особенности заражения этим вирусом:
    Проникновение:
    1) проникновение на компьютер через уязвимость в OC
    2) путем подбора пароля для УЗ Администратора
    Заражение:
    1) Устанавливает службу с случайным именем
    2) Защищает ветку этой службы через удаления разрешений для всех
    3) Записывает службу на запуск в составе системных служб в процессе svchost (параметр реестра netsvcs)
    4) Устанавливает запланированное задание на запуск себя же (на случай удаления)
    5) Записывается на съемные диски для распространения и последующего заражение того же компьютера, через автозапуск
    6) Использует протокол P2P для обмена информацией с автором и обновления.

    Лечение вручную описано в руководстве, однако многие спотыкаются на одном и том же моменте:
    Учетные записи пользователя - или пароль простой или просто забывают, что кроме самого пользователя на компьютере есть еще и встроенная УЗ Администратор, на которую никто не потрудился поставить пароль (что лучше) или же пароль очень простой. В идеале включенно должно быть 2 УЗ - Пользователь и Администратор.
    ==================
    Замечание 2

    Особенности лечения этого вируса:

    Алгоритм действий:
    Код (Text):

    Отключить сетевой кабель
    |
    Удалить вирусную запись из параметра реестра netsvcs
    |
    Заблокировать изменение параметра реестра netsvcs через разрешения
    |
    Удалить вирусную службу из реестра и вирусную dll с диска.
    |
    Удалить запланированные задания, отключить автозапуск.
    |
    Сменить и усложнить пароли для всех УЗ
    |
    Проверить компьютер антивирусным монитором на отсутствие "закладок"
    |
    Установить обновление KB958644
    |
    Перезагрузить кломпьютер
     
    Если Kido\Confickier не лечится, не спешите писать о новой неизлечимой версии, 99% вы пропустили один из пунктов вышепреведенного алгоритма.
    ==================
    Замечание 3

    Проблемы:

    Основная проблема - это блокирование ветки
    Код (Text):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
    При обычном использовании компьютера дома или в офисе это не вызывает абсолютно никаких проблем. Но при попытке установить новую системную службу вы получите отказ в доступе!

    Эта ошибка, особенно в офисных сетях, где централизованно устанавливаются программы и обновления может доставить много проблем, если забыть о блокировании ветки на изменение. Поэтому если администраторов больше одного - предупреждайте вашего коллег о проделанных действиях!

    При закрытии этой ветки реестра на запись становится невозможным добавить новую роль сервера, установить WSUS. Невозможна установка SP3 для Windows XP.
    Вариант решения - возвращаем разрешения на запись в эту ветку Всем, устанавливаем необходимые службы и закрываем ветку снова.
    Кстати если промахнетесь и запретите данную ветку на ЧТЕНИЕ ЗНАЧЕНИЯ Вас ждут невообразимые и непредсказуемые глюки ОС (сам наблюдал), будте внимательны. :)

    Добавлено через 7 минут 3 секунды
    переработал руководство по удалению win32.Kido/Confickier
    адаптировал его к новой модификации
    добавил мегаполезную таблицу
    Добавил отдельным постом некоторые замечания..
     
    Последнее редактирование: 14 сен 2009
    9 пользователям это понравилось.
  9. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.902
    Симпатии:
    8.221
    Обновите пожалуйста архив и описание. :)

    Название:
    GUI Command for KidoKiller

    Изменения:
    KidoKiller 3.4.10 теперь интегрирован в ресурсы оболочки, при запуске происходит извлечение из ресурсов файла KK.exe и дальше работа продолжается как обычно, посредством выбора пунктов.

    Если версия KidoKiller обновилась, просто киньте обновлённую программу в папку с оболочкой и запустите программу, файл должен быть с именем KK.exe, если же по каким-либо причинам вам не удалось обновить верси KidoKiller и вы утратили версию содержащуюся в архиве, при запуске оболочки произойдёт извлечение из ресурсов программы KidoKiller 3.4.10. Конечно, лучше чем ничего. ;)
     
    Последнее редактирование: 17 дек 2011
    6 пользователям это понравилось.
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Обновил.
     
  11. migrant
    Оффлайн

    migrant Активный пользователь

    Сообщения:
    2
    Симпатии:
    0
    Или воспользовавшись утилитой KK.exe с ключом -a ето как? можете описать пожалуйста, у меня негрузятся сайты антивирусов и [color=Red][b]тут был сайт[/b][/color] а сайты майкрософта идут почему так?
     
    Последнее редактирование модератором: 30 апр 2010
  12. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.902
    Симпатии:
    8.221
    Quick Killer - GUI для консольных утилит Лаборатории Касперского
    Запустите утилиту QuickKiller.exe

    1. Установите переключатель в положение KidoKiller
    2.
    Установите галочку Отключить автозапуск со всех носителей
    3.
    Нажмите кнопку Выполнить
     
    Последнее редактирование модератором: 27 апр 2016
    6 пользователям это понравилось.
  13. migrant
    Оффлайн

    migrant Активный пользователь

    Сообщения:
    2
    Симпатии:
    0
    сканирую и кк и QuickKiller.exe и курейтом, ничего не находит, но сайты далее не доступны :confused:
     
  14. MotherBoard
    Оффлайн

    MotherBoard Гость

    Создавайте тогда тему в разделе безопасности:
    http://safezone.cc/forums/2/
    и выполните правила
     
    Последнее редактирование модератором: 27 апр 2016
  15. Freestyle
    Оффлайн

    Freestyle Активный пользователь

    Сообщения:
    3
    Симпатии:
    9
    Удаление Net-Worm.Win32.Kido

    Описание Net-Worm.Win32.Kido:


    (с) viruslist.com


    Новый червь на старом велосипеде :) Юзает уязвимость в SMB, брутит учетную запись администратора на компах, находящиеся с ним в одном сегменте по списку паролей, после этого обосновывается на сбрученых компах.
    Также прилипает ко сменным носителям, куда можно записать авторан.инф.

    Мануал:

    1. отключить от интернета и локальной сети
    2. установить 3 патча: 1, 2, 3
    3. (_опционально_)Установить надежные пароли для всех локальных учетных записей.
    4. запустить KidoKiller


    Либо вручную:

    1. Удалить ключ системного реестра:
    [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
    2. Удалить строку "%System%\<rnd>.dll" из значения следующего параметра ключа реестра:
    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"

    3. Перезагрузить компьютер
    4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
    5. Удалить файл:
    %System%\<rnd>.dll, где <rnd> - случайная последовательность символов.

    6. Удалить следующие файлы со всех съемных носителей:

    <X>:\autorun.inf
    <X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\.vmx, где rnd – случайная последовательность строчных букв, X – буква съемного диска.
     
    Последнее редактирование модератором: 5 окт 2010
    1 человеку нравится это.

Поделиться этой страницей