Как удалить Net-Worm.Win32.Kido (Conficker)

[akok]

Симптомы

1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
3. Невозможно получить доступ к сайтам большинства антивирусных компаний, например, avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.
4. Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно, и возникает одна из ошибок:
   • Ошибка активации. Процедура активации завершилась с системной ошибкой 2.
   • Ошибка активации. Невозможно соединиться с сервером.
   • Ошибка активации. Имя сервера не может быть разрешено.

Краткое описание семейства Net-Worm.Win32.Kido.

1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
   В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
2. Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
3. Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
4. Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):

• http://www.getmyip.org
• http://getmyip.co.uk
• whatsmyipaddress.com
• What is my IP? - WhatIsMyIP.org
• http://checkip.dyndns.org

Подробнее


Подготовка к удалению

1. Необходимо закрыть уязвимости, установив обновления:
   • MS08-067
   • MS08-068
   • MS09-001
2. Установить пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложным паролем)
3. Отключите автозапуск
   • Тема на форуме
   • Или воспользовавшись утилитой KK.exe с ключом -a

Методики удаления

1. Скачайте утилиту, распакуйте архив в отдельную папку. Запустите.
   • kk.zip (если нет возможности скачать с серверов ЛК.
   
   *Если на компьютере, на котором запускается утилита, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
   
   
2. Обладая опытом работы с командной строкой, вы можете применять ключи, которые понимает утилита
   
   
   ​
   
   
3. Или воспользоваться удобным графическим интерфейсом, который разработал наш коллега Drongo, это позволит легко работать консольными утилитами Лаборатории Касперского при помощи удобного интерфейса.
   • Quick Killer

• Утилиты других вендоров
  • Утилита EConfickerRemover.exe от Eset
  • утилита от bitdefender
  • *скачайте, распакуйте файл и запустите, нажмите "Scan", если утилита ничего не найдет, появится сообщение
  • Утилита от F-Secure - Download f-downadup.zip
• Альтернативные инструкции
  • Краткое описание и инструкция по удалению от Microsoft
  • Сайт Bitdefender посвященный борьбе с Kido.
  • Инструкция от Online Solutions. Страница загрузки утилит.
  
  
• Инструкции наших пользователей
  • Инструкция от volk1234

Источники информации:

1. Техническая поддержка
2. www.eset.com
3. www.online-solutions.ru
4. www.bdtools.net
5. www.symantec.com
6. www.f-secure.com
7. http://support.microsoft.com

Отдельное спасибо всем пользователям, которые нашли и опубликовали информацию, которая позволяет бороться с Kido:

• Pilli
• Wise-Wistful
• volk1234
• Drongo

_____________________

P>S> Если перечисленные рекомендации не помогли, то еще не все потеряно. Необходимо обратится в раздел "Помощь в борьбе с вредоносными программами" и подготовить логи

Хоть все рекомендации отбирались по принципу "не навреди", но ресурс не несет ответственность за работоспособность ПК после выполнения этих рекомендаций.

 

[volk1234]

вот сделал скриптик для автоматизации закрытия дырок в ХР, надеюсь обновления скачаете сами,
мне помогло:

@Echo off
Echo Устанавливаются критические обновления безопасности
Echo.
Echo По окончании установки компьютер перезагрузится !!!!!
Echo.

Set /P VVV=" Нажмите любую цифру для продолжения, или '0' для отмены "
If %VVV% == 0 Goto :EOF

Echo 1. WindowsXP-KB957097-x86-RUS.exe
start /wait WindowsXP-KB957097-x86-RUS.exe /quiet /norestart /nobackup
Echo.
Echo 2. WindowsXP-KB958644-x86-RUS.exe
start /wait WindowsXP-KB958644-x86-RUS.exe /quiet /norestart /nobackup
Echo.
Echo 3. WindowsXP-KB958687-x86-RUS.exe
start /wait WindowsXP-KB958687-x86-RUS.exe /quiet /forcerestart /nobackup

Также надюсь, что обновления вы поместите в одну папку со скриптом. Кодировка -оем. Если после перезагрузки вылезет сообшение вроде:
файл csrsr.exe не найден - почистите автозагрузку с помощью утилит: HiJackthis, autoruns и проч...

 

[volk1234]

На личном опыте, так сказать

Руководство: борьба с KIDO\CONFICKER в сети (рабочая группа). V.2.0​

Спойлер: руководство

(в моем случае в сети 50 компьютеров+файлопомойка без домена, DHCP, DNS сервер без AD, прокся)

Определение заражения:
Лезем в реестр и проверяем параметр netsvcs в ветке

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

если в списке служб в самом конце есть бессмысленный набор букв(типа xpprdjj) и вы не можете ассоциировать это название с легальными службами (у каждой службы кроме длинного есть короткое имя например - Автоматическое обновление: Wuauserv) - ( Можно посмотреть в остнастке службы либо с помощью любой другой утилиты, например, autoruns)


Вышесказанное относится к модификациям вируса Win32/Conficker.A - .C. Более новая модификация Win32/Conficker.D записывает свою службу в параметре netsvcs не в конец списка, а в произвольное место списка, что усложняет ее поиск! Вот таблица типичных "валидных" служб для примера (взял отсюда ):

• Служба, выделенная красным — это пример записи, которую создает вирус Win32/Conficker в папаметре netsvcs в разделе реестра SVCHOST.
• Реальный список служб может включать дополнительные записи в зависимости от программ, установленных в системе.
• В таблице указаны службы, запускаемые в конфигурации Windows по умолчанию.

Запись, добавляемая в список вирусом Win32/Conficker, может служить примером техники запутывания. В выделенной записи вируса первая буква кажется буквой «L» в нижнем регистре, но на самом деле это буква «I» в верхнем регистре. Из-за начертания шрифта, используемого в операционной системе, буква «I» в верхнем регистре похожа на букву «L» в нижнем регистре.

Вобщем если есть неопознанная служба поздравляю - скорее всего вы счастливый обладатель самого новейшего вируса

Также надо проверить ветку реестра

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs

Если такая есть это точно Kido. Однако не во всех модификациях вируса такая ветка создается.

После этого в сети и на каждом компьютере необходим целый комплекс противовирусных мероприятий:

I В сети предприятия .​

1. Планируется глобальная политика безопастности - способ входа в систему длинна пароля, количество попыток при вводе неправильного пароля, меняются все пароли на сложные не меньше 6 знаков, раздаем права доступа на NTFS, Всех выгоняем из УЗ Администратора. Вобщем вспоминаем за что платят админам деньги

2. Закрываем на всех компьютерах ВСЕ общие папки, в т.ч. на серверах. Это заодно будет стимулом быстрее перевести всех на файловый сервер и быстрее пролечить сеть
Легче всего эту задачу выполнить - остановив на каждом компьютере службу Server.

3. В настройках прокси\брэндмауэра запрещаем P2P сети! Это важно- именно по этому протоколу зараза обменивается информацией и обновляется.

4. Заодно можно на время отключить сетевую службу Доступ к файлам и принтерам, дабы закрыть 139, 445 порт( я так не делал, а просто запретил порты на проксе\DNS)

5. Отключить сервер и полноценно проверить его без доступа к сети. Установить на него заплатки (все необходимые). Используйте Microsoft Baseline Security Analizer .(нужен интернет, так что делайте до отключения сети).

II. На каждом компьютере отдельно. (в т.ч. на серверах)​

1. Удаляем сначала вирусную службу определенную ранее из списка служб в параметре netsvcs (в конце должна быть пустая строка) и убив саму службу в

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

+ удалив указанную в соответстующей вирусу ветке dll-ку.

Здесь интересный момент: Зайдя, например, в случае как на картинке, в раздел реестра, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rhlnccbs вы не увидите весь раздел и имени запускаемой dll. Вирус использует наше же оружие - он закрывает через разрешения доступ к своей ветке всем кроме System. Чтобы справится с вирусом меняем разрешения на ветку: Заходим в Разрешения для данной ветки - нажимаем Дополнительно, затем выбираем галочку 'Наследовать от родительского объекта...', и вуаля- видим ветку вирусного драйвера целиком с путем и имененм dll- вот и попался голубчик!

Удаляем ветку, если она есть

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs

2. Запрещаем доступ к ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost для всех на изменение значений.
ПКМ на разделе SvcHost- Разрешения- добавить пользователя Все (на англ ОС- Everyone)-
далее в раздел дополнительно и выбрав пользователя Все задаем ему специальное разрешение( в данном случае запрещение ) - запрещаем право ЗАДАНИЕ ЗНАЧЕНИЯ

Важно: При закрытии этой ветки реестра на запись становится невозможным устанавливать новые службы использующие Svchost. На время лечения ветка должна быть закрыта на всех компьютерах сети!!! Иначе процедура лечения бессмысленна !
Подробнее о нюансах связанных с блокированием ветки реестра Svchost см. в замечаниях...

3. Удаляем как советует майкрософт запланированные задания:

 at /delete /yes

4. Качаем и устанавливаем обновление WindowsXP-KB958644.

Спойлер

Прямая ссылка

Также установите MS08-068 MS09-001

5. Отключаем автозапуск , службу планировщика.

6. Для удобства большинство действий можно сделать Bat- файлом(ветки реестра лучше править вручную):
Пример (по окончании компьютер перезагрузится):

@Echo off
Net stop server
Net stop ShellHWDetection
AT /Delete /Yes
Net stop Schedule

Rem Заплатка отключения автозапуска, скачайте ее перед запуском :)

Start /wait WindowsXP-KB967715-x86-RUS.exe /passive /nobackup /norestart

Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul
Reg Add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul
Reg Delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f >nul
Reg Add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" >nul
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v HonorAutorunSetting /t REG_DWORD /d 0x00000001 /f >nul

Rem Заплатка АнтиКидо, скачайте перед запуском :)

Start /wait WindowsXP-KB958644-x86-RUS.exe /passive /norestart /forcerestart

7. Проверяем компьютер антивирусным сканером. В моем случае заражение сопровождалось другим вирусом -csrcs прописывающемся в Winlogon.

8. Обязательно соберите у всех пользователей флэшки (даже под угрозой увольнения), поудалять с флешек и корневых разделов дисков autorun.inf и папку\файл RECYCLED и RECYCLER и защитите их с помощью FlashDisinfector, либо сами создайте скрипт:

md "[B]буква флэшки[/B]:\autorun.inf"
type nul > "\\?\[B]буква флэшки[/B]:\autorun.inf\lpt3.In Memory on Flash_Disinfector"
attrib.exe +h +r +s +a "[B]буква флэшки[/B]:\autorun.inf"

Ставим нормальный антивирус и обновляем его регулярно(не реже каждого дня). Поставьте известный хороший антивирус (Мне известны три: Антивирус Касперского, Dr.Web, Symantec\Norton). И проведите этим самым антивирусным сканером полную проверку всех единиц компьютерной техники в сети.


Для уверенности(или если вам непонятны действия описанные выше):
Скачиваем и запускаем какуюнибудь утилиту для удаления kido (bitdefender , kidokiller). Здесь можно почитать как использовать kidokiller

А также Некоторые замечания по профилактике/лечению win32.Kido/Confickier

 

[akok]

Наш колега Drongo, создал графическую оболочку для консольной программы KidoKiller 3.4.7 Это позволяет наглядно и привычным способом выбрать необходимые параметры запуска KidoKiller.

Скачать

 

[Analyzer]

я делаю так:
создаем бат файл (.bat) называем его как хотим вставляем туда это:

attrib autorun.inf -r -s -h
del autorun.inf
mkdir autorun.inf
attrib autorun.inf +h +s
cd autorun.inf
mkdir 1..\
cls
exit

сохраняем, копируем созданный бат файл на флешку, запускаем и всё, в корни флешки не сможет создаться файл autorun.inf

вот скрипт для того чтобы отменить выше сделанное:

attrib autorun.inf -r -s -h
cd autorun.inf
rd 1..\
cd \
rd autorun.inf

всё также создаем файл, копируем, запускаем.

 

[volk1234]

Добавил в мануал описание как удалить dll-файл вируса.
Добавил имя еще одной папки которую надо удалить с флэшек пользователей.
Добавил в пример скрипта запуск установки заплатки WindowsXP-KB967715-x86-RUS.exe

 

[volk1234]

Обновил инструкцию - добавил ссылок на анти кидо утилиты, закрыл на картинке имя пользователя - он сильно морально страдал бедняжка.

 

[volk1234]

Некоторые замечания по профилактике/лечению win32.Kido/Confickier

Здесь запишу некоторые общие моменты, которые не стоит раскрывать в руководстве.

Спойлер

Хотя появление этого зловреда было ожидаемым, всех застала врасплох его живучесть, возможность проникать "практически везде", и скорость распространения, а также способ обмена информацией и обновления.
==================
Замечание 1

Особенности заражения этим вирусом:
Проникновение:
1) проникновение на компьютер через уязвимость в OC
2) путем подбора пароля для УЗ Администратора
Заражение:
1) Устанавливает службу с случайным именем
2) Защищает ветку этой службы через удаления разрешений для всех
3) Записывает службу на запуск в составе системных служб в процессе svchost (параметр реестра netsvcs)
4) Устанавливает запланированное задание на запуск себя же (на случай удаления)
5) Записывается на съемные диски для распространения и последующего заражение того же компьютера, через автозапуск
6) Использует протокол P2P для обмена информацией с автором и обновления.

Лечение вручную описано в руководстве, однако многие спотыкаются на одном и том же моменте:
Учетные записи пользователя - или пароль простой или просто забывают, что кроме самого пользователя на компьютере есть еще и встроенная УЗ Администратор, на которую никто не потрудился поставить пароль (что лучше) или же пароль очень простой. В идеале включенно должно быть 2 УЗ - Пользователь и Администратор.
==================
Замечание 2

Особенности лечения этого вируса:

Алгоритм действий:

Отключить сетевой кабель
|
Удалить вирусную запись из параметра реестра netsvcs
|
Заблокировать изменение параметра реестра netsvcs через разрешения
|
Удалить вирусную службу из реестра и вирусную dll с диска.
|
Удалить запланированные задания, отключить автозапуск.
|
Сменить и усложнить пароли для всех УЗ
|
Проверить компьютер антивирусным монитором на отсутствие "закладок"
|
Установить обновление KB958644
|
Перезагрузить кломпьютер

Если Kido\Confickier не лечится, не спешите писать о новой неизлечимой версии, 99% вы пропустили один из пунктов вышепреведенного алгоритма.
==================
Замечание 3

Проблемы:

Основная проблема - это блокирование ветки

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

При обычном использовании компьютера дома или в офисе это не вызывает абсолютно никаких проблем. Но при попытке установить новую системную службу вы получите отказ в доступе!

Эта ошибка, особенно в офисных сетях, где централизованно устанавливаются программы и обновления может доставить много проблем, если забыть о блокировании ветки на изменение. Поэтому если администраторов больше одного - предупреждайте вашего коллег о проделанных действиях!

При закрытии этой ветки реестра на запись становится невозможным добавить новую роль сервера, установить WSUS. Невозможна установка SP3 для Windows XP.
Вариант решения - возвращаем разрешения на запись в эту ветку Всем, устанавливаем необходимые службы и закрываем ветку снова.
Кстати если промахнетесь и запретите данную ветку на ЧТЕНИЕ ЗНАЧЕНИЯ Вас ждут невообразимые и непредсказуемые глюки ОС (сам наблюдал), будте внимательны.

Добавлено через 7 минут 3 секунды
переработал руководство по удалению win32.Kido/Confickier
адаптировал его к новой модификации
добавил мегаполезную таблицу
Добавил отдельным постом некоторые замечания..

 

[Drongo]

Наш колега Drongo, создал графическую оболочку для консольной программы KidoKiller 3.4.7 Это позволяет наглядно и привычным способом выбрать необходимые параметры запуска KidoKiller.

Обновите пожалуйста архив и описание.

Название:
GUI Command for KidoKiller

Изменения:
KidoKiller 3.4.10 теперь интегрирован в ресурсы оболочки, при запуске происходит извлечение из ресурсов файла KK.exe и дальше работа продолжается как обычно, посредством выбора пунктов.

Если версия KidoKiller обновилась, просто киньте обновлённую программу в папку с оболочкой и запустите программу, файл должен быть с именем KK.exe, если же по каким-либо причинам вам не удалось обновить верси KidoKiller и вы утратили версию содержащуюся в архиве, при запуске оболочки произойдёт извлечение из ресурсов программы KidoKiller 3.4.10. Конечно, лучше чем ничего.

 

[akok]

Обновил.

 

[Drongo]

Или воспользовавшись утилитой KK.exe с ключом -a ето как?

Quick Killer - GUI для консольных утилит Лаборатории Касперского
Запустите утилиту QuickKiller.exe

1. Установите переключатель в положение KidoKiller
2. Установите галочку Отключить автозапуск со всех носителей
3. Нажмите кнопку Выполнить

 

[migrant]

сканирую и кк и QuickKiller.exe и курейтом, ничего не находит, но сайты далее не доступны

 

[MotherBoard]

сканирую и кк и QuickKiller.exe и курейтом, ничего не находит, но сайты далее не доступны

Создавайте тогда тему в разделе безопасности:
https://safezone.cc/forums/2/
и выполните правила

 

[Freestyle]

Удаление Net-Worm.Win32.Kido

Описание Net-Worm.Win32.Kido:


(с) viruslist.com


Новый червь на старом велосипеде Юзает уязвимость в SMB, брутит учетную запись администратора на компах, находящиеся с ним в одном сегменте по списку паролей, после этого обосновывается на сбрученых компах.
Также прилипает ко сменным носителям, куда можно записать авторан.инф.

Мануал:

1. отключить от интернета и локальной сети
2. установить 3 патча: 1, 2, 3
3. (_опционально_)Установить надежные пароли для всех локальных учетных записей.
4. запустить KidoKiller


Либо вручную:

1. Удалить ключ системного реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
2. Удалить строку "%System%\<rnd>.dll" из значения следующего параметра ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"

3. Перезагрузить компьютер
4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
5. Удалить файл:
%System%\<rnd>.dll, где <rnd> - случайная последовательность символов.

6. Удалить следующие файлы со всех съемных носителей:

<X>:\autorun.inf
<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\.vmx, где rnd – случайная последовательность строчных букв, X – буква съемного диска.