Как удалить Net-Worm.Win32.Kido (Conficker)

akok

Команда форума
Администратор
Сообщения
15,489
Симпатии
12,576
Баллы
2,203
#1
Симптомы

  1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
  2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
  3. Невозможно получить доступ к сайтам большинства антивирусных компаний, например, avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.
  4. Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно, и возникает одна из ошибок:
    • Ошибка активации. Процедура активации завершилась с системной ошибкой 2.
    • Ошибка активации. Невозможно соединиться с сервером.
    • Ошибка активации. Имя сервера не может быть разрешено.

Краткое описание семейства Net-Worm.Win32.Kido.

  1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
    В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
  2. Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
  3. Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
  4. Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
Подробнее



Подготовка к удалению
  1. Необходимо закрыть уязвимости, установив обновления:
  2. Установить пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложным паролем)
  3. Отключите автозапуск

Методики удаления
  1. Скачайте утилиту, распакуйте архив в отдельную папку. Запустите.
    • kk.zip (если нет возможности скачать с серверов ЛК.

    *Если на компьютере, на котором запускается утилита, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

  2. Обладая опытом работы с командной строкой, вы можете применять ключи, которые понимает утилита

    proxy.php?image=http%3A%2F%2Fs43.radikal.ru%2Fi099%2F1010%2F37%2Fc347332b7888t.jpg&hash=82e9bf175dcd750003a528a374f87bfd

  3. Или воспользоваться удобным графическим интерфейсом, который разработал наш коллега Drongo, это позволит легко работать консольными утилитами Лаборатории Касперского при помощи удобного интерфейса.






Источники информации:
  1. Техническая поддержка
  2. www.eset.com
  3. www.online-solutions.ru
  4. www.bdtools.net
  5. www.symantec.com
  6. www.f-secure.com
  7. http://support.microsoft.com
Отдельное спасибо всем пользователям, которые нашли и опубликовали информацию, которая позволяет бороться с Kido:


_____________________

P>S> Если перечисленные рекомендации не помогли, то еще не все потеряно. Необходимо обратится в раздел "Помощь в борьбе с вредоносными программами" и подготовить логи

Хоть все рекомендации отбирались по принципу "не навреди", но ресурс не несет ответственность за работоспособность ПК после выполнения этих рекомендаций.
 
Последнее редактирование модератором:

volk1234

Разработчик
Сообщения
52
Симпатии
112
Баллы
428
#2
вот сделал скриптик для автоматизации закрытия дырок в ХР, надеюсь обновления скачаете сами,
мне помогло:

Код:
@Echo off
Echo Устанавливаются критические обновления безопасности
Echo.
Echo По окончании установки компьютер перезагрузится !!!!!
Echo.

Set /P VVV=" Нажмите любую цифру для продолжения, или '0' для отмены "
If %VVV% == 0 Goto :EOF

Echo 1. WindowsXP-KB957097-x86-RUS.exe
start /wait WindowsXP-KB957097-x86-RUS.exe /quiet /norestart /nobackup
Echo.
Echo 2. WindowsXP-KB958644-x86-RUS.exe
start /wait WindowsXP-KB958644-x86-RUS.exe /quiet /norestart /nobackup
Echo.
Echo 3. WindowsXP-KB958687-x86-RUS.exe
start /wait WindowsXP-KB958687-x86-RUS.exe /quiet /forcerestart /nobackup
Также надюсь, что обновления вы поместите в одну папку со скриптом. Кодировка -оем. Если после перезагрузки вылезет сообшение вроде:
файл csrsr.exe не найден - почистите автозагрузку с помощью утилит: HiJackthis, autoruns и проч...
 
Последнее редактирование:

volk1234

Разработчик
Сообщения
52
Симпатии
112
Баллы
428
#3
На личном опыте, так сказать
Руководство: борьба с KIDO\CONFICKER в сети (рабочая группа). V.2.0​

(в моем случае в сети 50 компьютеров+файлопомойка без домена, DHCP, DNS сервер без AD, прокся)

Определение заражения:
Лезем в реестр и проверяем параметр netsvcs в ветке
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
если в списке служб в самом конце есть бессмысленный набор букв(типа xpprdjj) и вы не можете ассоциировать это название с легальными службами (у каждой службы кроме длинного есть короткое имя например - Автоматическое обновление: Wuauserv) - ( Можно посмотреть в остнастке службы либо с помощью любой другой утилиты, например, autoruns)
proxy.php?image=http%3A%2F%2Fwiki.oszone.net%2Fimages%2Fd%2Fdd%2FBeb_kido.JPG&hash=e527c0e3a728b66329386fabc0f9efd1


Вышесказанное относится к модификациям вируса Win32/Conficker.A - .C. Более новая модификация Win32/Conficker.D записывает свою службу в параметре netsvcs не в конец списка, а в произвольное место списка, что усложняет ее поиск! Вот таблица типичных "валидных" служб для примера (взял отсюда ):
proxy.php?image=http%3A%2F%2Fwiki.oszone.net%2Fimages%2F6%2F6f%2FTable.PNG&hash=ec61844427f8a0abe562da523ce4c219


- Служба, выделенная красным — это пример записи, которую создает вирус Win32/Conficker в папаметре netsvcs в разделе реестра SVCHOST.
- Реальный список служб может включать дополнительные записи в зависимости от программ, установленных в системе.
- В таблице указаны службы, запускаемые в конфигурации Windows по умолчанию.
Запись, добавляемая в список вирусом Win32/Conficker, может служить примером техники запутывания. В выделенной записи вируса первая буква кажется буквой «L» в нижнем регистре, но на самом деле это буква «I» в верхнем регистре. Из-за начертания шрифта, используемого в операционной системе, буква «I» в верхнем регистре похожа на букву «L» в нижнем регистре.

Вобщем если есть неопознанная служба поздравляю - скорее всего вы счастливый обладатель самого новейшего вируса :)
proxy.php?image=http%3A%2F%2Fwiki.oszone.net%2Fimages%2F0%2F05%2FBeb_kido3.JPG&hash=2bc35aeeeb7e1e08296761958fc17646

Также надо проверить ветку реестра
Код:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
Если такая есть это точно Kido. Однако не во всех модификациях вируса такая ветка создается.

После этого в сети и на каждом компьютере необходим целый комплекс противовирусных мероприятий:

I В сети предприятия .​
1. Планируется глобальная политика безопастности - способ входа в систему длинна пароля, количество попыток при вводе неправильного пароля, меняются все пароли на сложные не меньше 6 знаков, раздаем права доступа на NTFS, Всех выгоняем из УЗ Администратора. Вобщем вспоминаем за что платят админам деньги :)

2. Закрываем на всех компьютерах ВСЕ общие папки, в т.ч. на серверах. Это заодно будет стимулом быстрее перевести всех на файловый сервер и быстрее пролечить сеть :)
Легче всего эту задачу выполнить - остановив на каждом компьютере службу Server.

3. В настройках прокси\брэндмауэра запрещаем P2P сети! Это важно- именно по этому протоколу зараза обменивается информацией и обновляется.

4. Заодно можно на время отключить сетевую службу Доступ к файлам и принтерам, дабы закрыть 139, 445 порт( я так не делал, а просто запретил порты на проксе\DNS)

5. Отключить сервер и полноценно проверить его без доступа к сети. Установить на него заплатки (все необходимые). Используйте Microsoft Baseline Security Analizer .(нужен интернет, так что делайте до отключения сети).


II. На каждом компьютере отдельно. (в т.ч. на серверах)​



1. Удаляем сначала вирусную службу определенную ранее из списка служб в параметре netsvcs (в конце должна быть пустая строка) и убив саму службу в
Код:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
+ удалив указанную в соответстующей вирусу ветке dll-ку.

Здесь интересный момент: Зайдя, например, в случае как на картинке, в раздел реестра, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rhlnccbs вы не увидите весь раздел и имени запускаемой dll. Вирус использует наше же оружие - он закрывает через разрешения доступ к своей ветке всем кроме System. Чтобы справится с вирусом меняем разрешения на ветку: Заходим в Разрешения для данной ветки - нажимаем Дополнительно, затем выбираем галочку 'Наследовать от родительского объекта...', и вуаля- видим ветку вирусного драйвера целиком с путем и имененм dll- вот и попался голубчик!

Удаляем ветку, если она есть
Код:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
2. Запрещаем доступ к ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost для всех на изменение значений.
ПКМ на разделе SvcHost- Разрешения- добавить пользователя Все (на англ ОС- Everyone)-
далее в раздел дополнительно и выбрав пользователя Все задаем ему специальное разрешение( в данном случае запрещение :)) - запрещаем право ЗАДАНИЕ ЗНАЧЕНИЯ
proxy.php?image=http%3A%2F%2Fwiki.oszone.net%2Fimages%2F1%2F12%2FBeb_kido2.JPG&hash=45b6accb502c2b1719626c2ba97e0a2a


Важно: При закрытии этой ветки реестра на запись становится невозможным устанавливать новые службы использующие Svchost. На время лечения ветка должна быть закрыта на всех компьютерах сети!!! Иначе процедура лечения бессмысленна !
Подробнее о нюансах связанных с блокированием ветки реестра Svchost см. в замечаниях...

3. Удаляем как советует майкрософт запланированные задания:
Код:
 at /delete /yes
4. Качаем и устанавливаем обновление WindowsXP-KB958644.
Также установите MS08-068 MS09-001

5. Отключаем автозапуск , службу планировщика.

6. Для удобства большинство действий можно сделать Bat- файлом(ветки реестра лучше править вручную):
Пример (по окончании компьютер перезагрузится):

Код:
@Echo off
Net stop server
Net stop ShellHWDetection
AT /Delete /Yes
Net stop Schedule

Rem Заплатка отключения автозапуска, скачайте ее перед запуском :)

Start /wait WindowsXP-KB967715-x86-RUS.exe /passive /nobackup /norestart

Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul
Reg Add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul
Reg Delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f >nul
Reg Add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" >nul
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v HonorAutorunSetting /t REG_DWORD /d 0x00000001 /f >nul

Rem Заплатка АнтиКидо, скачайте перед запуском :)

Start /wait WindowsXP-KB958644-x86-RUS.exe /passive /norestart /forcerestart
7. Проверяем компьютер антивирусным сканером. В моем случае заражение сопровождалось другим вирусом -csrcs прописывающемся в Winlogon.

8. Обязательно соберите у всех пользователей флэшки (даже под угрозой увольнения), поудалять с флешек и корневых разделов дисков autorun.inf и папку\файл RECYCLED и RECYCLER и защитите их с помощью FlashDisinfector, либо сами создайте скрипт:
Код:
md "[B]буква флэшки[/B]:\autorun.inf"
type nul > "\\?\[B]буква флэшки[/B]:\autorun.inf\lpt3.In Memory on Flash_Disinfector"
attrib.exe +h +r +s +a "[B]буква флэшки[/B]:\autorun.inf"

Ставим нормальный антивирус и обновляем его регулярно(не реже каждого дня). Поставьте известный хороший антивирус (Мне известны три: Антивирус Касперского, Dr.Web, Symantec\Norton). И проведите этим самым антивирусным сканером полную проверку всех единиц компьютерной техники в сети.


Для уверенности(или если вам непонятны действия описанные выше):
Скачиваем и запускаем какуюнибудь утилиту для удаления kido (bitdefender , kidokiller). Здесь можно почитать как использовать kidokiller

А также Некоторые замечания по профилактике/лечению win32.Kido/Confickier
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,489
Симпатии
12,576
Баллы
2,203
#4
Наш колега Drongo, создал графическую оболочку для консольной программы KidoKiller 3.4.7 Это позволяет наглядно и привычным способом выбрать необходимые параметры запуска KidoKiller.

Скачать
 

Analyzer

Ассоциация VN
Сообщения
107
Симпатии
77
Баллы
433
#5
я делаю так:
создаем бат файл (.bat) называем его как хотим вставляем туда это:
Код:
attrib autorun.inf -r -s -h
del autorun.inf
mkdir autorun.inf
attrib autorun.inf +h +s
cd autorun.inf
mkdir 1..\
cls
exit
сохраняем, копируем созданный бат файл на флешку, запускаем и всё, в корни флешки не сможет создаться файл autorun.inf

вот скрипт для того чтобы отменить выше сделанное:
Код:
attrib autorun.inf -r -s -h
cd autorun.inf
rd 1..\
cd \
rd autorun.inf
всё также создаем файл, копируем, запускаем.
 

volk1234

Разработчик
Сообщения
52
Симпатии
112
Баллы
428
#6
Добавил в мануал описание как удалить dll-файл вируса.
Добавил имя еще одной папки которую надо удалить с флэшек пользователей.
Добавил в пример скрипта запуск установки заплатки WindowsXP-KB967715-x86-RUS.exe
 

volk1234

Разработчик
Сообщения
52
Симпатии
112
Баллы
428
#7
Обновил инструкцию - добавил ссылок на анти кидо утилиты, закрыл на картинке имя пользователя - он сильно морально страдал бедняжка. :)
 

volk1234

Разработчик
Сообщения
52
Симпатии
112
Баллы
428
#8
Некоторые замечания по профилактике/лечению win32.Kido/Confickier

Здесь запишу некоторые общие моменты, которые не стоит раскрывать в руководстве.
Хотя появление этого зловреда было ожидаемым, всех застала врасплох его живучесть, возможность проникать "практически везде", и скорость распространения, а также способ обмена информацией и обновления.
==================
Замечание 1

Особенности заражения этим вирусом:
Проникновение:
1) проникновение на компьютер через уязвимость в OC
2) путем подбора пароля для УЗ Администратора
Заражение:
1) Устанавливает службу с случайным именем
2) Защищает ветку этой службы через удаления разрешений для всех
3) Записывает службу на запуск в составе системных служб в процессе svchost (параметр реестра netsvcs)
4) Устанавливает запланированное задание на запуск себя же (на случай удаления)
5) Записывается на съемные диски для распространения и последующего заражение того же компьютера, через автозапуск
6) Использует протокол P2P для обмена информацией с автором и обновления.

Лечение вручную описано в руководстве, однако многие спотыкаются на одном и том же моменте:
Учетные записи пользователя - или пароль простой или просто забывают, что кроме самого пользователя на компьютере есть еще и встроенная УЗ Администратор, на которую никто не потрудился поставить пароль (что лучше) или же пароль очень простой. В идеале включенно должно быть 2 УЗ - Пользователь и Администратор.
==================
Замечание 2

Особенности лечения этого вируса:

Алгоритм действий:
Код:
Отключить сетевой кабель
|
Удалить вирусную запись из параметра реестра netsvcs
|
Заблокировать изменение параметра реестра netsvcs через разрешения
|
Удалить вирусную службу из реестра и вирусную dll с диска.
|
Удалить запланированные задания, отключить автозапуск.
|
Сменить и усложнить пароли для всех УЗ
|
Проверить компьютер антивирусным монитором на отсутствие "закладок"
|
Установить обновление KB958644
|
Перезагрузить кломпьютер
Если Kido\Confickier не лечится, не спешите писать о новой неизлечимой версии, 99% вы пропустили один из пунктов вышепреведенного алгоритма.
==================
Замечание 3

Проблемы:

Основная проблема - это блокирование ветки
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
При обычном использовании компьютера дома или в офисе это не вызывает абсолютно никаких проблем. Но при попытке установить новую системную службу вы получите отказ в доступе!

Эта ошибка, особенно в офисных сетях, где централизованно устанавливаются программы и обновления может доставить много проблем, если забыть о блокировании ветки на изменение. Поэтому если администраторов больше одного - предупреждайте вашего коллег о проделанных действиях!

При закрытии этой ветки реестра на запись становится невозможным добавить новую роль сервера, установить WSUS. Невозможна установка SP3 для Windows XP.
Вариант решения - возвращаем разрешения на запись в эту ветку Всем, устанавливаем необходимые службы и закрываем ветку снова.
Кстати если промахнетесь и запретите данную ветку на ЧТЕНИЕ ЗНАЧЕНИЯ Вас ждут невообразимые и непредсказуемые глюки ОС (сам наблюдал), будте внимательны. :)

Добавлено через 7 минут 3 секунды
переработал руководство по удалению win32.Kido/Confickier
адаптировал его к новой модификации
добавил мегаполезную таблицу
Добавил отдельным постом некоторые замечания..
 
Последнее редактирование:

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Симпатии
5,589
Баллы
808
#9
Наш колега Drongo, создал графическую оболочку для консольной программы KidoKiller 3.4.7 Это позволяет наглядно и привычным способом выбрать необходимые параметры запуска KidoKiller.
Обновите пожалуйста архив и описание. :)

Название:
GUI Command for KidoKiller

Изменения:
KidoKiller 3.4.10 теперь интегрирован в ресурсы оболочки, при запуске происходит извлечение из ресурсов файла KK.exe и дальше работа продолжается как обычно, посредством выбора пунктов.

Если версия KidoKiller обновилась, просто киньте обновлённую программу в папку с оболочкой и запустите программу, файл должен быть с именем KK.exe, если же по каким-либо причинам вам не удалось обновить верси KidoKiller и вы утратили версию содержащуюся в архиве, при запуске оболочки произойдёт извлечение из ресурсов программы KidoKiller 3.4.10. Конечно, лучше чем ничего. ;)
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,489
Симпатии
12,576
Баллы
2,203
#10
Обновил.
 

migrant

Активный пользователь
Сообщения
2
Симпатии
0
Баллы
381
#11
Или воспользовавшись утилитой KK.exe с ключом -a ето как? можете описать пожалуйста, у меня негрузятся сайты антивирусов и [color=Red][b]тут был сайт[/b][/color] а сайты майкрософта идут почему так?
 
Последнее редактирование модератором:

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Симпатии
5,589
Баллы
808
#12
Или воспользовавшись утилитой KK.exe с ключом -a ето как?
Quick Killer - GUI для консольных утилит Лаборатории Касперского
Запустите утилиту QuickKiller.exe

1. Установите переключатель в положение KidoKiller
2.
Установите галочку Отключить автозапуск со всех носителей
3.
Нажмите кнопку Выполнить
 
Последнее редактирование модератором:

migrant

Активный пользователь
Сообщения
2
Симпатии
0
Баллы
381
#13
сканирую и кк и QuickKiller.exe и курейтом, ничего не находит, но сайты далее не доступны :confused:
 
M

MotherBoard

#14
Последнее редактирование модератором:

Freestyle

Активный пользователь
Сообщения
3
Симпатии
5
Баллы
303
#15
Удаление Net-Worm.Win32.Kido

Описание Net-Worm.Win32.Kido:


(с) viruslist.com


Новый червь на старом велосипеде :) Юзает уязвимость в SMB, брутит учетную запись администратора на компах, находящиеся с ним в одном сегменте по списку паролей, после этого обосновывается на сбрученых компах.
Также прилипает ко сменным носителям, куда можно записать авторан.инф.

Мануал:

1. отключить от интернета и локальной сети
2. установить 3 патча: 1, 2, 3
3. (_опционально_)Установить надежные пароли для всех локальных учетных записей.
4. запустить KidoKiller


Либо вручную:

1. Удалить ключ системного реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
2. Удалить строку "%System%\<rnd>.dll" из значения следующего параметра ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"

3. Перезагрузить компьютер
4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
5. Удалить файл:
%System%\<rnd>.dll, где <rnd> - случайная последовательность символов.

6. Удалить следующие файлы со всех съемных носителей:

<X>:\autorun.inf
<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\.vmx, где rnd – случайная последовательность строчных букв, X – буква съемного диска.
 
Последнее редактирование модератором:
Сверху Снизу