Атака вируса Кидо :) - блог №23746

kido известный под разными именами (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based и т д) и во множестве вариациях, Kido был обнаружен впервые ещё осенью прошлого года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows.

Действия вируса кидо


Помимо атаки на «дырявый» сервис, Вирус Кидо умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители(«флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» — конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, вирус кидо отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов и спокойно занимается лавинным размножением. Благодаря изощренной механике Кидо заразил к настоящему моменту более девяти миллионов машин и продолжает прогрессировать. Данная вредоносная и очень не беспечная программа, по мнению F-Secure создана для формирования бот-сетей с целью извлечения из нее прибыли или пакетной продажи. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет. Также, «Создатели этого вируса kido еще по-настоящему не использовали его. Но они могут в любой момент сделать с зараженными машинами все, что захотят», — говорит главный советник по вопросам безопасности все того же F-Secure — Патрик Руналд (Patrik Runald).

Сетевой червь kido, распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован kido при помощи UPX.
Распространение при помощи сменных носителей

Вирус кидо копирует свой исполняемый файл на все съемные диски со следующим именем:

<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\<rnd>.vmx, где rnd – случайная последовательность строчных букв, X – буква съемного диска.

Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
<X>:\autorun.inf

Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Деструктивная активность

При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов "svchost.exe". Внедренный код выполняет основной деструктивный функционал червя:
отключает службу восстановления системы;
блокирует доступ к адресам, содержащим следующие строки:
indowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus

Также червь скачивает файл по следующей ссылке:
trafficconverter.biz/*****/antispyware/loadadv.exe

Скачанный файл сохраняется в системный каталог Windows (%System%) с оригинальным именем и запускается на выполнение. На момент создания описания указанная ссылка не работала.

Также червь может скачивать файлы по ссылкам вида:
<URL>/search?q=<%rnd2%>

где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату вирус Кидо запрашивает с одного из следующих сайтов:
www.w3.org
www.ask.com
www.msn.com
www.yahoo.com
www.google.com
www.baidu.com

Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.


При заражении компьютера червь kido запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Вирус кидо получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого вирус кидо отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя kido и запускает его. После чего происходит инсталляция вируса kido на атакуемой машине.


Симптомы Заражения и буйствия вируса:


— отключена служба восстановления системы;
-заблокирован доступ к адресам сайтов вирусной безопасности;
— невозможно включение отображения скрытых папок в Documents and Settings;
-в локальной сети настает непомерный объем сетевого трафика.


Лечение гада (вируса Кидо):


Отключить компьютер или все компьютеры от локальной сети, отключить автозапуск сменных носителей и применить одно из решений:
Решение 1 от Лаборатории Касперского
Решение 2 от Компании «Доктор Веб»
Далее установить 3 заплатки 2 на Windows XP2 и одну Windows XP3:

MS08-067
MS08-068
MS09-001


Атаки kido с зараженных компьютеров будут продолжаться и дальше поэтому установите если у вас еще нет -антивирус ( в настоящий момент все антивирусы на него реагируют) и специальный софт для блокирования любой заразы поступающей с "флэшек" или съемных дисков.

Пакет состоящий из трех заплаток от Microsoft для Windows XP2/XP3 RUS и двух специальных бесплатных утилит от Лаборатории Касперского и Компании «Доктор Веб» — Dr.Web CureIt!® от 01.02.2009г и KidoKiller v.3.4 единым пакетом для пользователей :

Скачать: Пакет утилит и отрава для КИДО
Первый признак заражения kido — это когда вы не можете зайти на официальный сайт Лаборатории Касперского.

Самый простой способ лечить комп от Kido.bt (.wd .ws .wr .dd .fd .df .ss):
1 Вставляете флэшку в комп (желательно отформатированную, чтобы на ней небыло папки Recycler, дальше узнаете почему)
2 На флэшке появляется папка Recycler (если у Вас Kido то он в любом случае лезит на флэшку — один из способов распространения)
3 В этой папке Recycler находим файл (он там один в опять же в отдельной папке)
4 Через Total Commander определяем длину файла в байтах
5 Опять же через Total Commander ищем в папке System | System32 файл именно той длинны (обязательно в байтах)
6 Все нашедшие файлы сносим (только ВНИМАТЕЛЬНО смотрим какие файлы удаляем, потому как эта зараза, особенно Kido.ss, имеет свойство подстраиваться под системные файлы)

Кидо действует как бомба! Он срабатывает не сам по себе а только при каком-то действии, каком сам черт знает!

ВНИМАНИЕ! Если Касперский обнаружил kido на вашем компе, но когда вы вставляете флэшку и после нескольких попыток на флэшке нет папки Recycler с файлом внутри, то должен Вас огорчить!!! Вирус кидо МОДИФИЦИРОВАЛСЯ! И отловить его становится уже не реально.
Остается только Format C: D: E:… только форматировать надо все диски, а не только на котором операционая система, что поделать другого выхода нет, иначе после форматирования, например, только диска С, и установки на нем винды, после запуска он перелезет с зараженых дисков на С, такая уж у него спицификация, поражать все куда только можно пролезть и сохранить свое тело.

Есть еще способ удаления сетевого червя Кидо ( для более опытных, так как изменив в реестре что то не то, можно распрощаться с операционной системой)
Рекомендации по удалению Вируса Кидо

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления воспользуйтесь специальной утилитой и рекомендациями по удалению, которые можно скачать по следующей ссылке:
Лекарство от вируса Кидо


либо выполните следующие действия:
Удалить ключ системного реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
Удалить строку "%System%\<rnd>.dll" из значения следующего параметра ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"
Перезагрузить компьютер
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:

%System%\<rnd>.dll, где <rnd> — случайная последовательность символов.
Удалить следующие файлы со всех съемных носителей:

<X>:\autorun.inf
<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\.vmx, где rnd – случайная последовательность строчных букв, X – буква съемного диска.

Опубликовать в социальных сетях

Рекомендуем личную консультацию

Тихонов Сергей Валериевич

ПЕРВАЯ КОНСУЛЬТАЦИЯ БЕСПЛАТНО! Главный специалист в отрасли информационных технологий. Занимаюсь професиональной настройкой ОС Windows, установкой программ, драйверов, кодеков. Помогу найти неисправности деталей ПК. ПРОГРАММИСТ СО СТАЖЕМ. Опыт работ Узнать подробнее
Посмотреть всех экспертов из раздела Технологии > Компьют. безопасность


Комментарии

Довелось и мне столкнуться с такой проблемой, так и не вычислил где мог цепануть, почерпнул из вашей статьи много полезной информации и теперь спокойно посещаю сайт cosmolot на uajc.com.ua казино космолот всегда радует своих клиентов приятными бонусами и хорошим выводом денег, играю и не боюсь никаких вирусов.
28.08.20
Пользуйтесь нашим приложением Доступно на Google Play Загрузите в App Store