В Сети бушует эпидемия червя Kido (Conficker, Downadup)!
На страницу 1, 2  След.
 
Начать новую тему   Ответить на тему    Список форумов Компьютерная сеть SunLine. Кривой Рог. Форум сети. -> Работа сети SunLine
Предыдущая тема :: Следующая тема  
Автор Сообщение
SunLiner
Персонал SunLine





Репутация: +2    

Зарегистрирован: 19.07.2006
Сообщения: 16


СообщениеДобавлено: Чт Июл 30, 2009 10:41 am    Заголовок сообщения: В Сети бушует эпидемия червя Kido (Conficker, Downadup)! Ответить с цитатой

Представляем вашему вниманию статью, суть которой затрагивает многих пользователей компьютерной сети SunLine.
Если кто-то сталкивался с этой проблемой, либо знает способы устранения, предлагайте ваши варианты борьбы с вирусом.

Цитата:
Уже 10 000 000 зараженных PC!
Известный под разными именами (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based и т д) и во множестве вариациях, Kido был обнаружен впервые ещё осенью прошлого года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители («флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов и спокойно занимается лавинным размножением. Благодаря изощренной механике Kido заразил к настоящему моменту более девяти миллионов машин и продолжает злобствовать. Данная вредоносная программа по мнению F-Secure создана для формирования бот-сетей с целью извлечения из нее прибыли или пакетной продажи. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет. Также, «Создатели этого вируса еще по-настоящему не использовали его. Но они могут в любой момент сделать с зараженными машинами все, что захотят», — говорит главный советник по вопросам безопасности все того же F-Secure - Патрик Руналд (Patrik Runald) .

Сетевой червь, распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован при помощи UPX.


При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Симптомы "запущенного" состояния: отключена служба восстановления системы; заблокирован доступ к адресам сайтов вирусной безопасности; невозможно включение отображения скрытых папок в Documents and Settings; в локальной сети настает непомерный объем сетевого трафика (соответственно снижение скорости и периодические обрывы).

Лечение: Отключить компьютер или все компьютеры от локальной сети, отключить автозапуск сменных носителей и применить одно из решений:


Решение 1 от Лаборатории Касперского:

http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215


http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip


Решение 2 от Компании «Доктор Веб»:

http://news.drweb.com/show/?i=204&c=5&p=0

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe


Далее установить 3 заплатки на Windows XP2 и одну Windows XP3:

MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx);

MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx);

MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx)


Атаки с зараженных компьютеров будут продолжаться и дальше поэтому установите если у вас еще нет антивирус и специальный софт для блокирования любой заразы поступающей с "флэшек" или съемных дисков.



Так-же еще полезная статья на эту тему: Как бороться с сетевым червем Kido (Conficker, Downadup)
_________________
Провайдер не всегда прав, но провайдер всегда провайдер.


Последний раз редактировалось: SunLiner (Чт Июл 30, 2009 12:12 pm), всего редактировалось 1 раз
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
aspirin
Новичок

Пол: Пол:муж
Возраст: 28
Знак зодиака: Стрелец

Репутация: +20/–1    

Зарегистрирован: 20.03.2006
Сообщения: 361


СообщениеДобавлено: Чт Июл 30, 2009 11:01 am    Заголовок сообщения: Ответить с цитатой

Только Касперский и Доктор Веб способны уничтожить эту гадость?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
KaMaTo3
Новичок

Пол: Пол:муж
Возраст: 33
Знак зодиака: Весы

Репутация: +16/–2    

Зарегистрирован: 20.10.2006
Сообщения: 173
Откуда: у стани прострации

СообщениеДобавлено: Чт Июл 30, 2009 11:07 am    Заголовок сообщения: Ответить с цитатой

Объяснял знакомой по асе, как избавится от этого червя с помощью, сайта Касперского, исходя из того что она непонимает, что?где?как? все таки справилась и решила проблему

Добавлено спустя 1 минуту 32 секунды:

aspirin писал(а):
Только Касперский и Доктор Веб способны уничтожить эту гадость?


если комп уже заражен, у тебя блокируется доступ к внешке, а в частности к любым антивирусным сайтам и ресурсам... идеш к другу, качаеш утилиту, запускаеш и ждеш результат

Добавлено спустя 3 минуты 4 секунды:

кстати пользуюсь утилитой cureit.exe по непонятным причинам, эта небольшая утилита при сканировании находит то, что другие антивири пропускают
_________________
Гладиаторы OnLine
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
SunLiner
Персонал SunLine





Репутация: +2    

Зарегистрирован: 19.07.2006
Сообщения: 16


СообщениеДобавлено: Чт Июл 30, 2009 11:14 am    Заголовок сообщения: Ответить с цитатой

aspirin писал(а):
Только Касперский и Доктор Веб способны уничтожить эту гадость?


Другие антивирусные системы тоже способны:

Цитата:
ESET выпустила утилиту для удаления червя Conficker


Москва, 6 февраля. ESET — международный разработчик антивирусного ПО и решений в области компьютерной безопасности — сообщает о выпуске утилиты для удаления червя Conficker, также известного, как Downadup или Kido. Вредоносная программа уже заразила более 10 миллионов компьютеров по всему миру.

Win32/Conficker.A – червь, который распространяется, эксплуатируя уязвимость в операционной системе Windows. Первыми симптомами заражения являются прекращение обновления антивируса и невозможность попасть на сайты разработчиков антивирусных продуктов. Кроме того, помимо наличия собственной вредоносной функции, Conficker может стать промежуточным звеном для последующей атаки вирусов. Проникнув в компьютер, Conficker пытается дополнительно скачать вредоносные программы или рекламное ПО, обычно это варианты FakeAlert, Wigon.

Чтобы избежать заражения, необходимо, во-первых, использовать постоянно обновляемое лицензионное антивирусное ПО, а во-вторых, установить обновление операционной системы Windows, доступное с октября 2008. Подробную информацию об уязвимости можно найти на сайте Microsoft.

Специалисты ESET зафиксировали злонамеренную программу, создающую обширные бот-сети, еще в ноябре 2008 года. С тех пор решения ESET свободно детектируют Conficker в его трех вариантах - A, B, C. С уже зараженного компьютера червь удаляется с помощью специальной утилиты.

_________________
Провайдер не всегда прав, но провайдер всегда провайдер.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Inflection
Новичок

Пол: Пол:муж



Репутация: +5/–1    

Зарегистрирован: 11.07.2009
Сообщения: 29


СообщениеДобавлено: Чт Июл 30, 2009 6:21 pm    Заголовок сообщения: Ответить с цитатой

сталкивался с етим вирусом уже очень много раз в нашей сети
я его находил и удалял нодом
последнее где находил етот вирус http://stt.sunline.com.ua/details.php?id=13578
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
dreamer
Новичок

Пол: Пол:муж
Возраст: 33
Знак зодиака: Дева

Репутация: +8/–2    

Зарегистрирован: 23.11.2007
Сообщения: 313
Откуда: Исла де Муерте

СообщениеДобавлено: Пт Июл 31, 2009 12:16 pm    Заголовок сообщения: Ответить с цитатой

я тоже столкнулся с ним вот я где его нашел http://stt.sunline.com.ua/details.php?id=13079 НОД 32 увидел и не дал скачать Exclamation
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Михаs
Новичок

Пол: Пол:муж



Репутация: +2    

Зарегистрирован: 29.07.2008
Сообщения: 47


СообщениеДобавлено: Пт Июл 31, 2009 11:23 pm    Заголовок сообщения: Ответить с цитатой

Странно што только щяс всьерёз о нем заговорили на Sunline.
Ранее была подобная тема, там же я узнал как с ним быть, теперь при каждой установке Windows ставлю защиту от него Smile
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
na[tu]raL
Новичок

Пол: Пол:муж



Репутация: 0    

Зарегистрирован: 29.04.2008
Сообщения: 87
Откуда: с Кривого

СообщениеДобавлено: Чт Авг 06, 2009 9:08 am    Заголовок сообщения: Ответить с цитатой

Обьясните на счет 3-го пункта по подробней.
просто ставить на "Автоматичисоке обновление" и все?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Zx81
Новичок

Пол: Пол:муж
Возраст: 28
Знак зодиака: Рак

Репутация: +6/–1    

Зарегистрирован: 21.11.2008
Сообщения: 43
Откуда: 2-Восточный

СообщениеДобавлено: Ср Сен 30, 2009 2:57 pm    Заголовок сообщения: Ответить с цитатой

Возникла проблемка. Я не могу просканировать ip адреса спикера и кс лук, и не могу зайти на локальные сайти такие как "Cнайпер" торрент.
Проверял, все службы всё в порядке, брандмауэр отключен. Проверял на вирусы всё чисто. Посоветуйте что делать? ip 10.100.40.62. Заранее благодарен.

Добавлено спустя 28 минут 41 секунду:

Я думаю что в моём компе сидит Kido, так как службы TCP/Ip отключены.Сейчас скачаю CureIt и проверю весь Пк.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
jameel
Системный администратор





Репутация: +6    

Зарегистрирован: 20.10.2008
Сообщения: 245


СообщениеДобавлено: Ср Сен 30, 2009 5:12 pm    Заголовок сообщения: Ответить с цитатой

Zx81 писал(а):
Возникла проблемка. Я не могу просканировать ip адреса спикера и кс лук, и не могу зайти на локальные сайти такие как "Cнайпер" торрент.
Проверял, все службы всё в порядке, брандмауэр отключен. Проверял на вирусы всё чисто. Посоветуйте что делать? ip 10.100.40.62. Заранее благодарен.

Добавлено спустя 28 минут 41 секунду:

Я думаю что в моём компе сидит Kido, так как службы TCP/Ip отключены.Сейчас скачаю CureIt и проверю весь Пк.


Включите подключение к Интернет. Без него никуда заходить не будет.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Zx81
Новичок

Пол: Пол:муж
Возраст: 28
Знак зодиака: Рак

Репутация: +6/–1    

Зарегистрирован: 21.11.2008
Сообщения: 43
Откуда: 2-Восточный

СообщениеДобавлено: Ср Сен 30, 2009 5:14 pm    Заголовок сообщения: Ответить с цитатой

jameel писал(а):
Zx81 писал(а):
Возникла проблемка. Я не могу просканировать ip адреса спикера и кс лук, и не могу зайти на локальные сайти такие как "Cнайпер" торрент.
Проверял, все службы всё в порядке, брандмауэр отключен. Проверял на вирусы всё чисто. Посоветуйте что делать? ip 10.100.40.62. Заранее благодарен.

Добавлено спустя 28 минут 41 секунду:

Я думаю что в моём компе сидит Kido, так как службы TCP/Ip отключены.Сейчас скачаю CureIt и проверю весь Пк.


Включите подключение к Интернет. Без него никуда заходить не будет.


Включал.

Добавлено спустя 1 минуту 54 секунды:

В моём Пк сидит кидо, я не могу подключить службы. Блокирует доступ на антивирусные сайты.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
kolom
Старожил





Репутация: +12/–1    

Зарегистрирован: 17.11.2006
Сообщения: 16777189


СообщениеДобавлено: Ср Сен 30, 2009 5:22 pm    Заголовок сообщения: Ответить с цитатой

Такое бывает,попроси у друга акк и попробуй зайти под ним!У тебя без нета заходит на стартовую,а когда подключаешь то нет?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
chih
Новичок

Пол: Пол:муж
Возраст: 28
Знак зодиака: Козерог

Репутация: 0    

Зарегистрирован: 01.01.1970
Сообщения: 30
Откуда: Восточный 2

СообщениеДобавлено: Ср Сен 30, 2009 7:39 pm    Заголовок сообщения: Ответить с цитатой

kolom писал(а):
Такое бывает,попроси у друга акк и попробуй зайти под ним!У тебя без нета заходит на стартовую,а когда подключаешь то нет?


у меня такая проблема! это значит у меня этот вирус сидит на компе?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Zx81
Новичок

Пол: Пол:муж
Возраст: 28
Знак зодиака: Рак

Репутация: +6/–1    

Зарегистрирован: 21.11.2008
Сообщения: 43
Откуда: 2-Восточный

СообщениеДобавлено: Чт Окт 01, 2009 5:46 pm    Заголовок сообщения: Ответить с цитатой

chih писал(а):
kolom писал(а):
Такое бывает,попроси у друга акк и попробуй зайти под ним!У тебя без нета заходит на стартовую,а когда подключаешь то нет?


у меня такая проблема! это значит у меня этот вирус сидит на компе?

Походу да, проверь Nodom или Dr.Web, должно найти.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
colin_mcray
Новичок

Пол: Пол:муж
Возраст: 27
Знак зодиака: Овен

Репутация: +12/–2    

Зарегистрирован: 01.08.2006
Сообщения: 347
Откуда: великий м-н Солнечный

СообщениеДобавлено: Вс Окт 04, 2009 3:40 pm    Заголовок сообщения: Ответить с цитатой

Мой комп постоянно атакуют эти черви. Скачал программу EConfickerRemover для НОДа, поместил на диск С, запустил, но результата нет (( )wind32/conficker worm has not been found active on this memory) Симптомы Кидо присутствуют: не могу покзать скрытые файлы в документах, на сайты часто не заходит, у компа вообще паранойя... Че его делать, а?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов Компьютерная сеть SunLine. Кривой Рог. Форум сети. -> Работа сети SunLine Часовой пояс: GMT + 2
На страницу 1, 2  След.
Страница 1 из 2

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах