Net-Worm.Win32.Kido він же Downadup він же Conficker

Наша взаимовыгодная связь https://banwar.org/

Нещодавно вибухнула епідемія. Близько 10 мільйонів комп'ютерів було заражено даними зловредів, велика частина з заражених комп'ютерів припала на Росію. Епідемія розросталася, цим самим на початку дуже перейнялася своїми темпами зараження всіх. Вірус використовував уразливість Windows. 23 жовтня майкрософт випустив оновлення безпеки, яке орієнтоване на закриття лазівки через яку проникає вірус на комп'ютер. Хоча оновлення вийшло в кінці жовтня, основний пік зараження припав на січень.
Кожна копія вірусу синхронно генерує 250 доменних імен і намагається зв'язатися з відповідними серверами.
Поки сильної деструктивної діяльності крім процесу розмноження і впровадження свого коду в адресний простір одного із запущених системних процесів svchost.exe, що тягне за собою відключення відновлення системи і блокування ряду адрес, виключення оновлення антивіруса встановленого на зараженій машині не виявлено.
Але є дуже неприємний момент. Даний вірус здатний завантажувати з деяких адрес деякі файли і прописувати їх в Windows (% System%) не приховуючи свого імені і ту ж запускати на виконання. Ось це вже самий тривожний симптом, який свідчить про те, що на вашому комп'ютері відкриті ворота, а ось що в ці ворота пролізе через чергові модифікації залишається гадати.
Настав час поговорити про основні симптоми, які викликають віруси даного сімейства.
Почнемо з того, що даний зловредів встановлює свій виконуваний файл, тобто тіло в
<Буква диска> \ RECYCLER \ S-5-3-42-2819952290-8240758988-879315005-3665 \ випадкова послідовність символів, так само в корінь диска вірус встановлює свій супроводжуючий файл <буква диска>: \ autorun.inf за допомогою якого викликається саме тіло вірусу.
Основним і першим симптомом зараження є неможливість перегляду прихованих файлів на комп'ютері. Вірус створює після запуску архівний системний файлик з атрибутами прихований і тільки для читання, ось саме цим відключенням прихованих файлів він себе і вкриває в системі.
Ще одним симптомом є збільшення мережевого трафіку. Атакує по 445 або 139 TCP портів, тобто підвищена активність саме на цих портах
Ще один неприємний симптом - це відключення вірусом прав адміністратора на редагування свого файлу, залишаючи йому тільки права читання. Через це багато спроб видалити вірус закінчувалися невдачею, так як він знову відновлював себе.
Наступним симптомом є те, що вірус створює правило винятку себе для фаервола. Ці виключення можна видалити з налаштувань фаєрвола надалі.
Загалом при всій простоті укриття черв'як досить сильно веселиться в реєстрі, і навіть після повного видалення він може залишати сліди в Temporary Internet Files.
Але не все так погано. Нарешті вендори антивірусного ПО струснулися від заціпеніння і почали боротьбу. Лабораторія Касперського і ESET випустили спеціальні утиліти для лікування саме цього типу вірусів. Дані утиліти примітні тим, що їх можна запускати на вже зараженої машині, коли основний антивірус вже не справляється.
Лабораторія Касперського випустила утиліту kidokiller.exe.
Для сканування і лікування треба завантажити утиліту пряме посилання на скачування з лабораторії Касперського розпакувати і запустити, бажано з ключем з ключем -y. Якщо запустити без цього ключа, то для закриття активного вікна командного рядка доведеться натиснути будь-яку клавішу. З ключем вікно закриється автоматично після роботи. Для тих, у кого встановлений Agnitum Outpost Firewall потрібно ребут після роботи утиліти.
Компанія ESET теж уже випутіла утиліту по боротьбі з даним вірусом. Утиліта називається EConfickerRemover.exe Пряме посилання на скачування з eset.com
Поки вдалося зупинити епідемію вірусу, тепер його поширення не так активно. Будемо сподіватися на краще. Установіть Оновлення безпеки від майкрософт, закрийте порти 445 і 139 TCP на вхід і вихід, і не "хворійте", тому що краще запобігти ніж лікувати.
часткове або повне копіювання даного матеріалу без посилання на джерело вкрай не бажано