Как бороться с Kido (aka Conficker и Downadup)?

ПредыдущаяСледующая
1174

В связи с большим количеством обращений пользователей «Лаборатория Касперского» подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup. Комментирует Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского».

Что такое Kido?

Kido представляет серьезную угрозу для всего интернет-сообщества. Эта вредоносная программа впервые была обнаружена в ноябре 2008 года. По оценкам "Лаборатории Касперского", в настоящее время Kido заражено не менее 5 млн. компьютеров. Эта сеть зараженных машин потенциально может стать самым мощным ресурсом киберпреступников в Интернете. Например, она может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).

Анализ функционала этой программы не исключал возможной активизации 1-го апреля гигантской зомби-сети (ботнета), находящейся под управлением авторов Кидо, однако в этот день эксперты "Лаборатории Касперского" не зафиксировали какой-либо активности в обмене данными между зараженными машинами и потенциальными центрами управления ботнетом. Тем не менее, по-прежнему нельзя исключать возможности активизации ботнета, при этом последующие за ним действия злоумышленников пока не поддаются прогнозированию. Анализ ситуации показывает, что, активизация ботнета может произойти в любой день, начиная с 1 апреля.

В чем опасность Kido?

Таким образом, созданная авторами Kido гигантская зомби-сеть (ботнет) потенциально может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).

До последнего времени Kido распространялся через компьютерные сети и сменные носители информации. В частности, он проникал на компьютеры, используя критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года. По мнению экспертов, на значительной части машин патч не был установлен на момент пика распространения Kido в январе. Этот фактор, а также игнорирование эффективной антивирусной защиты и привели к эпидемии: в настоящее время различными версиями Kido заражены, по меньшей мере, от 5 до 6 миллионов компьютеров, имеющих доступ в сеть Интернет. В последних версиях Kido отсутствует явная возможность самораспространения. Программа лишь пытается «укрепиться» на уже зараженных компьютерах.

Более подробную техническую информацию о том, как Kido проникает в операционные системы семейства Windows можно посмотреть по адресам:

В Kido реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д.

Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.

Как избежать заражения вредоносной программой Kido?

Продукты «Лаборатории Касперского» успешно блокируют проникновение всех версий Kido на компьютеры пользователей. Проверьте, что автоматические обновления не отключены и, в том случае, если у вас есть подозрение, что Kido уже мог проникнуть на компьютер, выполните сканирование всего компьютера с помощью Антивируса Касперского. Своевременная установка патчей для ликвидации уязвимости MS08-067, безусловно, является обязательной мерой для предотвращения заражения, однако установленное решение Kaspersky Internet Security не позволит использовать уязвимость даже на непропатченной операционной системе.

Как понять, что произошло заражение сети или компьютера?

При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Если вы подозреваете заражение своего компьютера, попробуйте открыть браузер и перейти на произвольную страничку любимого поискового движка. Если страница открылась — попытайтесь загрузить www.kaspersky.com или www.microsoft.com. Если этого сделать не удалось — то доступ к сайтам, скорее всего. блокирует вредоносная программа. Полный список ресурсов, заблокированных Kido, можно увидеть, например, здесь: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725.

Я – администратор локальной сети. Как мне быстрее и удобнее всего локализовать проблему?

Удаление сетевого вредоносной программы производится с помощью специальной утилиты KKiller.exe. С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

  1. Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001.
  2. Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
  3. Отключить автозапуск исполняемых файлов со съемных носителей.
  4. Остановить службу Task Scheduler (Планировщик Задач) в Windows.

Удаление вредоносной программы Kido утилитой KKiller.exe необходимо производить локально на зараженном компьютере.

Как бороться с Kido обычному пользователю домашнего компьютера?

Скачайте архив KKiller_v3.4.1.zip (152 КБ) и распакуйте его в отдельную папку на зараженной машине. Запустите файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y. Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

2 апреля 2009 Г.

18:52

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Asus готовит ноутбук-трансформер TP370QL на платформе Snapdragon и под управлением Windows 10: Asus TP370QL получит 13-дюймовый дисплей

В базе данных ЕЭК замечены камеры Canon EOS 2000D, 3000D, 4000D и M50: Выпуск камер Canon EOS 2000D, 3000D, 4000D и M50 можно ожидать в начале будущего года1

Смартфоны Google Pixel научились более точно прогнозировать время работы без подзарядки: Прогноз по времени работы вы найдете в соответствующем разделе настроек смартфона3

Цена грузовика Tesla Semi приятно удивила специалистов: В продажу Tesla Semi поступит в 2019 году43

Назван срок «ожидаемой доступности» объектива Sony FE 400mm F2.8 GM OSS: К сожалению, цена новинки пока остается неизвестной6

Обновление BIOS для системных плат ASUS подтвердило скорый выход процессоров Raven Ridge и Pinnacle Ridge: Выход этих процессоров ожидается не позднее февраля 2018 года

Агроэлектрификация: в Германии представлен электрический трактор Fendt e100 Vario: Массовое производство Fendt e100 Vario начнется только через год47

Samsung Electronics создаст центр разработки искусственного интеллекта: Где будет расположен новый исследовательский центр — пока неизвестно10

Беззеркальная камера Leica CL оснащена электронным видоискателем и поддерживает запись видео 4K: Leica CL на родине оценена в 2500 евро8

В Бразилии цена iPhone X начинается с отметки $2170: Столь высокая цена в Бразилии, в частности, объясняется 60-процентным налогом на импортированные товары стоимостью до $3000 22

Экран смартфона Samsung Galaxy S9 будет занимать 90% лицевой панели: Автор слуха утверждает, что нижняя рамка дисплея смартфона практически полностью исчезнет56

Цены на оперативную память увеличатся на 10-15% в текущем квартале: Компании Nanya Technology и Winbond Electronics благодаря росту цен на оперативную памяти смогли попасть в пятерку лучших поставщиков DRAM10

Consumer Report поставила максимальные 100 баллов кухонным плитам Samsung: Обозреватели, в частности, выделили светодиодную систему виртуального пламени, которая имитирует горение газовой конфорки42

Работа камеры OnePlus 5T будет улучшена при помощи обновления ПО: К сожалению, сроки выпуска обновления пока не сообщаются3

Бюджетный смартфон Uhans i8 получил систему распознавания лиц пользователей: Цена Uhans I8 составляет 130 долларов

Экшн-камера MGCool Explorer 3 будет поддерживать запись видео разрешением 4К при 30 к/с: При помощи специального чехла камера сможет выдерживать погружения на глубину до 30 м2

Eluga C — первый «полноэкранный» смартфон Panasonic: Над дисплеем находится только вырез громкоговорителя, а фронтальная камера переместилась на нижнюю панель7

Смартфон 360 N6 Pro может получить второй экран и два дактилоскопических датчика: Анонс новинки состоится 28 ноября4

Производитель называет Vernee Active лучшим защищенным смартфоном на рынке: Vernee Active оснащен аккумулятором емкостью 4200 мА•ч, разъемом USB-С, модулем NFC, поддерживается 18-ваттная быстрая зарядка5

997
1318

iXBT TV

  • Обзор проекционного документ-сканера Doko BS16

  • Обзор материнской платы Z370 Aorus Gaming 7 под процессоры Coffee Lake

  • Обзор аккумуляторной дрели-шуруповерта Bosch GSR 12V-15 FC Professional

  • Заводские экзоскелеты, обновление Firefox, слишком умные наушники

  • Репортаж с конференции Supercomputing 2017 (SC17), день 3: стенд группы компаний РСК

  • Репортаж с конференции Supercomputing 2017 (SC17), день 2: стенд Intel

  • Репортаж с конференции Supercomputing 2017 (SC17), день 1: рейтинг Top500

  • Обзор кинотеатрального DLP-проектора LG PF1000U со встроенным ТВ-тюнером

  • Камера Panasonic G9, унитазный робот, игровой смартфон, кепка для водителей

  • Обзор портативной беспроводной колонки Sven PS-460

  • Обзор напольного пылесоса Tefal Silence Force 4A TW6477 с одноразовыми мешками для сбора мусора

  • Обзор сверхширокоугольного зум-объектива Canon EF 16-35mm f/2.8L III USM

1212

Календарь

апрель
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать