Как бороться с Kido (aka Conficker и Downadup)?

1174

В связи с большим количеством обращений пользователей «Лаборатория Касперского» подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup. Комментирует Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского».

Что такое Kido?

Kido представляет серьезную угрозу для всего интернет-сообщества. Эта вредоносная программа впервые была обнаружена в ноябре 2008 года. По оценкам "Лаборатории Касперского", в настоящее время Kido заражено не менее 5 млн. компьютеров. Эта сеть зараженных машин потенциально может стать самым мощным ресурсом киберпреступников в Интернете. Например, она может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).

Анализ функционала этой программы не исключал возможной активизации 1-го апреля гигантской зомби-сети (ботнета), находящейся под управлением авторов Кидо, однако в этот день эксперты "Лаборатории Касперского" не зафиксировали какой-либо активности в обмене данными между зараженными машинами и потенциальными центрами управления ботнетом. Тем не менее, по-прежнему нельзя исключать возможности активизации ботнета, при этом последующие за ним действия злоумышленников пока не поддаются прогнозированию. Анализ ситуации показывает, что, активизация ботнета может произойти в любой день, начиная с 1 апреля.

В чем опасность Kido?

Таким образом, созданная авторами Kido гигантская зомби-сеть (ботнет) потенциально может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).

До последнего времени Kido распространялся через компьютерные сети и сменные носители информации. В частности, он проникал на компьютеры, используя критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года. По мнению экспертов, на значительной части машин патч не был установлен на момент пика распространения Kido в январе. Этот фактор, а также игнорирование эффективной антивирусной защиты и привели к эпидемии: в настоящее время различными версиями Kido заражены, по меньшей мере, от 5 до 6 миллионов компьютеров, имеющих доступ в сеть Интернет. В последних версиях Kido отсутствует явная возможность самораспространения. Программа лишь пытается «укрепиться» на уже зараженных компьютерах.

Более подробную техническую информацию о том, как Kido проникает в операционные системы семейства Windows можно посмотреть по адресам:

В Kido реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д.

Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.

Как избежать заражения вредоносной программой Kido?

Продукты «Лаборатории Касперского» успешно блокируют проникновение всех версий Kido на компьютеры пользователей. Проверьте, что автоматические обновления не отключены и, в том случае, если у вас есть подозрение, что Kido уже мог проникнуть на компьютер, выполните сканирование всего компьютера с помощью Антивируса Касперского. Своевременная установка патчей для ликвидации уязвимости MS08-067, безусловно, является обязательной мерой для предотвращения заражения, однако установленное решение Kaspersky Internet Security не позволит использовать уязвимость даже на непропатченной операционной системе.

Как понять, что произошло заражение сети или компьютера?

При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Если вы подозреваете заражение своего компьютера, попробуйте открыть браузер и перейти на произвольную страничку любимого поискового движка. Если страница открылась — попытайтесь загрузить www.kaspersky.com или www.microsoft.com. Если этого сделать не удалось — то доступ к сайтам, скорее всего. блокирует вредоносная программа. Полный список ресурсов, заблокированных Kido, можно увидеть, например, здесь: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725.

Я – администратор локальной сети. Как мне быстрее и удобнее всего локализовать проблему?

Удаление сетевого вредоносной программы производится с помощью специальной утилиты KKiller.exe. С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

  1. Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001.
  2. Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
  3. Отключить автозапуск исполняемых файлов со съемных носителей.
  4. Остановить службу Task Scheduler (Планировщик Задач) в Windows.

Удаление вредоносной программы Kido утилитой KKiller.exe необходимо производить локально на зараженном компьютере.

Как бороться с Kido обычному пользователю домашнего компьютера?

Скачайте архив KKiller_v3.4.1.zip (152 КБ) и распакуйте его в отдельную папку на зараженной машине. Запустите файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y. Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

2 апреля 2009

18:52

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Поисковик Google теперь будет предоставлять короткие превью для видеороликов: Поисковая система Google сможет показывать превью-видео2

Смартфон HomTom S8 также копирует дизайн Samsung Galaxy S8: Цена устройства составит 190 долларов6

Процессоры Intel Core восьмого поколения не будут дороже актуальных CPU: Intel не поднимет цены на CPU при выходе Coffee Lake16

AMD пока не может гарантировать наличия в магазинах видеокарт Radeon RX Vega 64 по рекомендованным ценам: AMD призналась в дефиците карт Vega 13

Смартфон Xiaomi Redmi Note 5A первым в серии получит два выделенных слота для SIM-карт и слот для карты памяти: Одна из версий Xiaomi Redmi Note 5A получит фронтальную камеру разрешением 16 Мп со светодиодной вспышкой4

Hyundai сконцентрируется на электромобилях вместо машин на топливных элементах : Hyundai увеличит объёмы выпуска электромобилей2

Samsung Pay отмечает два года, сумма платежей составила $8,77 млрд: Samsung Pay в данный момент работает в 18 странах мира8

Samsung готовится к глобальному запуску Bixby: Персональный помощник по-прежнему недоступен во многих странах мира1

Умные кроссовки Xiaomi Free Tie Leather оценены в $30: Кроссовки оснащены светодиодной подсветкой, процессором, а также модулем Bluetooth 4.010

Семейство 3D-карт Colorful iGame Vulcan X пополнили модели GTX 1080 Ti, GTX 1080, GTX 1070 и GTX 1060: Общей чертой этих 3D-карт является система охлаждения, в кожух которой встроен жидкокристаллический индикатор3

Конструкция компьютерного корпуса Thermaltake View 71 Tempered Glass Edition включает четыре панели из закаленного стекла: Цену новинки производитель не называет3

ВИКТОРИНА ASUSTOR

Процессор с какой архитектурой установлен в ASUSTOR AS6302T, благодаря которому производительно выросла на 30% по сравнению с прошлым поколением?
1318

iXBT TV

  • Обзор легкой, компактной и дешевой мясорубки Kitfort KT-2101 Carnivora

  • Обзор беззеркальной фотокамеры Fujifilm X-T20

  • Обзор кинотеатрального DLP-проектора BenQ W11000 с эмуляцией разрешения 4К

  • AMD Ryzen Threadripper 1920Х и 1950X — тестирование 12-ядерного и 16-ядерного процессоров

  • Обзор мини-ПК ECS Liva Z на базе процессора Apollo Lake

  • Самый лучший процессор, неудачи Microsoft, гибкие наушники Samsung

  • Обзор цветного МФУ Xerox VersaLink C405 для малых и средних офисов

  • Обзор умного чайника Redmond SkyKettle RK-G200S с подсветкой и нагревом воды до нужной температуры

  • Конфигурируем мини-ПК: изучаем влияние памяти и накопителя на быстродействие системы

  • 3D-карты AMD Radeon RX Vega, цены, спецификации, смартфон Meizu Pro 7

  • Обзор лазерного цветного МФУ Canon imageRunner Advance C3520i, младшего в новой линейке

  • Обзор робота-пылесоса iBoto Aqua V710 с функцией влажной уборки

1212

Календарь

апрель
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать