Главная » Статьи » Безопасность компьютера » Вирусы и борьба с ними

Вирус кидо, виндоус заплатки от вирус Кидо, лечение вирус кидо, Кидо вирус тоже что и Conficker, Downadup, Autorunner.5555, Shadow.based

Вирус Кидо (KIDO), скачать заплатки от кидо, Кидо вирус тоже что и Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based

Вирус КИДО нахождение, уничтожение и профилактика, windows заплатки от вирус Кидо, лечение вирус Кидо вирус

kido известный под разными именами (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based и т д) и во множестве вариациях, Kido был обнаружен впервые ещё осенью прошлого года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows.

Действия вируса кидо

Помимо атаки на «дырявый» сервис, Вирус Кидо умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители («флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, вирус кидо отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов и спокойно занимается лавинным размножением. Благодаря изощренной механике Кидо заразил к настоящему моменту более девяти миллионов машин и продолжает прогрессировать. Данная вредоносная и очень не беспечная программа, по мнению F-Secure создана для формирования бот-сетей с целью извлечения из нее прибыли или пакетной продажи. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет. Также, «Создатели этого вируса kido еще по-настоящему не использовали его. Но они могут в любой момент сделать с зараженными машинами все, что захотят», — говорит главный советник по вопросам безопасности все того же F-Secure - Патрик Руналд (Patrik Runald).

Сетевой червь kido, распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован kido при помощи UPX.

Распространение при помощи сменных носителей

Вирус кидо копирует свой исполняемый файл на все съемные диски со следующим именем:

<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\<rnd>.vmx, где rnd – случайная последовательность строчных букв, X – буква съемного диска.

Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:

<X>:\autorun.inf

Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Деструктивная активность

При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов "svchost.exe". Внедренный код выполняет основной деструктивный функционал червя:

отключает службу восстановления системы;
блокирует доступ к адресам, содержащим следующие строки:
indowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus

Также червь скачивает файл по следующей ссылке:

http://trafficconverter.biz/*****/antispyware/loadadv.exe

Скачанный файл сохраняется в системный каталог Windows (%System%) с оригинальным именем и запускается на выполнение. На момент создания описания указанная ссылка не работала.

Также червь может скачивать файлы по ссылкам вида:

http://<URL>/search?q=<%rnd2%>

где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату вирус Кидо запрашивает с одного из следующих сайтов:

http://www.w3.org
http://www.ask.com
http://www.msn.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com

Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.

При заражении компьютера червь kido запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Вирус кидо получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого вирус кидо отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя kido и запускает его. После чего происходит инсталляция вируса kido на атакуемой машине.

Симптомы Заражения и буйствия вируса:

- отключена служба восстановления системы;
-заблокирован доступ к адресам сайтов вирусной безопасности;
- невозможно включение отображения скрытых папок в Documents and Settings;
-в локальной сети настает непомерный объем сетевого трафика.

Лечение гада (вируса Кидо):

Отключить компьютер или все компьютеры от локальной сети, отключить автозапуск сменных носителей и применить одно из решений:
Решение 1 от Лаборатории Касперского
Решение 2 от Компании «Доктор Веб»
Далее установить 3 заплатки 2 на Windows XP2 и одну Windows XP3:

MS08-067
MS08-068
MS09-001

Атаки kido с зараженных компьютеров будут продолжаться и дальше поэтому установите если у вас еще нет -антивирус ( в настоящий момент все антивирусы на него реагируют) и специальный софт для блокирования любой заразы поступающей с "флэшек" или съемных дисков.

Пакет состоящий из трех заплаток от Microsoft для Windows XP2/XP3 RUS и двух специальных бесплатных утилит от Лаборатории Касперского и Компании «Доктор Веб» - Dr.Web CureIt!® от 01.02.2009г и KidoKiller v.3.4 единым пакетом для пользователей :

Скачать : Пакет утилит и отрава для КИДО

Первый признак заражения kido - это когда вы не можете зайти на официальный сайт Лаборатории Касперского.

Самый простой способ лечить комп от Kido.bt (.wd .ws .wr .dd .fd .df .ss):
1 Вставляете флэшку в комп (желательно отформатированную, чтобы на ней небыло папки Recycler , дальше узнаете почему)
2 На флэшке появляется папка Recycler (если у Вас Kido то он в любом случае лезит на флэшку - один из способов распространения)
3 В этой папке Recycler находим файл (он там один в опять же в отдельной папке)
4 Через Total Commander определяем длину файла в байтах
5 Опять же через Total Commander ищем в папке System | System32 файл именно той длинны (обязательно в байтах)
6 Все нашедшие файлы сносим (только ВНИМАТЕЛЬНО смотрим какие файлы удаляем, потому как эта зараза, особенно Kido.ss, имеет свойство подстраиваться под системные файлы)

Кидо действует как бомба! Он срабатывает не сам по себе а только при каком-то действии,каком сам черт знает!

ВНИМАНИЕ! Если Касперский обнаружил kido на вашем компе, но когда вы вставляете флэшку и после нескольких попыток на флэшке нет папки Recycler с файлом внутри, то должен Вас огорчить!!! Вирус кидо МОДИФИЦИРОВАЛСЯ! И отловить его становится уже не реально.

Остается только Format C: D: E: ... только форматировать надо все диски , а не только на котором операционая система, что поделать другого выхода нет, иначе после форматирования , например , только диска С, и установки на нем винды, после запуска он перелезет с зараженых дисков на С, такая уж у него спицификация, поражать все куда только можно пролезть и сохранить свое тело.

Есть еще способ удаления сетевого червя Кидо ( для более опытных, так как изменив в реестре что то не то, можно распрощаться с операционной системой)

Рекомендации по удалению Вируса Кидо

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления воспользуйтесь специальной утилитой и рекомендациями по удалению, которые можно скачать по следующей ссылке:

Лекарство от вируса Кидо

либо выполните следующие действия:

Удалить ключ системного реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
Удалить строку "%System%\<rnd>.dll" из значения следующего параметра ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"
Перезагрузить компьютер
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:
%System%\<rnd>.dll, где <rnd> - случайная последовательность символов.
Удалить следующие файлы со всех съемных носителей:
<X>:\autorun.inf
<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\.vmx, где vmx – случайная последовательность строчных букв, X – буква съемного диска.
Скачать и установить обновление операционной системы по следующей ссылке: www.microsoft.com
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать полную версию).

Категория: Вирусы и борьба с ними | Добавил: softek (2009.04.15) | Автор: Вирус Кидо и методы борьбы с ним.

Просмотров: 22119 | Комментарии: 34 | Теги: ESET NOD32, PC Tools Internet Security, Антивирус, Kido | Рейтинг: 10.0/9

Всего комментариев: 34

1 2 »

Порядок вывода комментариев:

1 softek (2009.05.04 19:17) [Материал]

Сам осенью подхватил вирус кидо, применял эти способы и антивирус Касперского, сейчас пользуюсь последней Нод, тоже защищает неплохо, а самый большой плюс, что она вечная, ключи на каспера задолбаешься искать постоянно, а эта на 10 лет, мин.

2 softek (2009.05.28 14:04) [Материал]

kav и kis 2010 можете скачать тут Самые последние Антивирусы Касперского с ключами- одним набором. Пока пользуйтесь месяц бета версией, а я за это время найду ключи к Каперскому 2010

3 softek (2009.05.29 01:14) [Материал]

После того, как программой будут отсканированы необходимые папки, нужно перезагрузить компьютер, обновить базы данных антивирусной программы и запустить полную проверку ПК на наличие вирусов.

4 softek (2009.07.23 17:32) [Материал]

Решение удаления сетевого червя вирус Кидо лабораторией Касперского, - считаю самым эффективным и продуктивным, так как мое мнение , что сам Касперский его и создал, дабы улучшить свои продажи антивирусных продуктов. Потому как если это были хакеры, то они уже давно бы воспользовались таким совершенным, на сегодняшний день, сетевым вирусом , как Кидо, посерьезному, а не просто портя операционные системы.

5 softek (2009.07.27 05:09) [Материал]

Пишите здесь у кого какие проблемы возникли или может просто подозрения на вирус Кидо, совместными усилиями победим сетевого гада.

6 Владимир (2009.07.29 09:43) [Материал]

Привет! на работе подхватили этот вирус. компов 25. разлесся по сети как гад. невозможно удалить. я что только не пробовал. поставил везде доктор веб, пролечил кидокиллером и фиксдовнлоадап(по моему так), поставил пакеты обновления на виндовс. вообщем пролечу касперским или доктором вебом просит перезагрузить перезагружаю И ВИРУС ОПЯТЬ В ТЕХ ЖЕ папках ЧТО ЛЕЧИЛ ЧТО НЕТ. дома стоит НОД 32 ГДЕ Я ТОЛЬКО НЕ ЛАЗИЛ И С РАБОТЫ ФЛЕШКИ ПРИНОСИЛ А ВИРУСА НЕТ. вот так а КАСПЕРСКИЙ его пропускает нагло. и у нода лучше защита. он блокирует сайт сразу не открыть даже страничку пишет вирус И НЕ ДАЕТ НИЧЕГО СКАЧАТЬ а касперский только при скачке заругается или при открытии страниц. я СЧИТАЮ ЛУЧШИЙ НОД 32 ТОЛЬКО ПОСЛЕДНЯЯ ВЕРСИЯ. версия 2,7 такой ОТСТОЙ У МЕНЯ ОНА НЕ ТО ЧТО киду а все ранее известные вирусы пропускала. НОД ; версии ЭТО ВЕЩЬ.

ЧТО С КИДОЙ ДЕЛАТЬ НЕ ЗНАЮ. порты на серваке закрыть нельзя. И выскакивает у сотрудников ваша учетная запись заблокирована. помогает сбрость блокировку на серваке. это на целый день.

8 softek (2009.08.28 02:02) [Материал]

Сори за поздний ответ (не приходило оповещение). Насчет Нод спорить не буду, что каспер что нод неплохие антивирусы, каждый хорош по своему, у меня щас 3ка нод за кидо я забыл, но в тоже время у меня винда seven , в которую вмонтировано хорошее средство от вирусов. Кидо я ловил раньше ни один раз, и почти всегда помогал антикидо (сначало кидокиллером, потом сразу же антивирусом (или нод или каспер), получается анти кидо ослабляет защиту вируса кидо и антивирус отлично бореться.

Но в вашем случае поможет только или ручное удаление всех подозрительных папок (описанных в статье выше) только специалистом:

1. Удалить ключ системного реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
2. Удалить строку "%System%\<rnd>.dll" из значения следующего параметра ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"
3. Перезагрузить компьютер
4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
5. Удалить файл:

%System%\<rnd>.dll, где <rnd> - случайная последовательность символов.
6. Удалить следующие файлы со всех съемных носителей:

<X>:\autorun.inf
<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\.vmx, где rnd – случайная последовательность строчных букв, X – буква съемного диска.
7. Скачать и установить обновление операционной системы по следующей ссылке: www.microsoft.com
8. Произвести полную проверку компьютера антивирусом

- или переустановка винды (если есть возможность поставьте seven , рекомендую). Когда будете после установки винды опять переносить с носителей информацию, сначала проверяйте визуально (если не файлы винды, то папки RECYCLER быть не должно, если есть то это 100% файлы вируса кидо. И самое главное перед записью с носителей, отключите авторан, чтобы носители не воспроизводились до того как вы проверите их антивирусом.

10 softek (2009.08.28 02:18) [Материал]

Есть еще вариант распространения Кидо, после удаления - это зараженные компьютеры ваших клиентов, возможно у вас свободный доступ, поэтому лечить надо все сразу. Стоит отключить все машины (между собой) и лечить по одиночке сначало одну потом другую, при этом закрыть доступ к интернету, так как если вы оставите где то часть вируса он снова восстановиться. Так что пока полностью не излечите ни какого выхода в интернет( иначе лечение будет на смарку)

У меня касперский 8 лечил кидо около 5 дней, вирус размножался - каспер убивал, и так пока вообще все части не убил.

Если поставите windows 7, не вздумайте установить Касперского, пока все версии антивируса не совместимы с seven, антивирус убивает винду так , что восстановить не представляет возможным. Нод тоже не очень совместим , но работает нормально. Если взяться, то ни одного теперешнего антивируса совместимым полностью с windows 7 -нет. Пока нет))

7 miamix (2009.08.12 17:03) [Материал]

Здравствуйте!у меня есть подозрение на вирус кидо но я не уверен что это он именно подозрения такие:при открывании флешь карты все нормально антивирусник молчит но при открывании какойлибо папки начинает орать найден вирус пишет что троян иногда червь.пытаюсь удолить пишет что носитель защищен от записи=(и никаких действий я предпринять немогу.при сконировании флешки антивирусником начинает заподать и я заметил что он проверяет одну и туже папку с файлами нисчисленное множество раз.если можно подскажите что можно сделать?буду очень признателен!заранее огромное спасибо!если незатруднит ответь те на мыло miamix@mail.ru.

9 softek (2009.08.28 02:05) [Материал]

если еще актуально, какая у вас ОС? и какой антивирус? и какие файлы у вас на флешке( есть ли кряки и кейгены)?

И есть ли среди файлов папка RECYCLER

11 Сара (2009.10.06 00:42) [Материал]

А Вы не пробовали PC Tools Spyware Doktor? Он у меня дважды ловил кидо, принесённый с работы. Только вот теперь, почитав, что люди пишут, я не уверена, убил ли он гада до конца? Что Вы можете сказать по этому поводу? Если возможно, напишите мне, пожалуйста, на п/я sion07@bk.ru

12 softek (2009.10.06 03:42) [Материал]

Если честно, то уверенности что антивирусы убивают его до конца - нет.
если остается хоть "кусочек", то при удачной попытке связаться со своим сервером, он восстановится. Полностью убить и быть уверенным, можно только отформатиров все жесткие диски.

Сейчас такая же проблема, вроде убит, а все равно через время опять показывает что есть.

13 Apocalypse (2009.10.28 13:18) [Материал]

Буквально вчера столкнулся с Кидо... Не знаю, какая версия, но совместными усилиями с моим другом мы всё-таки избавились от кидо. Вчера поставил этому самому другу windows 7 7600 ultimate. Поставил kaspersky antivirus 8 fow windows workstation for windows seven(7) beta. Антивирус мощнейший и не дал кидо проникнуть на машину, но и убить самого кидо не смог (Кидо сидел на флешке, которую вставили после завершения установки всех программ и антивирусоа)

Каспер показал пути до исполняемых файлов кидо, я добрался до этих файлов (В том числе recycler, autorun.inf) но удалить их не представлялось возможным, так как выходила ошибка, указывающая на то, что диск защищён от записи. (Другие файлы спокойно перемещались и удалялись)

Я решил испробывать один метод, который использовал раньше для неудаляемых файлов других типов - программу unlocker

После установки Анлокера я просто щёлкал правой кнопкой по нужной папке/файлу, содержащим вредоносный код и выбирал Unlocker assistent. Далее я просто выбирал команду "Удалить файл"

Анлокер без проблем снёс все интересующие меня файлы и папки, параллельно разблокировав процессы, мешающие удалению файлов

Вот такие пироги... С тех пор флешка чиста, как капля воды :)

14 Ksunchik (2009.12.30 11:10) [Материал]

Люди,подскажите пожалуйста. способен ли вирус кидо восстанавливать ссылки,которые открывались полгода назад.т.е в марте открывали ссылку,и в октябре эта ссылка снова появилась.или на интернет и страницы открывающиеся это не влияет?

15 softek (2010.01.10 19:49) [Материал]

ну если куки остались и не чистили, то точно может, а там кто его знает, возможности кидо еще не выяснены до конца.

1-10 11-20

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]