w Armada Group - Мультиигровой Клуб
Категории
Test Drive Unlimited Solar Crown [1]
Новости Test Drive: Ferrari Legends [1]
Новости TDU2 [34]
НАШИ новости [43]
Это интересно [84]
Сетевые новости [57]
Автоновости [417]
Новости софта [48]
Новоcти железа [90]
Игровые новости [118]
Вход
Логин:
Пароль:
Чат
Новые комментарии
28.06.2020
От: Grzesiu 23:14
28.06.2020
От: Dmitrijs 10:10
28.06.2020
От: Grzesiu 00:22
Поиск
Статистика


Сейчас на сайте:
Онлайн всего: 1
Гостей: 1
Пользователей: 0

Сегодня были:
zamorochka
Главная » 2010 » Январь » 23 » Опасный вирус Kido
Опасный вирус Kido
14:40, 23.01.2010
В связи с большим количеством обращений пользователей "Лаборатория Касперского" подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup. Комментирует Виталий Камлюк, ведущий антивирусный эксперт "Лаборатории Касперского".

Что такое Kido?

Вредоносная программа Kido представляет на данный момент серьезную угрозу для всего интернет-сообщества. Миллионы компьютеров, зараженных Kido, потенциально могут стать самым мощным ресурсом кибепреступников в Интернете. Эта вредоносная программа впервые была детектирована в ноябре 2008 года. Ее активизация ожидается 1 апреля: ботнет Kido начнет искать центр управления среди 50 000 доменов в день (ранее он подключался лишь к 250 доменам) и загружать на компьютеры пользователей новые версии других вредоносных программ. Последующие за этим действия злоумышленников на настоящий момент не поддаются прогнозированию.

В чем опасность Kido?

Таким образом, созданная авторами Kido гигантская зомби-сеть (ботнет) потенциально может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).

До последнего времени Kido распространялся через компьютерные сети и сменные носители информации. В частности, он проникал на компьютеры, используя критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года. По мнению экспертов, на значительной части машин патч не был установлен на момент пика распространения Kido в январе. Этот фактор, а также игнорирование эффективной антивирусной защиты и привели к эпидемии: в настоящее время различными версиями Kido заражены, по меньшей мере, от 5 до 6 миллионов компьютеров, имеющих доступ в сеть Интернет. В последних версиях Kido отсутствует явная возможность самораспространения. Программа лишь пытается укрепиться на уже зараженных компьютерах.

В Kido реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д.

Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.

Как избежать заражения вредоносной программой Kido?

Продукты "Лаборатории Касперского" успешно блокируют проникновение всех версий Kido на компьютеры пользователей. Проверьте, что автоматические обновления не отключены и, в том случае, если у вас есть подозрение, что Kido уже мог проникнуть на компьютер, выполните сканирование всего компьютера с помощью Антивируса Касперского. Своевременная установка патчей для ликвидации уязвимости MS08-067, безусловно, является обязательной мерой для предотвращения заражения, однако установленное решение Kaspersky Internet Security не позволит использовать уязвимость даже на непропатченной операционной системе.

Как понять, что произошло заражение сети или компьютера?

При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Если вы подозреваете заражение своего компьютера, попробуйте открыть браузер и перейти на произвольную страничку любимого поискового движка. Если страница открылась — попытайтесь загрузить www.kaspersky.com или www.microsoft.com. Если этого сделать не удалось — то доступ к сайтам скорее всего блокирует вредоносная программа. Полный список ресурсов, заблокированных Kido, можно увидеть, например, здесь: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725

Я – администратор локальной сети. Как мне быстрее и удобнее всего локализовать проблему?

Удаление сетевого вредоносной программы производится с помощью специальной утилиты KKiller.exe. С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер: Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001. Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

Отключить автозапуск исполняемых файлов со съемных носителей. Остановить службу Task Scheduler (Планировщик Задач) в Windows. Удаление вредоносной программы Kido утилитой KKiller.exe необходимо производить локально на зараженном компьютере.

Как бороться с Kido обычному пользователю домашнего компьютера?

Скачайте архив KKiller_v3.4.1.zip и распакуйте его в отдельную папку на зараженной машине. Запустите файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y. Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Источник: http://www.securitylab.ru
Категория: Сетевые новости |Просмотров: 1258 | Добавил: PAZITIV | Рейтинг: 5.0/3
Всего комментариев: 7
0     Спам   30.01.2010
фаервол на что? я пользуюсь тыреном кооперативным продуктом, думаю не пропустит :D да и если что то дёрнуть кабель да и всё, ну и компы для атак используются, вдруг будут атаковать сайт пентагона или кремля, яж гордость почувствую что мой комп участвовал в этом :D

+2     Спам   27.01.2010
Оливка, ты чего. Он же не активирован еще. Зачем то они эту ботсеть делают. А потом когда твой комп под чьим-то управлением это разве хорошо..

0     Спам   26.01.2010
а в чём собсно его опасность для юзера? подумаешь полчастика с твоего компа подосят. а то что на каспер и майкрасофт не заходит, так не велика потеря. хотя у кого медленная лимитка ощутит потерю в скорости и денег

0     Спам   23.01.2010
У меня такая фигня сидела... Собсна по етой причине и проинформировал всех ;)

+1     Спам   23.01.2010
для меня она была актуальна год назад) ща уже норм, аваст ловит)

+1     Спам   23.01.2010
После его удаления и установки обновлений безопасности он уже не лезет, а вот в 2000-ом это проблема, там дыра не закрыта, и он моментально садится при выходе в инет. <_<

+2     Спам   23.01.2010
Актуальная тема. ^_^

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
ARMDGroup.ru - это открытый ресурс, позволяющий публиковать материалы любому пользователю. Администрация не несет ответственности за опубликованные пользователями материалы. Любой материал может быть удален по просьбе автора при предъявлении сканированных копий документов, подтверждающих авторские права на конкретный материал.
Все, не помеченные авторством, материалы являются эксклюзивными для данного сайта. При копировании материалов гиперссылка на ARMDGroup.ru обязательна!
Вся символика и дизайн Клуба являются собственностью ARMDGroup.ru и не могут быть использованы где-либо, как полностью так и частично.
Сайт управляется системой uCoz. Дизайн ARMDGroup. Copyright © ARMDGroup.ru 2008-2024