|
Информация о вирусе
Вирус Net-Worm.Win32.Kido.bx
(название у Касперского) пытается собирать данные
пользователей и отправлять их в Интернет, используя
уязвимость в коде Windows, описанную в бюллетене MS08-067.
При неправильных попытках подбора пароля срабатывает
правило политики безопасности - временно блокируется (lock
out) учетная запись, подвергшаяся атаке. Связь с Интернетом
и распространение между объектами вредоносный код пытается
осуществлять по порту 445. Сам вирус прячется под разными
именами (обычно в виде DLL или графических файлов во
временных папках Интернета) чаще всего в
c:\windows\system32\
Вред, наносимый действиями
вируса
• Остановка доступа к некоторым общим
дискам;
• Произвольная блокировка доменных
аккаунтов;
• Нестабильная работа серверов и
рабочих станций.
Превентивные меры и лечение
вируса
Мы заблокировали порт 445. Но это действие,
должно быть обдумано, так как может быть ваши приложения
его используют.
На всех серверах и рабочих станциях
должно обязательно стоять обновление Microsoft KB958644.
Если речь идет о рабочих станциях Windows XP с
установленным SP3, то нет необходимости в отдельной
установке этого обновления.
Процесс излечения
зараженной машины:
1. Запустить утилиту GMER.EXE и
удалить подозрительные службы с ее помощью. К
подозрительным относятся службы, которые утилита выделяет
красным цветом, названия служб представляют собой набор
латинских строчных латинских символов. На запрос утилиты о
сканировании всей системы отвечаем «No».
Удаление службы осуществляем, выбирая “Delete
service” в контекстном меню, вызываемом нажатием
правой клавиши мыши.
Если при удалении возникает
сообщение о невозможности удаления – это означает,
что соответствующий ключ уже удален из реестра для верности
можно запустить GMER.EXE еще раз. Такая ситуация возможна,
если найдено больше одной проблемной службы.
2.
Во время работы утилиты GMER.EXE проверяем, установлен ли
на машине патч KB958644:
Заходим в Панель
управления/Установка и удаление программ, устанавливаем
галку «Показывать обновления», проверяем
наличие установленного апдейта:
Если не
установлен – ставим его. Сразу после установки не
перегружаем машину до завершения процедуры – см.
ниже.
3. Проверяем, активен ли вирус в данный
момент. Во время своей активной работы вирус пытается
установить соединения по 445-му порту с различными хостами
Интернета. Результат команды netstat –n –b|
more (или просто netstat –n –b)
4.
Останавливаем процесс svchost.exe, пытающийся установить
соединение. Номер процесса виден в окне с результатом
работы команды netstat в правой колонке.
Для этого
запускаем taskmgr, View/Select columns – ставим галку
для колонки с ID процесса (PID)
И «убиваем»
дерево процессов, соответствующее проблемному процессу.
Завершение работы служб может потребовать некоторого
времени – до 30-40 секунд.
Как альтернативу
стандартному менеджеру процессов можно использовать
procexp.exe, позволяющую увидеть расширенную информацию по
процессам, работающим в системе.
5. После
остановки проблемного процесса svchost.exe Антивирус
Касперского сможет распознать и обезвредить вирус.
Запускаем сканирование критичных областей системы или
сканирование диска, на котором установлена ОС Windows.
6. После удаления вируса нужно перезагрузить
зараженную машину и запустить полное сканирование системы.
На шаге 5 процедуры в некоторых случаях мгновенное
удаление тела вируса невозможно – Касперский сначала
опознает его и через некоторое время удаляет.
Также
замечены случаи, когда Касперский самостоятельно не может
удалить вирус, выводя соответствующее сообщение.
В
этом случае можно попытаться удалить его самостоятельно:
Удалить файл, созданный троянцем в каталоге:
%SYSTEM%\<название_файла>.dll
(%SYSTEM% в
большинстве случаев C:\Windows\System32)
Посмотреть
имя файла можно в ключе:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll
Удалить ветку реестра
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
И/ИЛИ
ветку с HKLM\SYSTEM\CurrentControlSet\Services\«имя
вируса».
Дополнительная информация по
вирусу
Method of Infection :
When executed,
Win32/Conficker.A creates a copy of itself in the %System%
directory with a random filename.
Win32/Conficker.A
checks whether the compromised machine is using the Windows
2000 operating system. If so, the worm injects its code in
the "services.exe" process.
If the
operating system is not Windows 2000, the worm creates a
service with the following characteristics:
Service
name: netsvcs
Path to executable: %System%\svchost.exe
-k netsvcs
and adds the following registry entry:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll
= "%System%\<worm executable filename>.dll"
Note: %System% is a variable location. The malware
determines the location of the current System folder by
querying the operating system. The default installation
location for the System directory for Windows 2000 and NT
is C:\Winnt\System32; for 95,98 and ME is
C:\Windows\System; for XP and Vista is C:\Windows\System32.
Method of Distribution :
Via Exploit,
Win32/Conficker.A exploits MS08-067, the Microsoft server
service vulnerability, in order to propagate.
For
more information on the MS08-067 vulnerability, please see
our Vulnerability Encyclopedia and the relevant Microsoft
Security Bulletin:
http://www.ca.com/us/securityadvisor/vulninfo/vuln.aspx?id=36809
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Payload :
Downloads and Executes Arbitrary
Files
Win32/Conficker.A connects to the domain
trafficconverter.biz and attempts to download and execute a
file from this location:
http://trafficconverter.biz/<censored>/loadadv.exe
Conficker also downloads a reference file from the
following URL:
http://www.maxmind.com/<censored>/GeoIP.dat.gz
Additional Information :
Win32/Conficker.A
tries to obtain the IP address of the affected system by
accessing the following websites:
http://www.getmyip.org/
getmyip.co.uk
checkip.dyndns.org
So that
only one copy of the malware runs on the system, the worm
also creates a mutex in the format "Global\<random
numbers>-<random numbers>". For example,
"Global\19048-69485".
|