Вирус Kido

Сталкиваясь за последнее время с вопросами наподобие: А зачем отключать автораны?, Какое от них зло? и т.д., решил набросать небольшой материал об известном вирусе Kido, который достаточно часто распространяется через флэшки как раз с помощью autorun.inf.

1.Что такое Kido?
Kido (Worm:Win32/Conficker.A, W32.Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based, Downup, Downadup и Conficker) — один из опаснейших на сегодняшний день компьютерных червей. Известный под разными именами и во множестве вариаций, Kido был обнаружен впервые ещё осенью прошлого года, сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители («флэшки»). На них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов (список ниже) и спокойно занимается лавинным размножением. Атакует операционные системы семейства Microsoft Windows (от Windows 2000 до Windows Vista и Windows Server 2008). Благодаря изощренной механике (см. пункт 2) Kido на январь 2009 года поразил 12 миллионов компьютеров во всём мире. 13 января 2009 Microsoft обещала 250 000 долларов за информацию о создателях вируса. 1 апреля вирус не активировался (как ожидалось), но опасность сохраняется по сей день. Файл вредоносной программы является библиотекой Windows (PE-DLL-файл). Многочисленно упакован различными утилитами паковки. Первый слой – UPX. Размер файла – 50-60 килобайт. В Kido реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д. Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.

2.Принцип работы.
Червь находит уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. Первым делом он отключает ряд служб: автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting. Периодически генерируя список сайтов, червь обращается к ним для получения исполняемого кода. При получении с сайта исполняемого файла червь сверяет электронно-цифровую подпись и, если она совпала, исполняет файл. Кроме того, червь реализует P2P (peer-to-peer) механизм обмена обновлениями, что позволяет ему рассылать обновления удалённым копиям, минуя управляющий сервер.
При запуске червь создаёт свою копию в директории %SYSTEM% с произвольным именем. После чего проверяет, какую операционную систему использует заражённый компьютер. Если это Windows 2000, то внедряет свой код в процесс services.exe. Если же операционная система отлична от указанной, то создаёт службу со следующими характеристиками:
Имя службы: netsvcs
Путь к файлу: %SYSTEM%\svchost.exe -k netsvcs
Создаёт следующий ключ реестра, обеспечивая себе автозапуск при следующей загрузке:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%SYSTEM%\.dll"
Червь пытается подключиться к домену traff******ter.biz и загрузить следующий файл:
https://traffi******ter.biz/*******/loadadv.exe
В случае успеха, загруженный файл запускается на выполнение.
Другие действия - червь производит обновление системы, закрывая тем самым описанную выше уязвимость. Делается это для того, чтобы таким же способом в систему не попали другие вредоносные программы.
На съемных носителях вирус создаёт файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (в данном случае лучше настроить на брандмауэре правило мониторинга обращения к ним):

https://www.getmyip.org
https://getmyip.co.uk
https://www.whatsmyipaddress.com
https://www.whatismyip.org
https://checkip.dyndns.org

3.Симптомы заражения.
Отключена служба восстановления системы; невозможно включение отображения скрытых папок в Documents and Settings. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit. Невозможно получить доступ к сайтам большинства антивирусных компаний, например: avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.
Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно и возникает одна из ошибок:

- Ошибка активации. Процедура активации завершилась с системной ошибкой 2.
- Ошибка активации. Невозможно соединиться с сервером.
- Ошибка активации. Имя сервера не может быть разрешено.

Если вы подозреваете заражение своего компьютера, попробуйте открыть браузер и перейти на произвольную страничку любимого поискового движка. Если страница открылась — попытайтесь загрузить www.kaspersky.com или www.microsoft.com. Если этого сделать не удалось — то доступ к сайтам скорее всего блокирует вредоносная программа. Полный список ресурсов, заблокированных Kido, можно увидеть, например, здесь: https://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725

4. Рекомендации по удалению.
1 путь - для более опытных:
Если ваш компьютер не был защищён антивирусом и оказался заражён данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. Удалить оригинальный файл червя (его расположение на заражённом компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл, созданный трояном, в каталоге:
%SYSTEM%\.dll
Посмотреть имя файла можно в ключе:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll
3. Удалить ветку реестра:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
4. Произвести полную проверку компьютера Антивирусом Касперского с обновлёнными антивирусными базами.
Ещё один путь:
Скачать архив KKiller_v3.4.1.zip с сайта Касперского и распаковать его в отдельную папку на зараженной машине. Запустить файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна лучше запускать утилиту KKiller.exe с ключом -y. Подождать окончания сканирования. Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузить компьютер (более подробно механизм описан на самом сайте).

Отнюдь не претендуя на истину в последней инстанции, буду рад, если информация, описанная выше, сбережёт кому-либо нервы и время.

Статья написана на основе данных с сайта Касперского, ряда форумов, посвящённых проблеме вирусов и т.д.

Статья написана исключительно для новичков, однако мнение и полезные советы экспертов только приветсвуются!


Внимание! Все действия, описанные в статье, вы делаете исключительно на свой страх и риск - ни автор, ни администрация сайта не несут отвественности за ваши действия. Как говориться, не уверен - не лезь!