категории | RSS

Вирус Kido

Сталкиваясь за последнее время с вопросами наподобие: А зачем отключать автораны?, Какое от них зло? и т.д., решил набросать небольшой материал об известном вирусе Kido, который достаточно часто распространяется через флэшки как раз с помощью autorun.inf.

1.Что такое Kido?
Kido (Worm:Win32/Conficker.A, W32.Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based, Downup, Downadup и Conficker) — один из опаснейших на сегодняшний день компьютерных червей. Известный под разными именами и во множестве вариаций, Kido был обнаружен впервые ещё осенью прошлого года, сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители («флэшки»). На них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов (список ниже) и спокойно занимается лавинным размножением. Атакует операционные системы семейства Microsoft Windows (от Windows 2000 до Windows Vista и Windows Server 2008). Благодаря изощренной механике (см. пункт 2) Kido на январь 2009 года поразил 12 миллионов компьютеров во всём мире. 13 января 2009 Microsoft обещала 250 000 долларов за информацию о создателях вируса. 1 апреля вирус не активировался (как ожидалось), но опасность сохраняется по сей день. Файл вредоносной программы является библиотекой Windows (PE-DLL-файл). Многочисленно упакован различными утилитами паковки. Первый слой – UPX. Размер файла – 50-60 килобайт. В Kido реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д. Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.

2.Принцип работы.
Червь находит уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. Первым делом он отключает ряд служб: автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting. Периодически генерируя список сайтов, червь обращается к ним для получения исполняемого кода. При получении с сайта исполняемого файла червь сверяет электронно-цифровую подпись и, если она совпала, исполняет файл. Кроме того, червь реализует P2P (peer-to-peer) механизм обмена обновлениями, что позволяет ему рассылать обновления удалённым копиям, минуя управляющий сервер.
При запуске червь создаёт свою копию в директории %SYSTEM% с произвольным именем. После чего проверяет, какую операционную систему использует заражённый компьютер. Если это Windows 2000, то внедряет свой код в процесс services.exe. Если же операционная система отлична от указанной, то создаёт службу со следующими характеристиками:
Имя службы: netsvcs
Путь к файлу: %SYSTEM%\svchost.exe -k netsvcs
Создаёт следующий ключ реестра, обеспечивая себе автозапуск при следующей загрузке:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%SYSTEM%\.dll"
Червь пытается подключиться к домену traff******ter.biz и загрузить следующий файл:
https://traffi******ter.biz/*******/loadadv.exe
В случае успеха, загруженный файл запускается на выполнение.
Другие действия - червь производит обновление системы, закрывая тем самым описанную выше уязвимость. Делается это для того, чтобы таким же способом в систему не попали другие вредоносные программы.
На съемных носителях вирус создаёт файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (в данном случае лучше настроить на брандмауэре правило мониторинга обращения к ним):

https://www.getmyip.org
https://getmyip.co.uk
https://www.whatsmyipaddress.com
https://www.whatismyip.org
https://checkip.dyndns.org

3.Симптомы заражения.
Отключена служба восстановления системы; невозможно включение отображения скрытых папок в Documents and Settings. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit. Невозможно получить доступ к сайтам большинства антивирусных компаний, например: avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.
Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно и возникает одна из ошибок:

- Ошибка активации. Процедура активации завершилась с системной ошибкой 2.
- Ошибка активации. Невозможно соединиться с сервером.
- Ошибка активации. Имя сервера не может быть разрешено.

Если вы подозреваете заражение своего компьютера, попробуйте открыть браузер и перейти на произвольную страничку любимого поискового движка. Если страница открылась — попытайтесь загрузить www.kaspersky.com или www.microsoft.com. Если этого сделать не удалось — то доступ к сайтам скорее всего блокирует вредоносная программа. Полный список ресурсов, заблокированных Kido, можно увидеть, например, здесь: https://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725

4. Рекомендации по удалению.
1 путь - для более опытных:
Если ваш компьютер не был защищён антивирусом и оказался заражён данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. Удалить оригинальный файл червя (его расположение на заражённом компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл, созданный трояном, в каталоге:
%SYSTEM%\.dll
Посмотреть имя файла можно в ключе:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll
3. Удалить ветку реестра:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
4. Произвести полную проверку компьютера Антивирусом Касперского с обновлёнными антивирусными базами.
Ещё один путь:
Скачать архив KKiller_v3.4.1.zip с сайта Касперского и распаковать его в отдельную папку на зараженной машине. Запустить файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна лучше запускать утилиту KKiller.exe с ключом -y. Подождать окончания сканирования. Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузить компьютер (более подробно механизм описан на самом сайте).

Отнюдь не претендуя на истину в последней инстанции, буду рад, если информация, описанная выше, сбережёт кому-либо нервы и время.

Статья написана на основе данных с сайта Касперского, ряда форумов, посвящённых проблеме вирусов и т.д.

Статья написана исключительно для новичков, однако мнение и полезные советы экспертов только приветсвуются!


Внимание! Все действия, описанные в статье, вы делаете исключительно на свой страх и риск - ни автор, ни администрация сайта не несут отвественности за ваши действия. Как говориться, не уверен - не лезь!

DimonVideo
2009-07-03T21:07:18Z
Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 39

#9   Pachon    

А conficker aa это модификация этого же вируса? И подскажите как его удалить. Утилиты kkiller, EConfickerRemover, anti-Downadup ничего не находят, патч безопасности установил, а nod32 в папке c/windows/temp постоянно его находит.


* редактировал(а) Pachon 06:22 4 июл 2009

0 ответить

#9   artoroman    

У этого вируса еще около 5 вариантов распространения) а авторан это уже, на всякий случай))) кстати, когда им (и главное - что) будут ддосить? никто не знает?


0 ответить

#9   Deezik    

прикол, 4 раза уже встречал его.очень популярен сегодня)))))))))))


0 ответить

#9   Nestor Alex    

Да Бог с ним, с плюсом. Я ведь не ради плюсов написал статью, а просто чтобы кому-то помочь с возможной проблемой. Раз помог - это самое главное wink


0 ответить

#9   Nikit3230i    

Спасибо огромное! По статье вылечил smile жаль плюс поставить не могу, месяц ждать нужно..


1 ответить

#9   Nestor Alex    

Знаю, я про это уже писал articles/2658 Да и другие люди тоже дали хорошие советы по этому поводу https://www.dimonvideo.ru/articles/2660


0 ответить

#9   --B_o_d_y_Z--    

А я не всех своих флешках форматю в нтфс и создаю папку с таким именем, делаю её скрытой, потом убираю права на доступ к ней всем юзерам и всё. Ниодин вирус еще не пробился, всё гениальное просто


0 ответить

#9   Nestor Alex    

Если у тебя есть файл с названием autorun.inf, это ещё не означает, что у тебя есть Kido!
Autorun.inf — это прежде всего файл, используемый для автоматического запуска приложений и программ на носителях информации в среде операционной системы Microsoft Windows (начиная с Windows 95). И уж затем - возможный источник заражения и твоя головная боль.


* редактировал(а) Nestor Alex 22:34 3 июл 2009

0 ответить

#9   50sany    

Люди поздравьте меня, у меня этот вирус, буду винду переустанавлвать, у меня на смарте есть autorun.inf, смарту надо делать ХР?


0 ответить

Яндекс.Метрика