Внимание Опасный вирус!

[Siegrun]

ПРОВЕРКА! http://www.joestewart.org/cfeyechart.html вы должны видеть все 6 картинок!!!

В связи с большим количеством обращений пользователей «Лаборатория Касперского» подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup. Комментирует Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского».

Что такое Kido?
Kido представляет серьезную угрозу для всего интернет-сообщества. Эта вредоносная программа впервые была обнаружена в ноябре 2008 года. По оценкам "Лаборатории Касперского", в настоящее время Kido заражено не менее 5 млн. компьютеров. Эта сеть зараженных машин потенциально может стать самым мощным ресурсом киберпреступников в Интернете. Например, она может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).

Анализ функционала этой программы не исключал возможной активизации 1-го апреля гигантской зомби-сети (ботнета), находящейся под управлением авторов Кидо, однако в этот день эксперты "Лаборатории Касперского" не зафиксировали какой-либо активности в обмене данными между зараженными машинами и потенциальными центрами управления ботнетом. Тем не менее, по-прежнему нельзя исключать возможности активизации ботнета, при этом последующие за ним действия злоумышленников пока не поддаются прогнозированию. Анализ ситуации показывает, что, активизация ботнета может произойти в любой день, начиная с 1 апреля.

В чем опасность Kido?
Таким образом, созданная авторами Kido гигантская зомби-сеть (ботнет) потенциально может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).

До последнего времени Kido распространялся через компьютерные сети и сменные носители информации. В частности, он проникал на компьютеры, используя критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года. По мнению экспертов, на значительной части машин патч не был установлен на момент пика распространения Kido в январе. Этот фактор, а также игнорирование эффективной антивирусной защиты и привели к эпидемии: в настоящее время различными версиями Kido заражены, по меньшей мере, от 5 до 6 миллионов компьютеров, имеющих доступ в сеть Интернет. В последних версиях Kido отсутствует явная возможность самораспространения. Программа лишь пытается «укрепиться» на уже зараженных компьютерах.

Более подробную техническую информацию о том, как Kido проникает в операционные системы семейства Windows можно посмотреть по адресам:

http://www.viruslist.com/ru/viruses/encycl...irusid=21782725
http://www.viruslist.com/ru/viruses/encycl...irusid=21782733
http://www.viruslist.com/ru/viruses/encycl...irusid=21782749
http://www.viruslist.com/ru/viruses/encycl...irusid=21782790
В Kido реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д.

Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.

Как избежать заражения вредоносной программой Kido?
Продукты «Лаборатории Касперского» успешно блокируют проникновение всех версий Kido на компьютеры пользователей. Проверьте, что автоматические обновления не отключены и, в том случае, если у вас есть подозрение, что Kido уже мог проникнуть на компьютер, выполните сканирование всего компьютера с помощью Антивируса Касперского. Своевременная установка патчей для ликвидации уязвимости MS08-067, безусловно, является обязательной мерой для предотвращения заражения, однако установленное решение Kaspersky Internet Security не позволит использовать уязвимость даже на непропатченной операционной системе.

Как понять, что произошло заражение сети или компьютера?
При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Если вы подозреваете заражение своего компьютера, попробуйте открыть браузер и перейти на произвольную страничку любимого поискового движка. Если страница открылась — попытайтесь загрузить www.kaspersky.com или www.microsoft.com. Если этого сделать не удалось — то доступ к сайтам, скорее всего. блокирует вредоносная программа. Полный список ресурсов, заблокированных Kido, можно увидеть, например, здесь: http://www.viruslist.com/ru/viruses/encycl...irusid=21782725.

Я – администратор локальной сети. Как мне быстрее и удобнее всего локализовать проблему?
Удаление сетевого вредоносной программы производится с помощью специальной утилиты KKiller.exe. С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001.
Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
Отключить автозапуск исполняемых файлов со съемных носителей.
Остановить службу Task Scheduler (Планировщик Задач) в Windows.
Удаление вредоносной программы Kido утилитой KKiller.exe необходимо производить локально на зараженном компьютере.

Как бороться с Kido обычному пользователю домашнего компьютера?
Скачайте утилиту KKiller и распакуйте архив в отдельную папку на зараженной машине. Запустите файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y. Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

01.04.2009

[Gor]

Красиво, красиво их материть!

[AlexNerevarin]

согласен)

[IgorLutiy]

Пара новостей по теме:
Специалисты Trend Micro обнаружили новую разновидность червя Conficker
http://www.securitylab.ru/news/377510.php
В Рунете создан технический регистратор для борьбы с Conficker
http://www.securitylab.ru/news/377509.php

[Cool_Wolf]

это радует)

[AlexNerevarin]

Когда мне на винду пришло обновление SP3, я думал, что ее после установки "крякать" придется, и скачал где-то соответствующий кряк, но воспользоваться им не пришлось, т.к. регистрация не требовалась. Так архив с кряком и валялся у меня в Моих документах. А пару дней назад, после обновления баз Касперского, он нашел там какого-то трояна! Или недобросовестный создатель кряка не проверил на вирусы архив, или засадил туда троян специально, а мы, любители халявы, качаем...

[Cool_Wolf]

там, в таких архив, как правило, верьезного и убийственного ничего не бывает, не так страшно)))
у меня на компе в архиве 100 мегабайт разных троянов и вирусов лежит, ничего же))
(это подборка мне очень пригождаетса, когда хочецца кому-нибудь отомстить)

[AlexNerevarin]

'Cool сказал(-а):

(это подборка мне очень пригождаетса, когда хочецца кому-нибудь отомстить)

ээээ... ну ты тут на нас не обиделся? нет?)

[Cool_Wolf]

неа, не обиделся)

[Gor]

Вообще-то креки по механике работы похожи на трояны, потому антивирусы и распознают их как троянов.

[Cool_Wolf]

не совсем так)
крек не распознается как троян, хотя бы потому что трояны НЕ могут заражать другие приложения, другое дело, когда к крэку "пришит" троян...
(ну или другая гадость)

[Кот Зловред]

нет, ну одно дело когда кряка ползёт в то место, для которого она предназначена, то есть вштыривается в другой процесс - тогда антивирь вполне может и рявкнуть. А если кряка лежит себе в углу и пылится, а антивирь на неё злобно рычит - я б задумался))

[Cool_Wolf]

если "кряка" просто лежит, то антивирус не будет ругатся, а вот если "кряка" находится в памяти компа.. это другое дело.
вообще, такие вещи нужно держать в архивах, причем запороленных, тогда сами- по себе они не запустятся))

[Petrovich]

Кряки нужно держать на чужих хардах и трояны тоже.

[gkalian]

Антивирус ругается даже на то, если кряк просто лежит, точнее, он сканирует файлы, и если видит там вредный код, то оповещает .

[Cool_Wolf]

тогда это больной антивирус ( ну только если кряка не лежит в системной области)
антиврус сканирует файлы при обращении к этим самым файлам)

[AlexNerevarin]

мой атнивирус во время проверки "Моего компьютера" нашел, и удалил трояна в архиве Винрар, и сообщил полное название трояна, сомневаюсь, что он мог принять за трояна что-то другое)

[Cool_Wolf]

ну дак это уже из другой оперы, раз нашел - значит есть)

[Gor]

'Cool сказал(-а):

не совсем так)
крек не распознается как троян, хотя бы потому что трояны НЕ могут заражать другие приложения, другое дело, когда к крэку "пришит" троян...
(ну или другая гадость)

А крек файл и не заражает другие приложения, да и работает он только после ручного запуска, ведь он "приписан" к определенному приложению. Но выполняют они туже работу что и вредоносные програмы(не путать с милыми вирусами ) - изменяют коды. Вот на Это и реагируют антивирусы, особенно на максимальных настройках сканирования.

[Cool_Wolf]

можно было мне это не рассказывать)))) я программист, знаю)
не все антивирусы распазнаю крэк как троян или вирус, скорее всего это будет или Riskware или Rootkit (тоже маловероятно)

[Gor]

А я юзер, как модно называют, знаю что ты програмист ! И знаю что ты знаеш, только как-то категорично мне показалось ты отписался в том посте, вот и возразил. Без обид.

[Cool_Wolf]

никто не обижался.
суть всех моих предыдущих постов в том, что когда вирус или другая дрянь просто лежит на жестком диске - вреда от неё нет,
опасность только тогда, когда в память эта дрянь загружена))

[Gor]

Полностью согласен! А при сканировании антивирус анализирует файлы на предмет содержания вредоносного содержимого, вот и волает как резаный бывает попусту.

[AlexNerevarin]

Я тут сегодня открыл "Статус защиты Вашего компьютера" в Касперском, и во вкладке обнаружено нашел такое сообщение: удалено: вирус Net-Worm.Win32.Kido.ih
Файл: H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx//PE_Patch.UPX//UPX
То есть Касперский его давно обезвредил, но до того как его удалили, троян кое-что испортил, зараза, а я теперь просто страдаю от его бывшей деятельности, наверно (ведь Касперский систему починить не может, его аналитики вручную советуют это делать).

[Cool_Wolf]

троян не может заражать другие программы, это червяк был)
а файл этот вобще в "Корзине" находился, так что ничего страшного)

[AlexNerevarin]

'Cool сказал(-а):

а файл этот вобще в "Корзине" находился, так что ничего страшного)

как "ничего страшного"?) но ведь я до сих пор не могу увидеть эти 6 дурацких картинок!)