Сетевые черви

[Shatakh]

И так,Хаи,решил я с вами поделится с моим горьким опытом по одолению одного из опасных вирусов по названию Кидо.

И так о Кидо: Что такое Kido?

Вредоносная программа Kido представляет на данный момент серьезную угрозу для всего интернет-сообщества. Миллионы компьютеров, зараженных Kido, потенциально могут стать самым мощным ресурсом кибепреступников в Интернете. Эта вредоносная программа впервые была детектирована в ноябре 2008 года. Ее активизация ожидается 1 апреля: ботнет Kido начнет искать центр управления среди 50 000 доменов в день (ранее он подключался лишь к 250 доменам) и загружать на компьютеры пользователей новые версии других вредоносных программ. Последующие за этим действия злоумышленников на настоящий момент не поддаются прогнозированию.

В чем опасность Kido?

Таким образом, созданная авторами Kido гигантская зомби-сеть (ботнет) потенциально может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).

До последнего времени Kido распространялся через компьютерные сети и сменные носители информации. В частности, он проникал на компьютеры, используя критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года. По мнению экспертов, на значительной части машин патч не был установлен на момент пика распространения Kido в январе. Этот фактор, а также игнорирование эффективной антивирусной защиты и привели к эпидемии: в настоящее время различными версиями Kido заражены, по меньшей мере, от 5 до 6 миллионов компьютеров, имеющих доступ в сеть Интернет. В последних версиях Kido отсутствует явная возможность самораспространения. Программа лишь пытается укрепиться на уже зараженных компьютерах.

В Kido реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д.

Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.

Как понять, что произошло заражение сети или компьютера?

При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Если вы подозреваете заражение своего компьютера, попробуйте открыть браузер и перейти на произвольную страничку любимого поискового движка. Если страница открылась — попытайтесь загрузить www.kaspersky.com или www.microsoft.com. Если этого сделать не удалось — то доступ к сайтам скорее всего блокирует вредоносная программа. Полный список ресурсов, заблокированных Kido, можно увидеть, например, здесь: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725

И ещё от моего горького опыта про тестирования заражения с Кидо.Во первых не открывается Редактор Ключей(Run-regedit).Во вторых при попытке отображения скрытых файлов в Folder Options не открываются скрытые файлы(на начальном этапе могут открываться,но при переходе на другую страницу,снова автоматически закрываются и пунктир перед ним снова движется на "НЕ показывать скрытые файлы").В третьих,не работает команда Alt-Shift-Delete,которым обычно пустится Task Meneger. В четвёртых,Windows не запускается в Safe Mode(в начальном этапе запускается,но там красуется ещё один Admin :icecream: ).Тестируете все эти способы.Если хоть один совпадает с выше перечисленными пунктами теста(начало распространения вируса позволяет кое какие действия),то я вас поздравляю :rolleyes:....можете сразу же форматировать жёсткий диск-ничего вас не поможет :biggrin:Никакие Kidokillerи и антивирусники бороться с ядром вируса не могут,они могут только уничтожать последствия вируса,то есть другие вирусы,которые создаёт или цепляет этот вирус из Сети и начинает заражать уже ваши .exe файлы

А как же бороться с этим злом? Всё время апдейтие критические апдейты от Microsoft,ставьте хорошие и известные антивирусники и постоянно обновите базу.Кидо не может пройти в ваш комп через антивирусник,а обновление от Майкрософт для того,чтоб блокировать те лазейки, который мутирующий  Кидо всё время ищет в Майкрофт(ерб клини эт Гейтсиц прцненк? :roadrage: ).А вообще то лучше установить Linux и забыть про всё этот кошмар-жаль что не все разработчики  пишут программы под Linux.

[Vahik]

Я тоже воевал против него..

Под конец все таки поставил WSUS. Антивир антивиром - апдейт по рассписанию.

Хотя можно тупо зайти под сейф модом и удалить.

[Shatakh]

Я тоже воевал против него..

Под конец все таки поставил WSUS. Антивир антивиром - апдейт по рассписанию.

Хотя можно тупо зайти под сейф модом и удалить.

Не пускает входить в сейф мод.Я принудительно в msconfig поставил галочку на сейф мод-так комп всё время перезагружался и не давал войти в систему.Попробовал Реаниматором войти и удалить галочку,тогда уже система не пускал.Стипвац форматировал и поставил Windows 7.При форматировании нечаянно оставил на этом жёстком диске очень важный документ :mega_shok:Сейчас мучаюсь над восстановлением этого документа :getdown:  

Кидо не пускал поставить антивир из диска тоже.

[Vahik]

Не пускает входить в сейф мод.Я принудительно в msconfig поставил галочку на сейф мод-так комп всё время перезагружался и не давал войти в систему.Попробовал Реаниматором войти и удалить галочку,тогда уже система не пускал.Стипвац форматировал и поставил Windows 7.При форматировании нечаянно оставил на этом жёстком диске очень важный документ :mega_shok:Сейчас мучаюсь над восстановлением этого документа :getdown:  

Кидо не пускал поставить антивир из диска тоже.

Savemode command pr. , смотришь на каком сервисе дампит. потом загружаешься с livecd и отключаешь сервис.

могу хоороший лайф CD подкинуть.

[Shatakh]

Savemode command pr. , смотришь на каком сервисе дампит. потом загружаешься с livecd и отключаешь сервис.

могу хоороший лайф CD подкинуть.

Ну я и имел ввиду под Реаниматором лайфCD.Система в жёстком диске С: не пускал манипулировать с msconfig. :rolleyes:Cпециально для этого купил ещё одну,последнюю Лайф-не помог :rolleyes:

[Grigoriy]

хороший лайф сиди интересует

[Vahik]

хороший лайф сиди интересует

В Ереване? могу исошку на фтп выложить.

[Grigoriy]

Краснодар

[Vahik]

Краснодар

Канал интернета хороший? Можешь скачать если ссылку выложу?

[Grigoriy]

256 кбс, но где-то за пару дней ДВД выкачиваю.

[cartesius]

Лучше торрентом выкачивать. На торрентс.ру полно хороших лайв СД.

[Grigoriy]

Хороших много и на ННМ торренте. Вопрос - какой лучший?

[Shatakh]

Хороших много и на ННМ торренте. Вопрос - какой лучший?

Тот у которого сравнительно новая база антивирусника и последные версии программ.

А вообще то,это зависит от того,какую задачу ты хочеш решать с помощью LiveCD.И исходя из твоей задачи посмотри  список инсталлированных  программ в CD.

[cartesius]

Хороших много и на ННМ торренте. Вопрос - какой лучший?

Рекомендую Алкида, там все есть.

http://torrents.ru/forum/viewtopic.php?t=560432

[Grigoriy]

блаадару