Вирус kido conficker downadup

• 11.1. Найдите и выберите следующий подраздел реестра:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
  
• 11.2. Щелкните правой кнопкой мыши подраздел Svchost и нажмите кнопку Разрешения.
  
• 11.3. В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.
  
• 11.4. В диалоговом окне Дополнительно нажмите кнопку Добавить.
  
• 11.5. В диалоговом окне Выбор: пользователи, компьютеры и группы введите значение все и выберите команду Проверить имена.
  
• 11.6. Нажмите кнопку ОК.
  
• 11.7. В диалоговом окне Элемент разрешений для SvcHost выберите пункт Только этот раздел из списка Применить к, затем установите флажок Запретить для элемента разрешений Установить значение.
  
• 11.8. Дважды нажмите кнопку ОК.
  
• 11.9. На запрос системы безопасности ответьте Да.
  
• 11.10. Нажмите кнопку ОК.

• 12.1. В редакторе реестра найдите и выберите подраздел реестра, содержащий вредоносную службу с именем Имя_вредоносной_службы:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
  Например, найдите и выберите следующий подраздел реестра:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gzqmiijz
  
• 12.2. В области переходов щелкните подраздел правой кнопкой мыши и выберите пункт Разрешения.
  
• 12.3. В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.
  
• 12.4. В диалоговом окне Дополнительные параметры безопасности установите флажки:
  
  1. Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.
     
  2. Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам

• 13.1. Дважды щелкните параметр ServiceDll.
  
• 13.2. Обратите внимание на путь к указанной библиотеке DLL. Эти сведения потребуются далее в этой процедуре. Например, путь к указанной библиотеке DLL может быть следующим:

• 14.1. В редакторе реестра найдите и выберите следующие подразделы:
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  
• 14.2. В обоих подразделах найдите параметр, имя которого начинается с rundll32.exe, обращающийся к вредоносной библиотеке DLL, которая загружается как ServiceDll, обнаруженной в действии 13.2. Удалите параметр.
  
• 14.3. Закройте редактор реестра и перезагрузите компьютер.

Проверьте все диски в системе на наличие файлов Autorun.inf. Откройте каждый файл в программе "Блокнот", чтобы убедиться в том, что это допустимые файлы Autorun.inf. Ниже приведен пример типичного допустимого файла Autorun.inf:

Допустимый файл Autorun.inf обычно имеет размер от 1 до 2 КБ.

Все файлы Autorun.inf, допустимость которых вызывает сомнения, следует удалить.

Сделайте видимыми скрытые файлы. Для этого введите в командной строке следующую команду:

Установите флажок Показывать скрытые файлы и папки, чтобы увидеть нужный файл. Для этого выполните действия, указанные ниже.

• 19.1. В действии 13.2. нужно было запомнить путь к библиотеке DLL для вредоносной службы. Пусть, например, этот путь выглядит следующим образом:
  %systemroot%\System32\emzlqqd.dll[/i]
  В проводнике Windows откройте каталог %systemroot%\System32[/i] или каталог, содержащий вредоносную программу.
  
• 19.2. В меню Сервис выберите команду Свойства папки.
  
• 19.3. Перейдите на вкладку Вид.
  
• 19.4. Установите флажок Показывать скрытые файлы и папки.
  
• 19.5. Нажмите кнопку ОК.

Выберите файл библиотеки DLL.

• 21.1. Щелкните файл библиотеки DLL правой кнопкой мыши и выберите команду Свойства.
  
• 21.2. Перейдите на вкладку Безопасность.
  
• 21.3. Выберите пункт Все, затем установите флажок Полный доступ в столбце Разрешить.
  
• 21.4. Нажмите кнопку ОК.

Удалите библиотеку DLL, к которой обращается вредоносная служба. В данном примере следует удалить файл:
%systemroot%\System32\emzlqqd.dll

23. Включите фоновую интеллектуальную службу передачи (BITS), службы автоматического обновления, Защитник Windows и службу регистрации ошибок с помощью оснастки консоли управления (MMC) "Службы".

Отключите автозапуск, чтобы уменьшить вероятность повторного заражения. Для этого выполните действия, указанные ниже:

Примечание. Обновление 953252 и обновление для системы безопасности 950582 не относятся к данной проблеме с вредоносными программами. Их необходимо установить, чтобы разрешить функцию реестра, описанную в действии 24.2.

24.2. В командной строке введите следующую команду:

Если в системе запущен Защитник Windows, нужно вновь включить обнаружение расположения автозапуска. Для этого введите в командной строке следующую команду:

В операционных системах Windows Vista и более поздних Вредоносные программы изменяют глобальный параметр автонастройки принимающего окна TCP на значение отключено. Чтобы отменить это изменение, введите в командной строке следующую команду:

Если после завершения описанной процедуры имеются признаки заражения компьютера, это может быть вызвано описанными ниже причинами.

1. Одно из расположений автозапуска не было удалено. Например, не было удалено задание автозапуска или не был удален файл Autorun.inf.
   
2. Неправильно установлено обновление для системы безопасности MS08-067.

Вредоносные программы могут изменять другие настройки, не описанные в данной статье базы знаний. Другие сведения о черве Conficker см. на следующей веб-странице: Net-Worm Kido.

Досье на подлого червя!

Имя : Worm:W32/Downadup.AL
Возможные имена при определении : Net-Worm.Win32.Kido, Worm:W32/Downadup.AL
Алиасы : W32/Conficker.worm.gen (Symantec), Worm:Win32/Conficker (Microsoft), Mal/Conficker (Sophos)
Тип: Сетевой червь
Категория: Malware
Платформа: W32

Утилиты для удаления:

F-Downadup
Специальная утилита с эвристической проверкой для поиска различных вариантов червя Downadup:

FSMRT
Общая утилита для определения вируса (размер файла больше):

Внимание: Утилиты работают из командной строки. Пожалуйста, прочтите инструкцию, приложенную в ZIP-файле.

Обновления утилит:

Здесь находятся бета-версии различных дополнительных утилит:

* ftp://ftp.f-secure.com/anti-virus/tools/beta/

Настройки сканирования

Downadup использует множество различных имён, в том числе и случайно сгенерированных, поэтому обязательно используйте режим:

Microsoft Help and Support

В Базе знаний KB962007 содержит информацию для удаления вируса Conficker.B (Downadup) вручную.

Подробная информация о действиях червя:

Сразу после запуска Downadup (Kido, Conflicker) создаёт свои копии в следующих директориях:

* Внимание: [Random] — случайно сгенерированное имя.

Все атрибуты файла о времени создания копируются из файла %System%kernel32.dll. Затем червь создает ключики в реестре, чтобы абсолютно точно запуститься при следующем старте системы.

Червь может создать следующие файлы на жестких дисках, флэшках и картах памяти:

* %DriveLetter%RECYCLERS-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d[…].[3 случайных символа]
* %DriveLetter%autorun.inf

И подцепляется к следующим процессам:

* svchost.exe
* explorer.exe
* services.exe

Червь отключает некоторые системные утилиты и службы, которые могли бы предупредить его активность. В том числе следующие службы Windows:

* Windows Automatic Update Service (wuauserv)
* Background Intelligent Transfer Service (BITS)
* Windows Security Center Service (wscsvc)
* Windows Defender Service (WinDefend)
* Windows Error Reporting Service (ERSvc)
* Windows Error Reporting Service (WerSvc)

В дополнение к отключенным службам он проверяет ОС. Если это оказывается Windows Vista, то червь дополнительно отключает функцию автонастройки TCP/IP, запуская следующую команду:

* netsh interface tcp set global autotuning=disabled

Червь также проверяет использование следующих функций API, чтобы он смог заблокировать доступ к доменам (о них чуть ниже):

* DNS_Query_A
* DNS_Query_UTF8
* DNS_Query_W
* Query_Main
* sendto

Блокирует доступ к доменам, если в состав имени домена входят следующие словосочетания:

* virus
* spyware
* malware
* rootkit
* defender
* microsoft
* symantec
* norton
* mcafee
* trendmicro
* sophos
* panda
* etrust
* networkassociates
* computerassociates
* f-secure
* kaspersky
* jotti
* f-prot
* nod32
* eset
* grisoft
* drweb
* centralcommand
* ahnlab
* esafe
* avast
* avira
* quickheal
* comodo
* clamav
* ewido
* fortinet
* gdata
* hacksoft
* hauri
* ikarus
* k7computing
* norman
* pctools
* prevx
* rising
* securecomputing
* sunbelt
* emsisoft
* arcabit
* cpsecure
* spamhaus
* castlecops
* threatexpert
* wilderssecurity
* windowsupdate
* nai
* ca
* avp
* avg
* vet
* bit9
* sans
* cert

Распостранение (размножение):

Для возможности быстрого распостранения по сети, Downadup меняет некоторые ключи реестра:

Червь использует данный драйвер, чтобы ускорить свое размножение, меняя кол-во одновременных открытых соединений на 0x10000000(268435456) с помощью функции, которая находится в %System%driverstcpip.sys.

Далее Downadup проверяет наличие подходящего для заражения в сети компьютера с помощью NetServerEnum, а затем пытается войти на любой найденный компьютер следующими способами:

1. Используя настоящую учетную запись на зараженном ПК. Если данная запись не имеет достаточно прав, этот способ не проходит.
2. Получая имена пользователей с целевого компьютера через NetUserEnum API, Downadup пытается попасть на ПК используя данный перечень паролей:

o [username]
o [username][username]
o [reverse_of_username]
o 00000
o 0000000
o 00000000
o 0987654321
o 11111
o 111111
o 1111111
o 11111111
o 123123
o 12321
o 123321
o 12345
o 123456
o 1234567
o 12345678
o 123456789
o 1234567890
o 1234abcd
o 1234qwer
o 123abc
o 123asd
o 123qwe
o 1q2w3e
o 22222
o 222222
o 2222222
o 22222222
o 33333
o 333333
o 3333333
o 33333333
o 44444
o 444444
o 4444444
o 44444444
o 54321
o 55555
o 555555
o 5555555
o 55555555
o 654321
o 66666
o 666666
o 6666666
o 66666666
o 7654321
o 77777
o 777777
o 7777777
o 77777777
o 87654321
o 88888
o 888888
o 8888888
o 88888888
o 987654321
o 99999
o 999999
o 9999999
o 99999999
o a1b2c3
o aaaaa
o abc123
o academia
o access
o account
o Admin
o admin
o admin1
o admin12
o admin123
o adminadmin
o administrator
o anything
o asddsa
o asdfgh
o asdsa
o asdzxc
o backup
o boss123
o business
o campus
o changeme
o cluster
o codename
o codeword
o coffee
o computer
o controller
o cookie
o customer
o database
o default
o desktop
o domain
o example
o exchange
o explorer
o files
o foobar
o foofoo
o forever
o freedom
o games
o home123
o ihavenopass
o Internet
o internet
o intranet
o killer
o letitbe
o letmein
o Login
o login
o lotus
o love123
o manager
o market
o money
o monitor
o mypass
o mypassword
o mypc123
o nimda
o nobody
o nopass
o nopassword
o nothing
o office
o oracle
o owner
o pass1
o pass12
o pass123
o passwd
o Password
o password
o password1
o password12
o password123
o private
o public
o pw123
o q1w2e3
o qazwsx
o qazwsxedc
o qqqqq
o qwe123
o qweasd
o qweasdzxc
o qweewq
o qwerty
o qwewq
o root123
o rootroot
o sample
o secret
o secure
o security
o server
o shadow
o share
o student
o super
o superuser
o supervisor
o system
o temp123
o temporary
o temptemp
o test123
o testtest
o unknown
o windows
o work123
o xxxxx
o zxccxz
o zxcvb
o zxcvbn
o zxcxz
o zzzzz

Если червю удается проникнуть через сеть. он тут же создает свою копию в следующих папках:

* [Server Host Name]ADMIN$System32[random filename].[random extension]

Затем использует планировщик задач на удаленном сервере. чтобы запустить следующую команду:

* rundll32.exe [random filename].[random extension], [random]

Downadup также распостраняется, используя критическую уязвимость MS08-067. Для этого он подключается к одному из следующих серверов. чтобы получить %ExternalIPAddress%:

Затем он создает HTTP-сервер, используя рандомный порт:

Создание данного сервера позволяет червю посылать специальные пакеты данных (эксплоит) с инфицированной машины на другие. Если эксплоит успешно выполнился, целевая машина загрузит копию вируса с инфицированной.

Загруженный malware может иметь следующие типы расширений:

Затем он отключает NetpwPathCanonicalize API. чтобы предотвратить последующее использование уязвимости.

Самообновление

Downadup может загружать файлы на инфицированную систему с Интернета. Сначала он подключается к одному из следующих серверов для получения текущей системной даты:

Если дата, как минимум, 1 January 2009 он загружает файлы с:

Загруженные файлы имеют такой формат:

Downadup удаляет множество ключей реестра, чтобы отключить Security Center Notifications и предовратить возможный запуск из автозагрузки службы Windows Defender. В обход брандмауэра он создает следуюobt ключи, чтобы дать системе возможность загружать копии червя.

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue = dword:00000000
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, netsvcs = %Previous data% and %Random%

Во время заражения Downadup может создавать временные файлы (.TMP) системных директориях или в папках, специально предназначенных для хранения временных файлов.:

Как только ключ создан, временный файл %MalwarePath%[random].tmp будет удалён.

Также червь модифицирует параметры реестра, создавая липовые службы, следующим образом:

В этих записях, %ServiceName% состоит из комбинации двух слов, взятых с данного списка:

* Boot
* Center
* Config
* Driver
* Helper
* Image
* Installer
* Manager
* Microsoft
* Monitor
* Network
* Security
* Server
* Shell
* Support
* System
* Task
* Time
* Universal
* Update
* Windows

___
Информация взята с официального сайта F-Secure и переведена с английского автором блога..

Краткое описание(взято с сайта касперского):
Подробнее.

Симптомы заражения:
- блокировка учетных записей в домене
- некоторые из служб операционной системы отключены (например, Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender and Error Reporting Services)
- контроллеры домена медленно отвечают на запросы клиентов
- черезмерная загруженность локальной сети
- недоступность сайтов windows update и сайтов антивирусного ПО

Зараженные компьютеры в локальной сети можно обнаружить при помощи: Подробнее.

порча ссылок в этом разделе запрещена. /emx/ Всего записей: 99 | Зарегистр. 16-10-2004 | Отправлено: 01:36 15-01-2009 | Исправлено: dmitri23, 10:13 23-10-2009

TokImota Я вчера отправлял сообщение, оно почему-то не сохранилось. Цитата: Цитата:KidsKiller'ом это что? Это я заработался. Конечно же Kidokiller.exe утилитка от Касперского. Версия 2. У меня в "управление компьютером -> службы" есть служба "Manager Network". Описания у нее нет. Есть только гиперссылка запустить. При нажатии выдается сообщение об ошибке. В свойства тоже заглянуть не удается, пишет что-то типа "не найден соответствующий раздел реестра или в реестр внесены некорректные данные". Поэтому что это за служба сказать не могу. Может кто знает? В сети 50 машин. Атаки зафиксированы где-то с 20 (включая сервер). Почистили машины KidoKiller'ом, поставили обновления c рабочих станций атаки прекратились. Читайте также: Fah talai jone фа талай джон для лечения простуды и гриппа Рмс вирус что это Как лечиться от гепатита с при астме Противовирусные мази от бородавок отзывы Вакцина от гепатита в и сахарный диабет Пожалуйста, не занимайтесь самолечением! При симпотмах заболевания - обратитесь к врачу.