| Сетевой червь Net-Worm.Win32.Kido.ng | 06:25 pm |
|---|
|
Касперский: Краткое описание семейства Net-Worm.Win32.Kido.
Viruslist.com: Подробные описания Kido.bt, Kido.dv и Kido.fx, включающие инструкции по удалению этих вредоносных программ:
...для того, что бы воспользоваться выше указанной уязвимостью червь должен подключиться к удаленной машине под учетной записью администратора. Для этого червь осуществляет поиск подходящего компьютера в сети и получает для него список имен пользователей. Для каждого имени учетной записи пользователя червь последовательно перебирает следующие пароли:
11111111
1111111
111111
11111
1111
111
11
1...
Патч XP, 2000, Server.
KidoKiller_v3.zip, который надо запускать под правами Администратора. У пользователя права админа лучше отобрать, пароль на "Администратор" сделать нетривиальным и не из списка червя Kido)) Пользователя лучше тоже запугать и заставить его сменить пароль на нетривиальный. Он может его даже записать, потому что у червя нет еще глаз))
Если в сети заражена одна машина, то это означает, что заражены все ПК в сети с тривиальными паролями, кто работает с правами админа и у кого не было Касперского с регулярно обновляемой базой, ибо DrWeb прошляпил, а Nod32 обновил базу самый последний. Да и Касперский утилиту KidoKiller_v3 выпустил только 29 числа к обеду, когда как эпидемия в мире началась уже в октябре...
Попадаются зараженные ПК версией червя, например Kido.ng который не дает запускать KidoKiller и Касперский2009 его видит, да сделать ничего не может. Тогда надо грузиться с дисков Live-CD, либо откатывать винду, либо скручивать винт и тащить его на сканирование с другого, чистого ПК, либо полазить по реестру, либо просто тупо начинать с Format c:, что может оказаться самым действенным и быстрым способом)))))
На некоторых ПК после всех мероприятий, если не было сканирование всего системного диска, червь Kido был обнаружен вновь утилитой KidoKiller_v3
|
| Червь Net-Worm.Win32.Kido - КАРАУЛ, спасайся, кто как может!!! | 10:53 pm |
|---|
|
30.01.2009 18:44 Danko: У всех должен быть сложный пароль, ну или хотя бы у тех кто обладает админскими правами, начиная с локальных администраторов и выше. Блокировка потому что атакуются станции с перебором пароля. Если подберет пароль и не будет заплатки + антивируса, то считай + 1 к числу зараженных, блокировка усилится ( хотя так и не поняли до конца роль заплаток и антивируса - что важнее). Отключай всю сеть от контроллера, чисти его . Каждую станцию очищай и подключай в сеть. Если хоть одна будет заражена, то флуд будет продолжаться.
Кстати червь может не удалятся ( 2 раза сталкивался)!!! Нужно внимательно пролечивать машины.
30.01.2009 16:31 БЕS: У меня рабочих станций более 2000 (((
win32.Kido.bm,как КТУЛХУ, любезно съел мозг мне, коллегам и юзверям.
Кто-нибудь центролизованно,с K.I.T'a запускал KidoKiller'a #3 на машинах с заплатками от Microsoft'a?
И как результаты?</p>30.01.2009 18:24 sl_ap: Я запускал, но не изпод kit, и у меня вобще нет касперского в домене.. есть только старый симантек.. killkido пихал в GPO с ключом -y
судя по всему - нихрена не помогает..
29.01.2009 11:23 Frunze: Антивирус Касперского 7.0 версия 7.0.1.325 c.d.e (т.е. обычный), полный пи**** на зараженных компах- рабочий стол не грузит, появляется только картинка...короче эта фигня блокирует автозапуск, меняет порты и имена на принтерах...ЖЕСТЬ.
27.01.2009 20:25 lovescan:
1. отключаете везде Автозапуск с любого носителя и сетевых дисках.
- отрубаем службу планировщика задач
- отрубаем службу Сервер (будет вообще замечательно).
2. Запускаете бесплатный антируткит Gmer
3. Удаляете скрытую службу Gmerom (на фул скан не надо ставить).
4. Дальше, запускаете кидокиллер, после проснется Касп Воркстейшн 6. (удалить он не сможет).
5. Перегружаемся.
6. удаляем Касперским червя (он тупо dll грохнет оставшуюся.)
7. Ставим заплатку, включаем службу обновлений винды, и прочее.
p.s. хреново его удалять в сети где стоит корпоротивные воркстейшн 6. Не справляется.
24.01.2009 10:57 патруль:
Не иногда, а всегда.... по крайней мере у нас..
всегда идет в комплекте...
Схема удаления была такой:
1. Смотрим в Far`е или тотале скрытые системные файлы и папки RECYCLER и autorun, в папке RECYCLER сносим все имеющиеся подпапки. Авторун удаляем.
2. Ставим заплатку от майкрософта
3. Отключаем каспера.
4. Проверяем утилитой от Dr.Web
5. Перезагруз.
6. Обновление каспера+полная проверка.
Пока все тихо...
22.01.2009 07:30 DriNk:
Подскажите как побороться с
Net-Worm.Win32.Kido.fn
Бывает что по нескольку раз в день
выдет такое что типа С:\windows\system32\x УДАЛЕНО и во временных папках интернета
удаляет файлы с набором букв...что делать?
отличается ли чем то Kido.fn от других Kido...
P.S. стоит Касперский 2009 с последними обновлениями... 21.01.2009 10:29 barmaleu: Вот способ избавиться от этого гада.
Ставишь DrWeb бесплатную версию, сканируешь, ставишь Outpost отрубаешь netbios в нём и всё тварь эта не залезает более. уже 5 дней сижу и наблюдаю всё ВЕРИ ГУД
19.01.2009 11:19 shadow178: Если червь Net-Worm.Win32.Kido заражает компьютеры с операционной системой Windows,то можно ведь установить на компьютер вместо Windows - Unix или Unix - подобную операционную систему или MULTICS и с распространением червя Net-Worm.Win32.Kido будет покончено!!!
Нановойна: масштаб угрозы
Война-войной, а работа над Новой парадигмой мировоззрения - продолжается...
|
|
|