Kaspersky Internet Security 2009

Technischer Support Service setzt die Kunden von Kaspersky Lab in Kenntnis, dass zur Zeit die Anzahl der Anfragen wegen der Infektion der Workstations und Server unter Betriebssystemen Windows vom Stamm des Netzwerkwurmes Net-Worm.Win32.Kido (andere Benennungen Conficker, Downadup) gestiegen ist.

Zeichen der Infektion im Netzwerk

1. Wenn es im lokalen Netzwerk infizierte Computer gibt, steigt der Umfang des Netzwerkverkehrs, weil von diesen Computern Netzwerkangriff beginnt. 
2. Antiviren-Software mit der aktiven Firewall benachrichtigt über den Angriff Intrusion.Win.NETAPI.buffer-overflow.exploit.
3. Auf die Web-Seiten der meisten Antiviren-Companys, z.B. avira, avast, esafe, drwab, eset, nod32, f-secure, panda, kaspersky u.a. kann nicht zugegriffen werden.
4. Der Versuch Kaspersky Anti-Virus oder Kaspersky Internet Security mit einem Aktivierungscode auf dem vom Net-Worm.Win32.Kido infizierten Computer zu aktivieren kann fehlerhaft abgeschlossen werden und ein der folgenden Fehler kann auftreten:
• Aktivierungsfehler. Aktivierungsvorgang wurde mit dem Systemfehler 2 abgeschlossen.
• Aktivierungsfehler. Die Verbindung mit dem Server fehlt.
• Aktivierungsfehler. Der Servername kann nicht aufgelöst werden.

Kurzbeschreibung der Familie Net-Worm.Win32.Kido.

1. Der Wurm erstellt auf den Wechsellaufwerken (manchmal auf freigegebenen Netzwerklaufwerken) die Datei autorun.inf und die Datei RECYCLED\{SID<....>}\RANDOM_NAME.vmx 
2. Im System wird der Wurm als eine dll-Datei mit einem zufälligen Namen gespeichert. Der Name besteht aus lateinischen Buchstaben, z.B. c:\windows\system32\zorizr.dll 
3. Der Wurm schreibt sich in den Services ein – auch mit einem zufälligen Namen, z.B. knqdgsm. 
4. Der Wurm versucht Computer nach dem Port 445 oder nach dem Port 139 TCP über die Schwachstelle im BS Windows MS08-067 anzugreifen. 
5. Der Wurm wendet sich an folgende Sites zum Erhalten der externen IP-Adresse des infizierten Computers (wir empfehlen Ihnen, die Regel des Monitorings beim Aufruf dieser Sites in der Netzwerkfirewall einzustellen): 
• http://www.getmyip.org 
• http://getmyip.co.uk 
• http://www.whatsmyipaddress.com 
• http://www.whatismyip.org 
• http://checkip.dyndns.org ;

Wie kann man den Wurm löschen?

Der Netzwurm wird mit dem speziellen Tool KK.exe gelöscht. Betriebssyste MS Windows 95 und MS Windows 98 werden der Infektion von Netzwerkwurm nicht ausgesetzt.

Zur Vermeidung der Infektion auf allen Workstations und Servern des Netzwerks müssen folgende Maßnahmen getroffen werden:

• Instllieren Sie die Patches, die die Schwachstellen MS08-067, MS08-068, MS09-001 decken (auf diesen Webseiten müssen Sie das Betriebssystem wählen, das auf dem infizierten Computer installiert ist, den erforderlichen Patch herunterladen und installieren).



• Stellen Sie sicher, dass das Passwort des Benutzerkontos des Administrators einbruchssicher ist - das Passwort muss mindestens 6 Zeichen beinhalten, darunter Groß- und Kleinbuchstaben und/oder Ziffern. Oder Sie können das vorher festgelegte Passwort des lokalen Administrators wechseln.



• Deaktivieren Sie den Autostart der ausführbaren Dateien von Wechseldatenträgern, zu diesem Zweck starten Sie das Tool KK.exe mit dem Schlüssel -a.
• Blockieren Sie den Zugriff auf die TCP-Ports: 445 und 139 mithilfe der Firewall

Der Netzwurm kann mit dem Tool KK.exe auf dem infizierten Computer oder zentralisiert löschen, wenn in Netzwerk Kaspersky Administration Kit integriert ist.

Start des Tool aus der Befehlszeile. Alle Schlüssel, die beim Start des Tools angegeben werden können, sind in der Tabelle unten aufgelistet.

• Starten Sie die Befehlszeile:
• In Windows Vista: Start - Alle Programme - Zubehör - Ausführen - geben Sie cmd ein
• In Windows XP/Server: Start - Ausführen - geben Sie cmd ein.
• Starten Sie das Tool KK.exe:
• Speichern Sie das Tool KK.exe irgendwo auf dem PC
• Zum Start des Tool müssen Sie die Lage des Tools KK.exe angeben. Wenn das Tool beispielsweise auf dem Laufwerk C gespeichert wurde, sieht der Befehl zum Start des Tools so aus: "С:\KK.exe". Anschließend drücken Sie die Eingabetaste.

Für Heim-Anwender (lokale Entfernung)

1. Downloaden Sie das Tool KK.zip (aktuelle Version des Tools 3.4.13) und packen Sie es in einen einzelnen Ordner auf dem infizierten Computer aus. 



2. Starten Sie die Datei KK.exe. 
   
   Nach der Beendigung der Untersuchung kann auf dem Bildschirm das aktive Fenster der Befehlszeile bleiben. Drücken Sie auf eine beliebige Taste, um das Fenster zu schließen. Damit das Fenster automatisch geschlossen wird, starten Sie das Tool KK.exe mit dem Schlüssel -y.
 


3. Warten Sie bis zum Abschluss der Untersuchung ab.

Wenn auf dem Computer, auf dem das Tool KK.exe gestartet wird, Agnitum Outpost Firewall installiert ist, führen Sie nach der Beendigung der Arbeit des Tools unbedingt den Neustart des Computers durch.

4. Führen Sie die Untersuchung des Computers mit Kaspersky Anti-Virus durch 

Für korporative Benutzer (zentralisierte Entfernung)

1. Downloaden Sie das Tool KK.zip (aktuelle Version des Tools 3.4.13) und packen Sie das Archiv aus. 



2. In der Administrationskonsole erstellen Sie das Installationspaket für die Anwendung KK.exe. Bei der Auswahl des Programms wählen Sie die Variante Installationspaket für die benutzerdefinierte Anwendung erstellen.      
   
   Im Feld Parameter der ausführbaren Datei geben Sie den Schlüssel -y an, um das Konsolenfenster nach der Untersuchung automatisch zu schließen.





3. Auf Basis dieses Installationspakets erstellen Sie den Gruppen- oder globalen Task der Remote-Installation für infizierte oder verdächtige Computer des Netzwerks. 
   
   Sie können das Tool KK.exe auf allen Computern Ihres Netzwerks starten.



4. Vor dem Start des Tools deaktivieren Sie unbedingt die Komponente Datei-Anti-Virus aus Kaspersky Anti-Virus auf allen Client-Computern.



5. Ausführen Sie den Task.


Beim Start des Tools über Administration Kit wird es mit den Rechten des Benutzers SYSTEM gestartet. In diesem Fall sind alle Netzlaufwerke / freigegebene Ordner für das Tool nicht verfügbar. Will der Administrator, dass das Tool Berichte auf einem Netzlaufwerk / auf einer Freigabe speichert, muss er das Tool mit dem Befehl run as starten.


6. Nach der Beendigung der Arbeit des Tools führen Sie die Untersuchung jedes Computers im Netzwerk mit Kaspersky Anti-Virus durch.

Wenn auf dem Computer, auf dem das Tool KK.exe gestartet wird, Agnitum Outpost Firewall installiert ist, führen Sie nach der Beendigung der Arbeit des Tools unbedingt den Neustart des Computers durch.

Im Domänennetzwerk sollte man vor allem die Domänenkontroller und die Computer zu desinfizieren, auf denen die Benutzer aus den Gruppen "Administrators" und "Domain Admins" eingeloggt sind. Ansonsten ist die Desinfektion sinnlos - alle Computer in der Domäne werden alle 15 Minuten infizeirt.

Schlüssel zum Start des Tools KK.exe aus des Befehlszeile:

Parameter	Beschreibung
-p <Pfad zur Untersuchung>	ein bestimmtes Verzeichnis untersuchen
-f	Festplatten untersuchen, übertragbare Festplatten untersuchen
-n	Netylaufwerke untersuchen
-r	Flash-Datentr'ger untersuchen
-y	ohne Drücken auf eine Schaltfläche
-s	Silent Mode (ohne schwarzes Fenster)
-l <Dateiname>	Speichern der Information in den Bericht
-v	Führung eines erweiterten Berichts (der Parameter -v funktioniert nur wenn in der Befehlszeile der Parameter -l auch angegeben ist)
-z	Wiederherstellung der Dienste ž  Background Intelligent Transfer Service (BITS), ž  Windows Automatic Update Service (wuauserv), ž  Error Reporting Service (ERSvc/WerSvc)
-х	Wiederherstellung der Möglichkeit versteckte und Systemdateien anzuzeigen
-m	Monitoring der Ströme, Tasks, Services.
-a	Deaktivierung des Autostarts von allen Datenträgern
-j	Wiederherstellung des Zweiges des Verzeichnisses Safe Boot (bei der Löschung dieses Zweiges kann der PC im Safe Mode nicht gestartet werden)
-help	Erhalten der zusätzlichen Information über das Tool

Beispielsweise, um eine Flash-Dateträger zu untersuchen und einen ausführlichen Bericht in die Datei report.txt zu speichern (die Datei wird im Ordner erstellt, wo sich das Tool KK.exe befindet), verwenden Sie folgenden Befehl: