Lire la meme chose en:    Français  日本語  Polski  Español  
Rechercher:
Article ID #   
Recherche avancée:
Donnez votre avis sur les articles techniques de notre site:
Le niveau technique des articles 
L'exhaustivité de l'information dans les articles 
Avez-vous trouvé la réponse à votre question?* 
La présentation de l'information 
Les remarques importantes pour les articles* 
diminuer le volume
augmenter le volume
mettre en évidence les informations principales
améliorer la structure
améliorer la présentation
augmenter la quantité d'articles
pas de remarques
Mes réponses sont attribuées à la section* 


 
Recherche:  
Aide à la recherche Article ID # :     
 

Kaspersky Anti-Virus 6.0 for Windows Workstations MP3

 

Comment combattre l'infection par le vers Kido (Net-Worm.Win32.Kido) [KK.exe version 3.4.13] ?

 ID Article: 1956    Autres langages:  日本語  Polski  Español      Voir pour 7 jours 30    Dernière modification le 14.10.2011 11:16 Version imprimable

Concerne :
  • Kaspersky Internet Security 6.0/7.0/2009
  • Kaspersky Anti-Virus 6.0/7.0/2009
  • Kaspersky Anti-Virus 6.0 for Windows Workstations MP1/MP2/MP3
  • Kaspersky Anti-Virus 6.0 for Windows Servers MP1/MP2/MP3
  • Kaspersky Administration Kit 6.0 MP1/MP2
  • Kaspersky Lab informe ses clients d'une augmentation d'infection des postes de travail et des serveurs équipés par les Système d'Exploitation Windows par le ver réseau Net-Worm.Win32.Kido (aussi connu sous les noms Conficker, Downadup). 

    Symptômes d'infection du réseau 

    1. Trafic réseau plus important sur les PCs infectés car les attaques de réseau se lancent de ces ordinateurs.

    2. Les Anti-Virus dont le pare-feu a été  activé informent d'une attaque Intrusion.Win.NETAPI.buffer-overflow.exploit.

    3. Il est impossible d'accéder aux sites web de la plupart des éditeurs de logiciel anti-virus, p.ex. avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky, etc.

    4. La tentative d'activer Kaspersky Anti-Virus ou Kaspersky Internet Security avec un code d'activation sur les ordinateurs infectés par le ver Net-Worm.Win32.Kido peut se terminer avec l'une des erreurs suivantes:

    • Activation procedure completed with system error 2.
    • Activation error: Server name cannot be resolved.
    • Activation error. Unable to connect to server.


     

    InformationSi votre ordinateur n'est pas infecté par le ver de réseau Net-Worm.Win32.Kido mais vous recevez les messages d'erreur au cours de l'activation de votre Kaspersky Anti-Virus/ Kaspersky Internet Security, on vous invite à consulter les Références utiles où les causes possibles des erreurs d'activation sont décrites

    Courte description de la famille Net-Worm.Win32.Kido

    1. Le ver crée les fichiers autorun.inf et RECYCLED\{SID<....>}\RANDOM_NAME.vmx sur des lecteurs amovibles (parfois sur des disques de réseau partages).

    2. Le ver est sauvegardé dans le système comme un fichier DLL avec un nom choisi au hasard, p.ex. c:\windows\system32\zorizr.dll.

    3. Le ver s'enregistre dans les services de système sous un nom choisi au hasard, p.ex. knqdgsm.

    4. Le ver essaye d'attaquer les PCs du réseau via le port 445 ou 139 TCP, utilisant la vulnérabilité MS08-067 de MS Windows.

    5. Le ver se connecte aux sites suivants pour obtenir les adresses IP externes des PCs infectés (Kaspersky Lab conseille de créer une règle de surveillance de connexion à l'un de ces sites dans le pare-feu):

     

    Méthodes de désinfection

    Il est nécessaire d'utiliser l'outil spécial KK.exe pour supprimer ce ver. Les Systèmes d'exploitation suivants ne peuvent pas être infectés par ce ver de réseau: MS Windows 95/MS Windows 98/MS Windows ME.

    Warning Afin d'éviter toute infection de postes de travail et serveurs de fichiers, nous vous conseillons de:

      • Installer le correctif de Microsoft pour éliminer les vulnérabilités MS08-067, MS08-068, MS09-001 (sur ces pages veuillez de choisir le système d'exploitation du PC infecté, de télécharger le correctif correspondant et de l'installer).

     

      • Vous assurer que le mot de passe du compte de l'administrateur local ne soit pas évident et qu'il ne puisse pas être deviné facilement - le mot de passe doit être composé de 6 lettres au minimum; utilisez un mixte de majuscules et de minuscules, les chiffres et les caractères non-alphabétique.

     

      • Désactiver le lancement automatique des fichiers exécutables des drives amovibles en exécutant l'outil KK.exe avec le paramètre -a.

        Pour  Windows XP/Serveur: Démarrer - Exécuter - tapez kk.exe -a - cliquez OK.
        Pour Windows Vista: Démarrer - Tous les programmes - Accessoires - Exécuter - tapez kk.exe -a - cliquez OK.
      • Bloquer l'accès aux ports 445 et 139 TCP par le pare-feu.

        Nous vous invitons à ne bloquer ces ports que pendant la période de désinfection. Dès que la désinfection du réseau sera effectuée, vous pourrez ouvrir ces ports à nouveau.

    L'outil  KK.exe peut être exécuté localement sur un PC infecté aussi bien qu'a distance via Kaspersky Administration Kit.

     

    Exécution de l'outil via ligne de commande. Tous les paramètres qui peuvent être utilisées au cours de l'exécution de l'outil sont indiqués dans le tableau plus bas dans le texte.

    • Pour lancer la ligne de commande:
      • Windows Vista: Démarrer > Tous les programmes > Accessoires > Ligne de commande > tapez cmd et appuyez sur Entrée.
      • Windows XP/Server: Démarrer > Exécuter > tapez cmd et appuyez sur Entrée.
    • Pour exécuter l'outil KK.exe:
      • Enregistrez l'outil  KK.exe  sur le disque C par exemple.
      • Pour exécuter l'outil il est nécessaire d'indiquer son emplacement. Par exemple, si vous avez enregistré l'outil sur le disque C, tapez "Ñ:\KK.exe" dans la ligne de commande et appuyez sur Entrée.

     

    Pour supprimer le ver localement:

    1. Télécharger le fichier compresse KK.zip (la version actuelle de l'outil est 3.4.13) et l'extraire dans un dossier sur un PC infecte.

    2. Si l'une des applications suivantes de Kaspersky Lab est installée sur le PC infecté:

    - Kaspersky Internet Security 2009;
    - Kaspersky Anti-Virus 2009;
    - Kaspersky Internet Security 7.0;
    - Kaspersky Anti-Virus 7.0;
    - Kaspersky Internet Security 6.0;
    - Kaspersky Anti-Virus 6.0; 
    - Kaspersky Anti-Virus 6.0 for Windows Workstations;
    - Kaspersky Anti-Virus 6.0 SOS;
    - Kaspersky Anti-Virus 6.0 for Windows Servers.

    WarningVeuillez désactiver  l'Anti-Virus Fichiers de Kaspersky Anti-Virus pendant l'exécution de l'outil.

    3. Exécuter le fichier KK.exe.

    Si l'outil KK.exe est  exécuté sans clé, il arrête l'infection active (élimine les flux et arrête les écoutes), analyse le mémoire de système et les secteurs vulnérable à l'infection, nettoie la base de registre, analyse les flash-drives.

    Information A la fin de l'analyse, il est possible de voir la fenêtre active de la ligne de commande, appuyez sur une touche afin de fermer cette fenêtre. Pour que la fenêtre de la ligne de commande se ferme automatiquement à la fin de l'analyse, exécutez l'outil KK.exe avec le paramètre -y.

    4. Attendre la fin de l'analyse.

    Warning Si Agnitum Outpost Firewall est installé sur le PC ou l'outil KK.exe a été exécuté, il est obligatoire de redémarrer l'ordinateur une fois l'exécution terminée..

     

    5. Lancer l'analyse complète du PC avec Kaspersky Anti-Virus.

    Pour supprimer le ver  via Administration Kit:

    1. Télécharger le fichier compressé KK.zip (la version actuelle de l'outil est 3.4.13) et l'extraire dans un dossier.

    2. Créer un paquet d'installation pour l'application KK.exe dans la Console d'Administration. Dans les configurations du paquet d'installation, à l'étape Application, choisir la variante Make installation package for specified executable file.

    Information Dans le champ Executable file command line (optional) définir le paramètre -y pour la fermeture automatique de la fenêtre de console à la fin d'analyse..

     

     

    3. A la base de ce paquet d'installation créer une tache de groupe ou une tache globale de l'installation à distance pour tous les PCs infectés ou suspects du réseau.

    Information Il est possible d'exécuter l'outil KK.exe sur tous les ordinateurs de votre réseau. .

     

    4. Veuillez désactiver  Anti-Virus Fichiers de Kaspersky Anti-Virus sur les PCs  pendant le travail de l'outil.

    5. Exécuter la tache.


    InformationSi l'outil est exécuté via Administration Kit il est donc lancé avec les droits SYSTEM, il s'ensuit qu'il n'a pas d'accès aux lecteurs réseau ni aux dossiers partagés. Si vous souhaitez que l'outil crée les rapports dans un dossier partagé ou sur un lecteur réseau, il doit être exécuté avec la commande 'Exécuter en tant que:'.

    6. Dès que l'exécution de l'outil est terminé, lancer l'analyse complète de tous les PCs du réseau avec Kaspersky Anti-Virus.

    Warning Si Agnitum Outpost Firewall est installé sur le PC ou l'outil KK.exe a été exécuté, il est obligatoire de redémarrer l'ordinateur une fois l'exécution terminée.
    Afin d'obtenir des informations complémentaires sur l'outil, exécutez KK.exe avec le paramètre  -help.

    To get additional information about the utility, run KK.exe with an additional parameter -help.

    InformationDans un domaine, il est important de désinfecter en premier les contrôleurs du domaine et les ordinateurs où les utilisateurs du domaine avec les droits 'Administrateurs' et ' Administrateurs du domaine' travaillent. Autrement, la désinfection sera inutile et tous les PCs du domaine seront infectes à nouveau toutes les 15 minutes.

     

    Paramètres avec lesquels l'outil KK.exe peut être exécuté via la ligne de commande

    Switch

    Description

    -p <direction vers l'objet à analyser>

    Analyse un dossier défini.

    -f

    Analyse les disques durs.

    -n

    Analyse les disques réseau.

    -r

    Analyse les clés USB, les disques durs amovibles branchés via USB et Fire Wire.

    -y

    Termine l'analyse sans appuyer sur une touche.

    -s

    Mode silencieux (sans fenêtre noire de console).

    -l <nom de fichier>

    Enregistrement d'information dans un fichier .log.

    -v

    Enregistrement d'un fichier .log détaillé (le paramètre -v est possible à condition que le paramètre -l  soit exécuté via la ligne de commande).

    -z

    Restitution des services suivants:

    • Background Intelligent Transfer Service (BITS),
    • Windows Automatic Update Service (wuauserv),
    • Error Reporting Service (ERSvc/WerSvc),
    • Windows Defender (WinDefend),
    • Windows Security Center Service (wscsvc).

    Affichage des fichiers protégés du système d'exploitation.

    -a

    Désactivation du démarrage automatique de tous les lecteurs.

    -m

    Mode de surveillance contre l'infection du système d'exploitation.
    Avec ce paramètre, l'outil reste constante ment en mémoire et effectue des analyses périodiques. Si une infection est détectée l'outil désinfectera l'ordinateur et poursuivra sa surveillance.

    -t

    Suppression des services dans la base de registre toujours présent après la suppression du ver par nos produits.

    -j

    Restauration  de l'arborescence du registre SafeBoot (si cette arborescence est supprimée, il est impossible de démarrer l'ordinateur en mode sans échecs).

    -help

    Affiche des informations supplémentaires sur l'outil.


     

    Par exemple, pour analyser une clé USB et enregistrer un rapport détaillé dans le fichier report.txt (qui sera crée dans le dossier avec l'outil KK.exe), utilisez la commande suivante: in order to scan a flash-drive and to generate and write a detailed report into a file report.txt (which will be created in the setup folder of the utility KK.exe), use the following command:

    KK.exe -r -y -l report.txt -v


    pour analyser une autre partition du disque, p.ex. D, veuillez exécuter la commande:

    kk.exe -p D:\

    A partir de la version 3.4.6 l'outil KK.exe contient les codes de retour suivants  (%errorlevel%):

    3 - Des flux malveillants ont été détectés et supprimés (le ver était actif).
    2 - Des fichiers malveillants ont été détectés et supprimés (le ver était inactif).
    1 - Les taches malveillantes du planificateur ou des fonctions de ' hooks ' ont été détectées (ce PCs n'est pas infecté mais le réseau contient des ordinateurs infectés - l'administrateur de système doit y prêter son attention).
    0 - Rien n'a été détecté.


     Cette solution a t-elle répondu à votre question?


    Si vous voulez participez à notre enquête de satisfaction, cliquez ici.

     

    Kaspersky Lab

    Copyright © 1997-2014 Kaspersky Lab
    Site map  |   Contactez nous  |   Support international  |  Soumettre des fichiers suspects
    Accès à votre espace personnel  |   S'enregistrer  |   FAQ sur l'espace personnel
    S'identifier sur CompanyAccount  |   S'enregistrer   |   FAQ pour CompanyAccount

    Restez connecté