|
De Kaspersky Lab Technische ondersteuning wil haar klanten graag informeren over een verhoogd aantal meldingen van Windows workstations en servers die zijn geïnfecteerd met de network worn Net-Worm.Win32.Kido (of Conficker, Downadup).
Symptomen van network besmetting.
1. Omdat de netwerkaanval begint vanaf besmette PC’s neemt het netwerkverkeer toe wanneer er besmette PC’s in het netwerk zijn.
2. Een Anti-Virus product met ingeschakelde Indringer Detectie informeert over de aanval Intrusion.Win.NETAPI.buffer-overflow.exploit
3. Wanneer het onmogelijk is om websites te benaderen van anti-virus bedrijven zoals avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky, etc.
4. Een poging om Kaspersky Anti Virus of Kaspersky Internet Security te activeren word onverwacht beëindigd met een van de volgende foutmeldingen:
- Activation procedure completed with system error 2.
- Activation error: Server name cannot be resolved.
- Activation error. Unable to connect to server.
Korte beschrijving van de Net-Worm.Win32.Kido familie.
1. Het maakt bestanden autorun.inf en RECYCLED\{SID<....>}\RANDOM_NAME.vmx op verwisselbare schijven (soms op publiek gedeelde netwerken)
2. Het slaat zichzelf op als een DLL met een willekeurige naam, bv, c:\windows\system32\zorizr.dll
3. Het registreert zichzelf in de systeemservices met een willekeurige naam, bv, knqdgsm.
4. Het probeert netwerkcomputers via 445, 135 TCP portaan te vallen, gebruik makend van MS Windows kwetsbaarheid MS08-067.
5. Het probeert verbinding te maken met een van de volgende websites om het externe IP adres van de geïnfecteerde computer te achterhalen (wij adviseren een regel aan te maken in de firewall om verkeer naar deze websites te detecteren):
Desinfectie methodes.
Er dient een speciaal programma KK.exe gebruikt te worden om deze worm te verwijderen. De huidige versie van dit programma kan alleen op NTFS volumes gebruikt worden. Support voor FAT32 komt in een latere versie. Computers met Windows 95 en Microsoft Windows 98 besturingssystemen kunnen niet worden geïnfecteerd met dit virus.
 Om besmetting van fileservers en werkstations met de worm te voorkomen word u aangeraden het volgende te doen:
- Installeer de patch van Microsoft die de kwetsbaarheden MS08-067, MS08-068 en MS09-001 oplost (op deze pagina’s moet u het besturingssysteem van de geïnfecteerde computer selecteren en een corresponderende patch downloaden en installeren).
- Verzeker uw zelf ervan dat het wachtwoord van de lokale beheerder niet voor de handliggend is en dus niet gemakkelijk gekraakt kan worden – het wachtwoord zou minimaal 6 karakters lang moeten zijn; gebruik een mix van hoofdletters, kleine letters, cijfers en leestekens.
- Schakel de autorun van verwijderbare apparaten uit door het KK.exe programma te starten met de -a toevoeging.
- Blokkeer toegang tot TCP poorten 445 en 139 met het netwerkscherm.
Het programma KK.exe kan lokaal op de geïnfecteerde PC, of op afstand m.b.v. de Kaspersky Administration Kit gestart worden. Vanaf versie 3.4.7 gebruikt het KK.exe programma de volgende output codes (%errorlevel%):
3 – Kwaadaardige streams zijn gevonden en verwijderd (worm was actief).
2 – Kwaadaardige bestanden zijn gevonden en verwijderd (worm was inactief).
1 – Kwaadaardige taken of functies zijn onderschept (deze computer is niet geïnfecteerd maar het netwerk zou mogelijk geïnfecteerde Pc’s kunnen bevatten).
0 – Niets gevonden.
Om het virus lokaal te verwijderen:
1. Download het archief
KK_v3.4.8.zip en pak het bestand uit in een map op de besmette computer.
2. Als u een van de volgende programma's heeft geinstalleerd op de besmette PC:
- Kaspersky Internet Security 2009;
- Kaspersky Anti-Virus 2009;
- Kaspersky Internet Security 7.0;
- Kaspersky Anti-Virus 7.0;
- Kaspersky Internet Security 6.0;
- Kaspersky Anti-Virus 6.0;
- Kaspersky Anti-Virus 6.0 for Windows Workstations;
- Kaspersky Anti-Virus 6.0 SOS;
- Kaspersky Anti-Virus 6.0 for Windows Servers.
 Zet dan het component File Anti-Virus van Kaspersky Anti-Virus tijdens het gebruik van het programma op non actief.
Start het programma KK.exe.
3. Start het programma KK.exe
Wanneer u het programma KK.exe is uitgevoert zonder extra toevoegingen dan zal deze een poging doen de infectie te stoppen, het register opruimen en een scan uitvoeren op geheugen, kritieke onderdelen gevoelig voor infecties en flashdrives .
 Wanneer de scan is gestart kan een actief scherm van het command prompt worden weergegeven op uw scherm wat u kan verkleinen door een willekeurige knop te drukken. Om dit scherm automatisch te sluiten moet u het programma KK.exe uitvoeren met de parameter –y.
4. Wacht tot de scan voltooid is.
Wanneer de Agnitum Outpost Firewall is geïnstalleerd op de computer waar het KK.exe programma wordt gestart moet u de PC herstarten wanneer het programma gereed is.
5. Voer een Volledige scan uit met Kaspersky Anti-Virus.
Om het virus m.b.v. de Administration Kit te verwijderen:
1. Download het archiefbestand met het programma KK_v3.4.8.zip en pak het uit in een map.
2. Maak in de Administration Kit een installatiepakket voor het programma KK.exe. Selecteer in de installatiepakket instellingen tijdens de Applicatie stap de variant Make installation package for specified executable file.
 Geef In het veld Executable file command line (optional) de parameter –y zodat het console venster automatisch sluit wanneer het programma klaar is.
.jpg)
3. Maak een global of group taak voor remote installatie van het packet naar de aangewezen computers en start deze.
Het programma KK.exe kan op alle computers in uw netwerk gestart worden.
Start de taak.
4. Schakel het component File Anti-Virus van Kaspersky Anti-Virus op client PCs uit tijdent het gebruiken van het programma.
5. Start de taak.
Wanneer het programma is gestart via de Administration Kit dan zal deze worden gestart met SYSTEM user permissies waardoor netwerkschijven of shared folders niet toegankelijk zijn voor het programma. Als de beheerder het programma wil laten schrijven naar een shared resource of netwerk schijf dan moet het worden gestart middels het ‘run as’ commando.
6. Wanneer het programma klaar is scan iedere computer in het netwerk met Kaspersky Anti-Virus.
Wanneer de Agnitum Outpost Firewall is geïnstalleerd op de computer waar het KKiller.exe programma wordt gestart moet u de PC herstarten wanneer het programma gereed is.
Om meer information over het programma te krijgen, start uw KKiller.exe met de extra parameter –help
Om meer information over het programma te krijgen, start uw KKiller.exe met de extra parameter –help.
In een domein netwerk is het belangrijk om in de eerste plaats domeinen en computers met gebruikers van de groepen “Administrators” en “Domain Admins” te desinfecteren. Wanneer dit niet gebeurd zullen alle Pc’s in het netwerk automatisch elke 15 opnieuw worden geïnfecteerd.
Schakelt naar KK.exe management vanaf de opdrachtregel:
|
Switch |
Description |
|
-p <Scan path> |
scan een map |
|
-f |
scan hardeschijven, scan verwijderbare harde schijven |
|
-n |
scan netwerkschijven |
|
-r |
scan verwisselbareschijven |
|
-y |
beëindig programma zonder een toets te drukken |
|
-s |
stille modus (zonder zwart scherm) |
|
- -l <bestandsnaam> |
schrijf info naar een log |
|
-v |
Uitgebreid logboek onderhoud (-v werkt alleen wanneer -l wordt gebruikt op de commandoregel) |
|
-z |
gegeven worden
- Background Intelligent Transfer Service (BITS),
- Windows Automatic Update Service (wuauserv),
- Error Reporting Service (ERSvc/WerSvc
- Windows Defender (WinDefend)
- Windows Security Center Service (wscsvc).
|
|
-х |
restore display of hidden system files |
|
-a |
auto start van alle schijven uitschakelen |
|
-help |
show extra informatie over het programma |
|
-j |
herstel de registertak SafeBoot (als de registertak verwijderd is kan de computer niet in veilige modus starten) |
|
-m |
Modus om threads, taken en diensten te bewaken |
Bijvoorbeeld, om een flashschijf te scannen en een gedetailleerd rapport naar het bestand report.txt te schrijven (welke in de installatiemap van het programma KK.exe staat) gebruikt u de volgende opdracht:
KK.exe -r -y -l report.txt -v
| 
123 
09.09.2009 13:22
