|
Informacja dotyczy następujących produktów:
Kaspersky Internet Security 6.0/7.0/2009
Kaspersky Anti-Virus 6.0/7.0/2009
Kaspersky Anti-Virus 6.0 for Windows Workstations (wszystkie wersje)
Kaspersky Anti-Virus 6.0 for Windows Servers (wszystkie wersje)
Kaspersky Administration Kit 6.0 MP1/MP2
Dział pomocy technicznej pragnie poinformować klientów firmy Kaspersky Lab, że istnieje wzrost zgłoszeń dotyczących infekcji stacji roboczych i serwerów działających pod kontrolą systemu Windows robakiem sieciowym Net-Worm.Win32.Kido(aka Confiker, Downadup).
Objawy zainfekowania sieci .
1. Jeżeli w sieci znajdują się zainfekowane komputery wówczas ruch sieciowy wzrasta, ponieważ atak sieciowy rozpoczyna się właśnie od tych komputerów.
2. Program antywirusowy z włączonym Systemem wykrywania włamań poinformuje o ataku Intrusion.Win.NETAPI.buffer-overflow.exploit
3. Nie jest możliwe uzyskanie dostępu do stron internetowych większości firm antywirusowych, np. np. avira, avast, esafe, drweb, Eset, NOD32, F-Secure, Panda, Kaspersky, itp.
Próba aktywacji kodem aktywacyjnym programu Kaspersky Anti-Virus lub Kaspersky Internet Security na komputerze zainfekowanym robakiem sieciowym Net-Worm.Win32.Kido, może spowodować nieprawidłowe zakończenie tej procedury oraz jeden z następujących błędów:
- Procedura aktywacji zakończona zostanie błędem systemowym 2.
- Błąd aktywacji: Nie można rozwiązać nazwy serwera.
- Błąd aktywacji. Nie można połączyć się z serwerem.
Krótki opis robaka z rodziny Net-Worm.Win32.Kido.
1. Robak tworzy na dyskach wymiennych (czasami w sieci publicznej) pliki autorun.inf and RECYCLED\{SID<....>}\RANDOM_NAME.vmx
2. Ukrywa się w systemie jako plik DLL z nazwą losową, na przykład, c:\windows\system32\zorizr.dll
3. Rejestruje się w usługach systemu z losową nazwą, na przykład, knqdgsm.
4. Stara się atakować komputery w sieci przy użyciu portu 445, 135 TCP port, poprzez lukę systemu MS Windows MS08-067.
5. Próbuje nawiązać połączenie z następującymi witrynami (zalecamy skonfigurowanie zapory sieciowej tak, aby monitorowała dostęp połączeń do tej strony):
Metody leczenia .
Aby usunąć tego robaka należy użyć specjalnego narzędzia KK.exe.Systemy operacyjne MS Windows 95 i MS Windows 98 nie mogą być zarażone tym robakiem sieciowym.
 Aby uniknąć zakażenia tym robakiem, zalecane jest wykonanie następujących poleceń:
- Zainstaluj poprawkę firmy Microsoft, która zabezpieczy lukę MS08-067, MS08-068, MS09-001 (na tych stronach należy określić system operacyjny, który jest zainstalowany na zainfekowanych komputerach a następnie pobrać i zainstalować odpowiadnią poprawkę).
- Upewnij się, że hasło do konta administratora nie jest oczywiste i nie może być łatwo złamane - hasło powinno zawierać minimum 6 liter, użyj mieszanych wielkich i małych liter, cyfr i innych znaków alfanumerycznych takich jak znaki interpunkcyjne.
- Wyłącz autoodtwarzanie plików wykonywalnych z dysków wymiennych poprzez uruchomienie narzędzia KK.exe z przełącznikiem -a.
- Przy użyciu monitora sieciowego zablokuj porty TCP 445 i 139.
Narzędzie KK.exe może być uruchomione lokalnie na zainfekowanych komputerach lub zdalnie za pomocą narzędzia Kaspersky Administration Kit.
Aby usunąć wirusa lokalnie:
1. Pobierz archiwum KK.zip i wyodrębnij jego zawartość do folderu na zainfekowanym komputerze.
2. Jeżeli na komputerze zainstalowana jest jedna z następujących aplikacji firmy Kaspersky Lab:
- Kaspersky Internet Security 2009;
- Kaspersky Anti-Virus 2009;
- Kaspersky Internet Security 7.0;
- Kaspersky Anti-Virus 7.0;
- Kaspersky Internet Security 6.0;
- Kaspersky Anti-Virus 6.0;
- Kaspersky Anti-Virus 6.0 for Windows Workstations;
- Kaspersky Anti-Virus 6.0 SOS;
- Kaspersky Anti-Virus 6.0 for Windows Servers.
 na czas uruchomienia narzędzia KK.exe, w ustawieniach aplikacji Kaspersky Anti-Virus proszę wyłączyć moduł Ochrona.
Uruchom plik KK.exe.
3. Uruchom plik KK.exe
Jeżeli plik KK.exe uruchomiłeś bez przełączników, wówczas narzędzie zatrzyma aktywną infekcję (zabije zagrożenia i usunie podpięte haczyki), wykona skanowanie pamięci oraz obszarów krytycznych podatnych na infekcję, wyczyści rejestr, przeskanuje dyski wymienne.
 Po zakończeniu procesu skanowania na monitorze komputera wyświetlone zostanie okno wiersza poleceń, w celu zminimalizowania okna wciśnij dowolny przycisk. Aby okno wiersza poleceń zostało zamknięte automatycznie po zakończeniu działania narzędzia KK.exe, należy je uruchomić z wiersza poleceń z przełącznikiem –y.
4. Zaczekaj, aż proces skanowania zostanie zakończony.
Jeżeli na komputerze, na którym uruchomione zostało narzędzie KK.exe zainstalowany jest Agnitum Outpost Firewall, w tym przypadku obowiązkowe jest ponowne uruchomienie komputera po zakończeniu pracy narzędzia.
5. Uruchom pełne skanowanie komputera programem Kaspersky Anti-Virus.
Aby usunąć ten wirus poprzez narzędzie Administration Kit:
1. Pobierz archiwum z narzędziem KK.zip i wypakuj jego zawartość do foldera.
2. W konsoli Administration Kit utwórz pakiet instalacyjny dla aplikacji KKiller.exe. W ustawieniach pakietu instalacyjnego w kroku Aplikacja wybierz wariant Utwórz pakiet instalacyjny dla określonego pliku wykonywalnego.
 W polu Plik wykonywalny w wiersza poleceń (opcjonalnie) wprowadź parametr –y aby zamknąć okno konsoli automatycznie po zakończeniu pracy narzędzia.
3. Utwórz wcześniej globalne lub grupowe zadanie zdalnej instalacji tego pakietu dla wyznaczonych komputerów i je uruchom.
Narzędzie KK.exe można uruchomić na wszystkich komputerach w sieci.
4. Na czas uruchomienia narzędzia na wszystkich komputerach klienckich, proszę wyłączyć moduł Ochrona programu Kaspersky Anti-Virus.
5. Uruchom to zadanie.
Jeżeli narzędzie uruchomione zostanie poprzez Kaspersky Administration Kit, wówczas uruchomione zostanie z uprawnieniami użytkownika SYSTEMOWEGO dzięki czemu wszystkie dyski sieciowe i foldery udostępnione nie będą dla niego dostępne. Jeżeli administrator chciałby aby narzędzie zapisało raporty na dysku sieciowym lub zasobach udostępnionych, narzędzie musi zostać uruchomione przy użyciu polecenia ‘Uruchom jako’.
6. Po zakończeniu dziłania narzędzia, każdy komputer należy przeskanować przy użyciu programu Kaspersky Anti-Virus.
Jeżeli na komputerze, na którym uruchomione zostało narzędzie KK.exe zainstalowany jest program Agnitum Outpost Firewall, w tym przypadku po zakończeniu działania narzędzia należy ponownie uruchomic komputer.
Aby uzyskać dodatkowe informacje na temat tego narzędzia, uruchom je z przełącznikiem –help. Ważne jest aby w domenie wyleczyć w pierwszej kolejności komputery z użytkownikami zalogowanymi jako "Administratorzy" lub "Administratorzy demeny". W przeciwnym razie leczenie będzie bezcelowe – wszystkie komputery w domenie będą infekowane co 15 minut.
Przełączniki umożliwiające zarządzanie narzędziem KK.exe z wiersza poleceń:
|
Przełącznik |
Opis |
|
-p <ścieżka skanownia> |
skanowanie określonego foldera |
|
-f |
skanowanie dysków twardych |
|
-n |
skanowanie dysków sieciowych |
|
-m |
tryb monitorowania do ochrony systemu przed zainfekowaniem |
|
-t |
oczyści rejestr z usług, które pozostają po usunięciu robaka sieciowego przy użyciu naszych produktów |
|
-r |
skanowanie pamięci flash, skanowanie dysków wymiennych podłączonych poprzez USB lub Fire Wire |
|
-y |
zakończenie działania programu poprzez kliknięcie dowolnego klawisza |
|
-s |
tryb cichy (bez okna kreatora) |
|
- -l <nazwa pliku> |
zapisuje logi z działania narzędzia |
|
-v |
Rozszerzony raport działania (przełącznik -v działa tylko wtedy, gdy w wierszu poleceń wprowadzony jest przełącznik -l) |
|
-z |
przywracanie usług
- Background Intelligent Transfer Service (BITS),
- Windows Defender (WinDefend),
- Windows Security Center Service (wscsvc),
- Windows Automatic Update Service (wuauserv),
- Error Reporting Service (ERSvc/WerSvc
|
|
-х |
przywraca wyświetlanie ukrytych plików systemowych |
|
-a |
wyłącza autoodtwarzanie wszystkich dysków |
|
-help |
wyświetla dodatkowe informacje o narzędziu |
|
-m |
Tryb monitorowania wątków, zadań, usług |
|
-j |
przywraca gałąź rejestru SafeBoot (jeżeli ta gałąź została usunięta, komputera nie można uruchomić w trybie awaryjnym) |
Na przykład, aby przeskanować pamięć przenośną oraz wygenerować i zapisać szczegółowy raport do pliku report.txt (który zostanie utworzony w folderze instalacyjnym narzędzia KK.exe), należy wykorzystać następujące polecenie:
KK.exe -r -y -l report.txt -v
Począwszy od wersji 3.4.6 narzędzie KK.exe zwraca następujące kody (%errorlevel%):
3 - Złośliwe wątki zostały wykryte i zabite (robak był aktywny).
2 - Pliki złośliwego programu zostały wyszukane i usunięte (robak był nieaktywny).
1 - Wykryta została praca lub podpięte funkcjonowanie terminarza złośliwego programu (ten komputer nie jest zainfekowany, lecz w sieci mogą znajdować się zainfekowane komputery – administrator powinien rozwiązać ten problem).
0 - Nic nie znaleziono.
|
Baza wiedzy
Informacje o produkcie
Wymagania systemowe 
410 
08.10.2009 17:31
