Jak wyczyścić komputer firmowy z robaka sieciowego Net-Worm.Win32.Kido (aka Conficker, Downadup)?

	Przydatne artykuły
	W jaki sposób można zwalczyć robaka sieciowego Net-Worm.Win32.Kido (Conficker, Downadup)

Krótki opis rodziny robaków Net-Worm.Win32.Kido

• Szkodliwe oprogramowanie tworzy pliki autorun.inf i RECYCLED\{SID<....>}\RANDOM_NAME.vmx na nośnikach wymiennych (czasami w udostępnionych zasobach sieci publicznej)
• Zapisuje się w systemie jako plik z rozszerzeniem .dll z losową nazwą, na przykład: c:\windows\system32\zorizr.dll
• Rejestruje się w usługach systemowych z losową nazwą, na przykład knqdgsm
• Próbuje atakować komputery w sieci poprzez port TCP 445 lub 139, używając luki MS08-067 w MS Windows
• Próbuje wejść na poniższe strony www, aby ustalić zewnętrzny adres IP zainfekowanego komputera (zalecamy ustawienie w zaporze sieciowej reguły monitorującej próby łączenia się z tymi stronami):
  
  
• http://www.getmyip.org
• http://getmyip.co.uk
• http://www.whatsmyipaddress.com
• http://www.whatismyip.org
• http://checkip.dyndns.org
  

Symptomy infekcji

• Zwiększa się ruch sieciowy, jeżeli w sieci znajdują się zainfekowane komputery, ponieważ atak sieciowy zaczyna się z tych komputerów
• Program antywirusowy z włączoną Zaporą sieciową wyświetla komunikaty o ataku Intrusion.Win.NETAPI.buffer-overflow.exploit
  
  WAŻNE
  
  Jeżeli będziesz otrzymywał wiadomości o ataku, oznacza to, że zainfekowany jest zdalny komputer (jego adres jest wyświetlany w wiadomości). Jeżeli jest to możliwe, należy go wyleczyć w celu zatrzymania ataków.
  
  
• Nie można otworzyć stron internetowych większości firm oferujących programy antywirusowe, np.: avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky itd.
• Kaspersky Anti-Virus wciąż wykrywa w folderze system32 i usuwa z niego pliki z losowymi nazwami i rozszerzeniami (np. oufgt.quf). Pełne skanowanie nie wykrywa niczego na komputerze
  
  WAŻNE
  

  Powtarzające się wykrywanie tych plików nie oznacza, że komputer jest zainfekowany. Oznacza to, że w domenie posiadającej uprawnienia administracyjne (dostęp do $ADMIN na zaatakowanych komputerach umożliwiający kopiowanie plików do folderu system32) znajdują się zainfekowane komputery.

  Kaspersky Anti-Virus blokuje próby infekcji w momencie kopiowania ciała szkodliwego programu.
  W celu zatrzymania ataków konieczne jest zidentyfikowanie i wyleczenie zainfekowanych komputerów. Jako pierwsze powinny zostać sprawdzone kontrolery domen.

Środki ochrony

Systemy operacyjne MS Windows 95/MS Windows 98/MS Windows ME nie są infekowane tym robakiem sieciowym.

Zaleca się wykonanie poniższych działań na wszystkich hostach, aby zapobiec infekcji stacji roboczych oraz serwerów plików tym robakiem:

1. Zainstaluj łaty firmy Microsoft MS08-067, MS08-068, MS09-001 (na następujących stronach wybierz, jaki system operacyjny jest zainstalowany na zainfekowanym komputerze, pobierz odpowiednią łatę i zainstaluj ją).
   
2. Upewnij się, że hasła do konta lokalnego administratora nie można łatwo złamać (powinno zawierać minimum 6 znaków i składać się z małych i dużych liter, cyfr oraz znaków niealfanumerycznych, takich jak znaki interpunkcyjne).
   
3. Wyłącz autoodtwarzanie plików wykonywalnych na dyskach przenośnych:
   
   
1. Pobierz i wypakuj narzędzie KidoKiller (kk.zip), na przykład, na dysku C:
2. Uruchom plik kk.exe z poziomu wiersza poleceń z przełącznikiem -a
   
   
4. W zaporze sieciowej zablokuj dostęp do portów TCP 445 i 139. Zablokowanie tych portów jest konieczne tylko w okresie leczenia. Porty te będzie można odblokować zaraz po zakończeniu procesu leczenia.
   

Leczenie lokalne

1. Pobierz archiwum kk.zip i wypakuj jego zawartość do foldera na zainfekowanym hoście.
   
2. Na czas używania narzędzia wyłącz moduł Ochrona plików.
   
3. Uruchom plik kk.exe.
   
   Jeżeli uruchomisz plik kk.exe bez żadnych przełączników, narzędzie powstrzyma aktywne zagrożenia (zakończy procesy i usunie zainfekowany kod), przeskanuje obszary krytyczne podatne na zainfekowanie, podda skanowaniu pamięć i dyski flash oraz wyczyści rejestr.
   
   
4. Poczekaj na zakończenie skanowania.
   

   Jeżeli uruchamiasz narzędzie na hoście z zainstalowaną aplikacją Agnitum Outpost Firewall, wówczas po zakończeniu pracy narzędzia konieczne będzie ponowne uruchomienie komputera.

5. Przeskanuj cały komputer przy pomocy programu Kaspersky Anti-Virus.
   

1. Pobierz i rozpakuj archiwum kk.zip
   
2. W Konsoli administracyjnej utwórz pakiet instalacyjny dla aplikacji kk.exe. W kroku Aplikacja wybierz opcję Utwórz pakiet instalacyjny dla określonego pliku wykonywalnego.
   W polu Parametry wiersza poleceń (opcjonalnie) wprowadź parametr -y, aby okno konsoli zostało zamknięte automatycznie po zakończeniu zadania narzędzia.
   

   

   
   
3. Użyj tego pakietu do utworzenia grupowego/globalnego zadania zdalnej instalacji aplikacji dla zainfekowanych lub podejrzanych komputerów w sieci.
4. Przed uruchomieniem narzędzia konieczne jest wyłączenie na wszystkich komputerach klienckich modułu Ochrona plików programu Kaspersky Anti-Virus.
5. Uruchom zadanie.
   
   WAŻNE
   

   Najpierw należy wyleczyć kontrolery domeny i hosty z zalogowanymi użytkownikami należącymi do grup domenowych Administratorzy i Administratorzy domeny. W przeciwnym razie leczenie nie będzie skuteczne, a komputery należące do domeny będą cały czas infekowane (co 15 minut).
   

   W przypadku, gdy uruchamiasz narzędzie za pośrednictwem Administration Kit, zostanie ono włączone z uprawnieniami konta SYSTEM, bez możliwości dostępu do wszystkich dysków sieciowych i folderów współdzielonych.
   
   Jeżeli administrator chce, aby narzędzie zapisywało raporty na dysku sieciowym lub w zasobie współdzielonym, wówczas należy uruchomić je przy pomocy polecenia 'uruchom jako'.
   

6. Po zakończeniu pracy narzędzia przeskanuj każdy komputer w sieci programem Kaspersky Anti-Virus.
   
   Jeżeli uruchamiasz narzędzie na hoście z zainstalowaną aplikacją Agnitum Outpost Firewall, wówczas po zakończeniu pracy narzędzia konieczne będzie ponowne uruchomienie komputera.
   
   

Przełączniki umożliwiające zarządzanie narzędziem KK.exe z poziomu wiersza poleceń

Przełącznik	Opis
-f	Skanowanie dysków twardych.
-n	Skanowanie dysków sieciowych.
-r	Skanowanie dysków flash, dysków wymiennych podłączonych poprzez USB lub FireWire.
-y	Zakończenie działania programu bez konieczności naciskania jakiegokolwiek klawisza.
-s	Tryb cichy (bez czarnego okna)
-l <nazwa pliku>	Zapisywanie informacji w raporcie.
-v	Rozszerzony raport z działania (przełącznik -v działa tylko wtedy, gdy w wierszu poleceń wprowadzony jest przełącznik -l).
-z	Przywracanie następujących usług: Background Intelligent Transfer Service (BITS), Windows Automatic Update Service (wuauserv), Error Reporting Service (ERSvc/WerSvc), Windows Defender (WinDefend), Windows Security Center Service (wscsvc).
-x	Przywracanie wyświetlania ukrytych plików systemowych.
-a	Wyłączanie autoodtwarzania wszystkich dysków.
-m	Włączanie trybu monitorowania w celu ochrony systemu przed zainfekowaniem.
-j	Przywracanie gałęzi rejestru SafeBoot (jeżeli ta gałąź została usunięta, komputera nie można uruchomić w trybie awaryjnym)
-help	Wyświetlanie dodatkowych informacji o narzędziu.

Na przykład, aby przeskanować pamięć przenośną oraz wygenerować i zapisać szczegółowy raport do pliku report.txt (który zostanie utworzony w folderze instalacyjnym narzędzia kk.exe), należy wykorzystać następujące polecenie:

KK.exe -r -y -l report.txt -v

w celu przeskanowania innego dysku lub partycji, na przykład D:

KK.exe -p D:\

Począwszy od wersji 3.4.6 narzędzie KidoKiller zwraca następujące kody (%errorlevel%):

3 - Szkodliwe procesy zostały odnalezione i zneutralizowane (robak był aktywny).
2 - Szkodliwe procesy zostały odnalezione i usunięte (robak był nieaktywny).
1 - Zostały wykryte szkodliwe zadania terminarza lub przechwycenia funkcji (komputer nie jest zainfekowany, ale sieć komputerowa może zawierać zainfekowane komputery – administrator powinien zostać poinformowany o tym fakcie).
0 - Nic nie znaleziono.