Еще о червячках
20-01-2009 17:54
к комментариям - к полной версии
- понравилось!
Симптомы заражения в сети
При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
Краткое описание семейства Net-Worm.Win32.Kido.
Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
Пытается атаковать компьютеры сети по 445 порту, используя уязвимость в ОС Windows MS08-067
Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://trafficconverter.biz/4vir/antispyware/loadadv.exe
http://trafficconverter.biz
http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz
Способы удаления
Независимо от выбранного способа на всех рабочих станциях и серверах сети необходимо установить патч, закрывающий уязвимость MS08-067. Подробнее об этом патче Вы можете посмотреть на следующей странице: http://www.microsoft.com/technet/security/...n/MS08-067.mspx
Удаление сетевого червя необходимо производить с помощью специальной утилиты. Удаление можно производить локально на зараженном компьютере или централизованно, используя пакет Kaspersky Administration Kit.
Локальное удаление:
Скачайте архив с утилитой klwk.zip и распакуйте его на зараженной машине, в отдельную папку
Запустите файл run_klwk.bat
Дождитесь окончания сканирования
Централизованное удаление
Скачайте утилиту klwk.zip и распакуйте архив.
В Консоли Administration Kit создайте инсталляционный пакет для приложения klwk.com.
В настройках пакета укажите дополнительно параметры запуска:
/path %WINDIR%\system32
Создайте задачу удаленной установки пакета на требуемые компьютеры и запустите ее.
По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту klwk с ключом /y
/y /path %WINDIR%\system32
Источник: Kaspersky.ru
Утилита - ниже
вверх^
к полной версии
понравилось!
в evernote
Симптомы заражения в сети
При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
Краткое описание семейства Net-Worm.Win32.Kido.
Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
Пытается атаковать компьютеры сети по 445 порту, используя уязвимость в ОС Windows MS08-067
Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://trafficconverter.biz/4vir/antispyware/loadadv.exe
http://trafficconverter.biz
http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz
Способы удаления
Независимо от выбранного способа на всех рабочих станциях и серверах сети необходимо установить патч, закрывающий уязвимость MS08-067. Подробнее об этом патче Вы можете посмотреть на следующей странице: http://www.microsoft.com/technet/security/...n/MS08-067.mspx
Удаление сетевого червя необходимо производить с помощью специальной утилиты. Удаление можно производить локально на зараженном компьютере или централизованно, используя пакет Kaspersky Administration Kit.
Локальное удаление:
Скачайте архив с утилитой klwk.zip и распакуйте его на зараженной машине, в отдельную папку
Запустите файл run_klwk.bat
Дождитесь окончания сканирования
Централизованное удаление
Скачайте утилиту klwk.zip и распакуйте архив.
В Консоли Administration Kit создайте инсталляционный пакет для приложения klwk.com.
В настройках пакета укажите дополнительно параметры запуска:
/path %WINDIR%\system32
Создайте задачу удаленной установки пакета на требуемые компьютеры и запустите ее.
По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту klwk с ключом /y
/y /path %WINDIR%\system32
Источник: Kaspersky.ru
Утилита - ниже
Вы сейчас не можете прокомментировать это сообщение.
Дневник Еще о червячках | Queen_Isabelle - Иногда здесь бродят мысли... |
Лента друзей Queen_Isabelle
/ Полная версия
Добавить в друзья
Страницы:
раньше»