Kido.Da или Conficker, и что с ним делать.
27-01-2009 12:03
к комментариям - к полной версии
- понравилось!
Недавно была эпидемия этого вируса. Некоторые уже пережили это, некоторые ещё мучаются. Поэтому пишу это маленькое HOWTO
Это не совсем вирус. Это червь, который распространяется по сети через открытые порты в Windows (RPC Locator 445)
Другими словами, даже если вы НЕ вставляете заражённые флешки/дискеты и НЕ лазиете по злачным местам в сети - всё равно он залезет к вам САМ!
Лечится этот вирус довольно легко. Практически любой антивирус его распознаёт, а заражённые файлы можно смело удалять. Но проблема в том что через некоторое время он к вам придёт снова по заражённой локальной сети. И просто так его лечить - бесполезно!!
Перед тем как лечить компьютер следует
- либо пропачить виндовс ( для 32-х разрядной винды - ищите файл WindowsXP-KB958644-x86-RUS.exe)
- либо просто закрыть порт 445 например с помощью утилиты wwdc
Только так! А иначе вы будете вычерпывать воду дырявыми вёдрами!
А вот потом уже можно запускать ваш любимый вирусный сканер. Например Avira обнаруживает Kido.Da со свистом.
Можно несколько сократить время сканирования компа, ограничив сканирование папками C:\DOCUMENTS_AND_SETTINGS и C:\WINDOWS\SYSTEM32
вверх^
к полной версии
понравилось!
в evernote
Недавно была эпидемия этого вируса. Некоторые уже пережили это, некоторые ещё мучаются. Поэтому пишу это маленькое HOWTO
Это не совсем вирус. Это червь, который распространяется по сети через открытые порты в Windows (RPC Locator 445)
Другими словами, даже если вы НЕ вставляете заражённые флешки/дискеты и НЕ лазиете по злачным местам в сети - всё равно он залезет к вам САМ!
Лечится этот вирус довольно легко. Практически любой антивирус его распознаёт, а заражённые файлы можно смело удалять. Но проблема в том что через некоторое время он к вам придёт снова по заражённой локальной сети. И просто так его лечить - бесполезно!!
Перед тем как лечить компьютер следует
- либо пропачить виндовс ( для 32-х разрядной винды - ищите файл WindowsXP-KB958644-x86-RUS.exe)
- либо просто закрыть порт 445 например с помощью утилиты wwdc
Только так! А иначе вы будете вычерпывать воду дырявыми вёдрами!
А вот потом уже можно запускать ваш любимый вирусный сканер. Например Avira обнаруживает Kido.Da со свистом.
Можно несколько сократить время сканирования компа, ограничив сканирование папками C:\DOCUMENTS_AND_SETTINGS и C:\WINDOWS\SYSTEM32
Комментарии (17):
GlumShadow
27-01-2009-13:28
удалить
Просто у нас Висты нет, соответственно и опыта нет.
Хотя пишут, что Виста тоже подвержена этому вирусу, наверняка последовательность действий должна быть похожей.
Хотя пишут, что Виста тоже подвержена этому вирусу, наверняка последовательность действий должна быть похожей.
на жеже была запись про этот вирус и весела в топе около недели :) Хороший вирус.
Накукрыскин
27-01-2009-18:28
удалить
[показать] В колонках играет - *** 9. Track09Кста, как стандартными программными средставами заблокировать _исходящий_ траффик скажем на порт 25? netsh firewall не помогает вроде бы...
GlumShadow
27-01-2009-19:09
удалить
altesack, хотя ко мне он наврядли пройдет у меня маршрутизатор wifi с файерволом и еще kis 2009 стоит :) пускай к марщрутизатору тыкается он его нафиг пошлет :)
GlumShadow, повезло:))))
altesack, кланяюсь, за пост:))
у нас он на з-де в геометрической прогрессии:)))
altesack, кланяюсь, за пост:))
у нас он на з-де в геометрической прогрессии:)))
Real_fish Дык не за что. Мы где-то неделю назад воевали с ним. Ну и сейчас недобитки встречаются :)
А у вас что-то поздненько он вылез...
GlumShadow Это в основном болезнь локальных сетей, где много компьютеров и много зашаренных папок. Одиночному компу это особо не грозит, даже если подцепишь - один отдельно взятый комп лечится легко.
Накукрыскин Не знаю. Я предлагаю зайти с другого конца.
Узнать куда оно лезет на 25 порт? На какое IP?
А потом у этого IP тупо занулить MAC:
arp -d -a
arp -s тутписатьплохойIP 00-00-00-00-00-00
А у вас что-то поздненько он вылез...
GlumShadow Это в основном болезнь локальных сетей, где много компьютеров и много зашаренных папок. Одиночному компу это особо не грозит, даже если подцепишь - один отдельно взятый комп лечится легко.
Накукрыскин Не знаю. Я предлагаю зайти с другого конца.
Узнать куда оно лезет на 25 порт? На какое IP?
А потом у этого IP тупо занулить MAC:
arp -d -a
arp -s тутписатьплохойIP 00-00-00-00-00-00
GlumShadow
27-01-2009-21:24
удалить
altesack, помню когда еще админом работал был такой вирус Hidrag он таким же макаром работал... прицеплялся к exe файлам и плодился ища exe и цепляясь к ним... вовремя заразу не углядел на игровых компах оно и дальше пошло, как всегда начальство на антивирусах экономило...
Это не похожий случай ?
Это не похожий случай ?
Неее.. Тут принципиально другой путь распространения заразы.
Я такого вируса не видел, но судя по описанию Hidrag заражает комп в случае, если заражённый файл был запущен на нём.
Кидо заражает сам. Пользователь компа может даже не запускать заражённого файла! Вирусу достаточно сидеть на соседнем компе подключённом в сеть.
Я такого вируса не видел, но судя по описанию Hidrag заражает комп в случае, если заражённый файл был запущен на нём.
Кидо заражает сам. Пользователь компа может даже не запускать заражённого файла! Вирусу достаточно сидеть на соседнем компе подключённом в сеть.
GlumShadow
27-01-2009-21:44
удалить
altesack, понятно :) Сволочь короче а не вирус :)
altesack, дык он раньше был, мы ж все вышли вот только 19го, щаз о5 отдыхаем уже с нуля часов....... так вот, он прогрессирует, 900 слишним компов везде этот вирь..........вот я вылечила, заплату поставила, ток врубила сеть - ППЦ О5 все по новой))))) наш NOD32 сетевой, не справляется, видит, а сделать ничего не может........... вообщем жопа... админы разводят руками.......плачевно
Не понял, щас проблема решается помаленьку?
Или осталась?
Кстати NOD действительно его не видит
Или осталась?
Кстати NOD действительно его не видит
Ха! Я его подцепил :(
Админ у мамы на работе ... не админит чегой-то. NOD32 увидил. Сказал что очищен, но теперь как-то я не могу отобразить скрытые папки (он прячется в корзин), а это значит что зараза в системе. после этого НОД ничего не находил.
Вот думаю...
За патчики спасибо, поставил.
Админ у мамы на работе ... не админит чегой-то. NOD32 увидил. Сказал что очищен, но теперь как-то я не могу отобразить скрытые папки (он прячется в корзин), а это значит что зараза в системе. после этого НОД ничего не находил.
Вот думаю...
За патчики спасибо, поставил.
Нашел. Это не червь это глюк.
И да, НОД удалил пакость.
И да, НОД удалил пакость.
Накукрыскин
31-01-2009-00:17
удалить
Исходное сообщение altesack:
Накукрыскин Не знаю. Я предлагаю зайти с другого конца. Узнать куда оно лезет на 25 порт? На какое IP? А потом у этого IP тупо занулить MAC:arp -d -aarp -s тутписатьплохойIP 00-00-00-00-00-00Loreleya
Ха! А если портов куча (ну больше 1000 и расположены они не подряд а рандомно) или ип опять же больше одного )))))
Исходное сообщение Накукрыскин:
Ха! А если портов куча (ну больше 1000 и расположены они не подряд а рандомно) или ип опять же больше одного )))))
Душиттьььь ФСЕХ !!!
)))
Комментарии (17):
вверх^
Вы сейчас не можете прокомментировать это сообщение.
Дневник Kido.Da или Conficker, и что с ним делать. | altesack - Записки Старого Мешка |
Лента друзей altesack
/ Полная версия
Добавить в друзья
Страницы:
раньше»