|
|
Оригинал статьи находится по адресу http://support.kaspersky.ru/faq/?qid=208636215
Информация из статьи применима к следующим продуктам:
Антивирус Касперского версии 6.0/7.0/2009
Kaspersky Internet Security версии 6.0/7.0/2009
Антивирус Касперского 6.0 для Windows Workstations (все версии)
Антивирус Касперского 6.0 для Windows Servers (все версии)
Kaspersky Administration Kit 6.0 MP1\MP2
Служба технической поддержки уведомляет клиентов Лаборатории Касперского о том, что в настоящий момент возросло количество обращений по факту заражения рабочих станций и серверов под управлением операционных систем Windows штаммами сетевого червя Net-Worm.Win32.Kido (другие названия: Conficker, Downadup).
Симптомы заражения
- При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
- Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
- Невозможно получить доступ к сайтам большинства антивирусных компаний, например, avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.
- Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно и возникает одна из ошибок:
- Ошибка активации. Процедура активации завершилась с системной ошибкой 2.
- Ошибка активации. Невозможно соединиться с сервером.
- Ошибка активации. Имя сервера не может быть разрешено.
Краткое описание семейства Net-Worm.Win32.Kido.
- Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
- В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
- Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
- Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
- Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
Способы удаления
Удаление сетевого червя производится с помощью специальной утилиты KK.exe. Операционные системы MS Windows 95/MS Windows 98/MS Windows Me не подвержены заражению данным сетевым червем.
 С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
Для ОС Windows XP/Server: Пуск - Выполнить - наберите команду kk.exe -a - после ввода команды нажмите OK.
Для OC Windows Vista: Пуск - Стандартные - Выполнить - наберите команду kk.exe -a - после ввода команды нажмите OK.
Блокировать TCP-порты 445 и 139 необходимо только на время лечения. Как только будет пролечена вся сеть, можно разблокировать эти порты.
Удаление сетевого червя утилитой KK.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.
 Начиная с версии 3.4.6 в утилиту KK.exe добавлены коды возврата (%errorlevel%):
3 - Были найдены и удалены зловредные потоки (червь был в активном состоянии).
2 - Были найдены и удалены зловредные файлы (червь был в неактивном состоянии).
1 - Были найдены зловредные задания планировщика или перехваты функций (данная машина не заражена, но в этой сети могут находиться зараженные машины - администратору следует обратить на это внимание).
0 - Ничего не было найдено.
Локальное удаление
:
- Скачайте архив KK_v3.4.7.zip и распакуйте его в отдельную папку на зараженной машине.
- Запустите файл KK.exe .
При запуске файла KK.exe без указания каких-либо ключей утилита останавливает активное заражение (удаляет потоки, снимает перехваты), выполняет сканирование основных мест, подверженных заражению, сканирует память, чистит реестр.
По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KK.exe с ключом -y.
- Дождитесь окончания сканирования.
Если на компьютере, на котором запускается утилита KK.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
- Выполните сканирование всего компьютера с помощью Антивируса Касперского.
|
Параметр |
Описание |
|
-p <путь для сканирования> |
Cканировать определённый каталог. |
|
-f |
Cканировать жёсткие диски, сканировать переносные жесткие диски. |
|
-n |
Cканировать сетевые диски. |
|
-r |
Cканировать flash-накопители. |
|
-y |
Не ждать нажатия любой клавиши. |
|
-s |
"Тихий" режим (без чёрного окна консоли). |
|
-l <имя файла> |
Запись информации в лог-файл. |
|
-v |
Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l) |
|
-z |
Восстановление служб
· Background Intelligent Transfer Service (BITS),
· Windows Automatic Update Service (wuauserv),
· Error Reporting Service (ERSvc/WerSvc) |
|
-х |
Восстановление возможности показа скрытых и системных файлов. |
|
-a |
Отключение автозапуска со всех носителей. |
|
-m |
Режим мониторинга потоков, заданий, сервисов.
В этом режиме утилита постоянно находится в памяти и периодически проводит сканирование потоков, сервисов, заданий планировщика -
при обнаружении заражения выполняется лечение и продолжение мониторинга. |
|
-j |
Восстановление ветки реестра SafeBoot (при ее удалении компьютер
не может загрузиться в безопасном режиме). |
|
-help |
Получение дополнительной информации об утилите. |
Например, для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита KK.exe) используйте следующую команду:
kk.exe -r -y -l report.txt -v
|
