Что такое Kido? Вре­до­нос­ная про­грамма Kido пред­став­ляет на данный момент серьез­ную угрозу для всего интер­нет-сооб­ще­ства. Мил­ли­оны ком­пью­те­ров, зара­жен­ных Kido, потен­ци­ально могут стать самым мощным ресур­сом кибе­пре­ступ­ни­ков в Интер­нете. Эта вре­до­нос­ная про­грамма впервые была детек­ти­ро­вана в ноябре 2008 года. Ее акти­ви­за­ция ожи­да­ется 1 апреля: ботнет Kido начнет искать центр управ­ле­ния среди 50 000 доменов в день (ранее он под­клю­чался лишь к 250 доменам) и загру­жать на ком­пью­теры поль­зо­ва­те­лей новые версии других вре­до­нос­ных про­грамм. После­ду­ю­щие за этим дей­ствия зло­умыш­лен­ни­ков на насто­я­щий момент не под­да­ются про­гно­зи­ро­ва­нию. В чем опас­ность Kido? Таким образом, создан­ная авто­рами Kido гигант­ская зомби-сеть (ботнет) потен­ци­ально может дать зло­умыш­лен­ни­кам воз­мож­ность совер­шать крайне мощные DDoS-атаки на любые интер­нет-ресурсы, красть кон­фи­ден­ци­аль­ные данные с зара­жен­ных ком­пью­те­ров и рас­про­стра­нять неже­ла­тель­ный контент (в част­но­сти, про­во­дить круп­но­мас­штаб­ные спам-рас­сылки). До послед­него времени Kido рас­про­стра­нялся через ком­пью­тер­ные сети и сменные носи­тели инфор­ма­ции. В част­но­сти, он про­ни­кал на ком­пью­теры, исполь­зуя кри­ти­че­скую уяз­ви­мость MS08-067 в семей­стве опе­ра­ци­он­ных систем Windows, патч к которым был выпущен ком­па­нией Microsoft еще осенью про­шлого года. По мнению экс­пер­тов, на зна­чи­тель­ной части машин патч не был уста­нов­лен на момент пика рас­про­стра­не­ния Kido в январе. Этот фактор, а также игно­ри­ро­ва­ние эффек­тив­ной анти­ви­рус­ной защиты и привели к эпи­де­мии: в насто­я­щее время раз­лич­ными вер­си­ями Kido зара­жены, по меньшей мере, от 5 до 6 мил­ли­о­нов ком­пью­те­ров, имеющих доступ в сеть Интер­нет. В послед­них версиях Kido отсут­ствует явная воз­мож­ность само­рас­про­стра­не­ния. Про­грамма лишь пыта­ется укре­питься на уже зара­жен­ных ком­пью­те­рах. В Kido реа­ли­зо­ваны самые совре­мен­ные тех­но­ло­гии виру­со­пи­са­те­лей – напри­мер, загрузка обнов­ле­ний с посто­янно меня­ю­щихся адресов сайтов; исполь­зо­ва­ние соеди­не­ний типа ком­пью­тер-ком­пью­тер (peer-to-peer) в каче­стве допол­ни­тель­ного канала обнов­ле­ний; исполь­зо­ва­ние стой­кого шиф­ро­ва­ния для защиты от пере­хвата кон­троля; усо­вер­шен­ство­ван­ные воз­мож­но­сти отклю­че­ния служб без­опас­но­сти, пре­пят­ствия обнов­ле­ниям про­грамм защиты и т.д. Самая послед­няя версия Kido полу­чает обнов­ле­ния путем загрузки кода с 500 доменов, выби­ра­е­мых из еже­дневно изме­ня­е­мого пула, состо­я­щего из 50 тысяч доменов-кан­ди­да­тов. Слу­чай­ный харак­тер отбора, а также большой объем пула делают крайне сложным кон­троль над про­стран­ством имен в интер­нете, исполь­зу­е­мым вре­до­нос­ной про­грам­мой. Поэтому нужно при­ла­гать все воз­мож­ные усилия для пре­пят­ствия обнов­ле­нию про­граммы на уровне локаль­ных сетей. Как избе­жать зара­же­ния вре­до­нос­ной про­грам­мой Kido? Про­дукты "Лабо­ра­то­рии Кас­пер­ского" успешно бло­ки­руют про­ник­но­ве­ние всех версий Kido на ком­пью­теры поль­зо­ва­те­лей. Про­верьте, что авто­ма­ти­че­ские обнов­ле­ния не отклю­чены и, в том случае, если у вас есть подо­зре­ние, что Kido уже мог про­ник­нуть на ком­пью­тер, выпол­ните ска­ни­ро­ва­ние всего ком­пью­тера с помощью Анти­ви­руса Кас­пер­ского. Своевре­мен­ная уста­новка патчей для лик­ви­да­ции уяз­ви­мо­сти MS08-067, без­условно, явля­ется обя­за­тель­ной мерой для предот­вра­ще­ния зара­же­ния, однако уста­нов­лен­ное решение Kaspersky Internet Security не поз­во­лит исполь­зо­вать уяз­ви­мость даже на непро­пат­чен­ной опе­ра­ци­он­ной системе. Как понять, что про­изо­шло зара­же­ние сети или ком­пью­тера? При наличии зара­жен­ных ком­пью­те­ров в локаль­ной сети повы­ша­ется объем сете­вого трафика, поскольку с этих ком­пью­те­ров начи­на­ется сетевая атака. Анти­ви­рус­ные при­ло­же­ния с актив­ным сетевым экраном сооб­щают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit. Если вы подо­зре­ва­ете зара­же­ние своего ком­пью­тера, попро­буйте открыть браузер и перейти на про­из­воль­ную стра­ничку люби­мого поис­ко­вого движка. Если стра­ница откры­лась — попы­тай­тесь загру­зить www.kaspersky.com или www.microsoft.com. Если этого сделать не удалось — то доступ к сайтам скорее всего бло­ки­рует вре­до­нос­ная про­грамма. Полный список ресур­сов, забло­ки­ро­ван­ных Kido, можно увидеть, напри­мер, здесь: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725 Я – адми­ни­стра­тор локаль­ной сети. Как мне быстрее и удобнее всего лока­ли­зо­вать про­блему? Уда­ле­ние сете­вого вре­до­нос­ной про­граммы про­из­во­дится с помощью спе­ци­аль­ной утилиты KKiller.exe. С целью предо­хра­не­ния от зара­же­ния на всех рабочих стан­циях и сер­ве­рах сети необ­хо­димо про­ве­сти сле­ду­ю­щий ком­плекс мер: Уста­но­вить патчи, закры­ва­ю­щие уяз­ви­мо­сти MS08-067, MS08-068, MS09-001. Удо­сто­ве­риться, что пароль учетной записи локаль­ного адми­ни­стра­тора устой­чив ко взлому - пароль должен содер­жать не менее шести сим­во­лов, с исполь­зо­ва­нием разных реги­стров и/или цифр. Отклю­чить авто­за­пуск испол­ня­е­мых файлов со съемных носи­те­лей. Оста­но­вить службу Task Scheduler (Пла­ни­ров­щик Задач) в Windows. Уда­ле­ние вре­до­нос­ной про­граммы Kido ути­ли­той KKiller.exe необ­хо­димо про­из­во­дить локально на зара­жен­ном ком­пью­тере. Как бороться с Kido обыч­ному поль­зо­ва­телю домаш­него ком­пью­тера? Ска­чайте архив KKiller_v3.4.1.zip и рас­па­куйте его в отдель­ную папку на зара­жен­ной машине. Запу­стите файл KKiller.exe. По окон­ча­нии ска­ни­ро­ва­ния на ком­пью­тере воз­можно при­сут­ствие актив­ного окна команд­ной строки, ожи­да­ю­щего нажатия любой клавиши для закры­тия. Для авто­ма­ти­че­ского закры­тия окна реко­мен­дуем запус­кать утилиту KKiller.exe с ключом -y. Дожди­тесь окон­ча­ния ска­ни­ро­ва­ния. Если на ком­пью­тере, на котором запус­ка­ется утилита KKiller.exe , уста­нов­лен Agnitum Outpost Firewall, то по окон­ча­нии работы утилиты обя­за­тельно пере­за­гру­зите ком­пью­тер.
Kaspersky Work Space Security в Allsoft.ru
Kaspersky Enterprise Space Security в Allsoft.ru
Анти­ви­рус Кас­пер­ского (элек­трон­ная версия) в Allsoft.ru
Kaspersky Business Space Security в Allsoft.ru
Kaspersky Total Space Security в Allsoft.ru
Kaspersky Internet Security 2009 (элек­трон­ная версия) в Allsoft.ru
Анти­ви­рус Кас­пер­ского для фай­ло­вых сер­ве­ров в Allsoft.ru
Источ­ник: Allsoft.ru