Тэгі:Лабараторыя Касперскага, Conficker, Kido, Downadup У сувязі з вялікай колькасцю зваротаў карыстачоў "Лабараторыя Касперскага" падрыхтавала адказы эксперта кампаніі на найболей часта задаваныя пытанні аб магчымай актывізацыі шкоднаснай праграмы Kido, вядомай таксама як Conficker і Downadup. Каментуе Віталь Камлюк, кіроўны антывірусны эксперт "Лабараторыі Касперскага".
Што такое Kido? Шкоднасная праграма Kido уяўляе на дадзены момант сур'ёзную пагрозу для ўсяго інтэрнэт-супольнасці. Мільёны кампутараў, заражаных Kido, патэнцыйна могуць стаць самым магутным рэсурсам кибепреступников у Інтэрнэце. Гэтая шкоднасная праграма ўпершыню была детектирована ў лістападзе 2008 гады. Яе актывізацыя чакаецца 1 красавіка: ботнет Kido пачне шукаць цэнтр кіравання сярод 50 000 даменаў у дзень (раней ён падлучаўся толькі да 250 даменам) і загружаць на кампутары карыстачоў новыя версіі іншых шкоднасных праграм. Наступныя за гэтым дзеянні зламыснікаў на сапраўдны момант не паддаюцца прагназаванню. У чым небяспека Kido? Такім чынам, створаная аўтарамі Kido гіганцкая зомбі-сетка (ботнет) патэнцыйна можа даць зламыснікам магчымасць здзяйсняць вельмі магутныя DDoS-напады на любыя інтэрнэт-рэсурсы, красці канфідэнцыйныя дадзеныя з заражаных кампутараў і распаўсюджваць непажаданы кантэнт (у прыватнасці, праводзіць буйнамаштабныя спам-рассыланні). Да апошняга часу Kido распаўсюджваўся праз кампутарныя сеткі і зменныя носьбіты інфармацыі. У прыватнасці, ён пранікаў на кампутары, выкарыстаючы крытычную ўразлівасць MS08-067 у сямействе аперацыйных сістэм Windows, патч да якіх быў выпушчаны кампаніяй Microsoft яшчэ ўвосень мінулага гады. Па меркаванні экспертаў, на значнай частцы машын патч не быў усталяваны на момант піка распаўсюджвання Kido у студзені. Гэты фактар, а таксама ігнараванне эфектыўнай антывіруснай абароны і прывялі да эпідэміі: у цяперашні час рознымі версіямі Kido заражаныя, па меншай меры, ад 5 да 6 мільёнаў кампутараў, мелых доступ у сетку Інтэрнэт. У апошніх версіях Kido адсутнічае відавочная магчымасць самораспространения. Праграма толькі спрабуе ўмацавацца на ўжо заражаных кампутарах. У Kido рэалізаваныя самыя сучасныя тэхналогіі вірусастваральнікаў – напрыклад, загрузка абнаўленняў з стала якія змяняюцца адрасоў сайтаў; выкарыстанне злучэнняў тыпу кампутар-кампутар (peer-to-peer) у якасці дадатковага канала абнаўленняў; выкарыстанне ўстойлівага шыфравання для абароны ад перахопу кантролю; удасканаленыя магчымасці адключэння службаў бяспекі, перашкоды абнаўленням праграм абароны і т.д. Самая апошняя версія Kido атрымлівае абнаўленні шляхам загрузкі кода з 500 даменаў, выбіраемых з штодня змянянага пула, які складаецца з 50 тысяч даменаў-кандыдатаў. Выпадковы характар адбору, а таксама вялікі аб'ём пула робяць вельмі складаным кантроль над прасторай імёнаў у інтэрнэце, выкарыстоўваным шкоднаснай праграмай. Таму трэба прыкладаць усе магчымыя высілкі для перашкоды абнаўленню праграмы на ўзроўні лакальных сетак. Як пазбегнуць заражэнні шкоднаснай праграмай Kido? Прадукты "Лабараторыі Касперскага" паспяхова блакуюць пранікненне ўсіх версій Kido на кампутары карыстачоў. Праверце, што аўтаматычныя абнаўленні не адключаныя і, у тым выпадку, калі ў вас ёсць падазрон, што Kido ужо мог пракрасціся на кампутар, выканаеце сканаванне ўсяго кампутара з дапамогай Антывіруса Касперскага. Своечасовая ўсталёўка патчаў для ліквідацыі ўразлівасці MS08-067, безумоўна, з'яўляецца абавязковай мерай для прадухілення заражэння, аднак усталяванае рашэнне Kaspersky Internet Security не дазволіць выкарыстаць уразлівасць нават на непрапатчанай аперацыйнай сістэме. Як зразумець, што адбылося заражэнне сеткі або кампутара? Пры наяўнасці заражаных кампутараў у лакальнай сетцы падвышаецца аб'ём сеткавага трафіку, паколькі з гэтых кампутараў пачынаецца сеткавы напад. Антывірусныя прыкладанні з актыўным сеткавым экранам паведамляюць аб нападзе Intrusion.Win.NETAPI.buffer-overflow.exploit. Калі вы падазраеце заражэнне свайго кампутара, паспрабуйце адкрыць браўзэр і перайсці на адвольную старонку каханага пошукавага рухавічка. Калі старонка адкрылася — паспрабуйце загрузіць www.kaspersky.com або www.microsoft.com. Калі гэтага зрабіць не атрымалася — то доступ да сайтаў хутчэй за ўсё блакуе шкоднасная праграма. Поўны спіс рэсурсаў, заблакаваных Kido, можна ўбачыць, напрыклад, тут: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725 Я – адміністратар лакальнай сеткі. Як мне хутчэй і зручней усяго лакалізаваць праблему? Выдаленне сеткавага шкоднаснай праграмы вырабляецца з дапамогай адмысловай утыліты KKiller.exe. З мэтай засцярогі ад заражэння на ўсіх працоўных станцыях і серверах сеткі неабходна правесці наступны комплекс мер: Усталяваць патчы, якія зачыняюць уразлівасці MS08-067, MS08-068, MS09-001. Пераканацца, што пароль уліковага запісу лакальнага адміністратара ўстойлівы да ўзлому - пароль павінен утрымоўваць не меней шасці знакаў, з выкарыстаннем розных рэгістраў і/або лічбаў. Адключыць аўтазапуск выкананых файлаў са здымных носьбітаў. Спыніць службу Task Scheduler (Планавальнік Задач) у Windows. Выдаленне шкоднаснай праграмы Kido утылітай KKiller.exe неабходна вырабляць лакальна на заражаным кампутары. Як дужацца з Kido звычайнаму карыстачу хатняга кампутара? Запампуйце архіў KKiller_v3.4.1.zip і распакуйце яго ў асобную тэчку на заражанай машыне. Запусціце файл KKiller.exe. Па канчатку сканавання на кампутары магчыма прысутнасць актыўнага акна каманднага радка, які чакае націску любой клавішы для зачынення. Для аўтаматычнага зачынення акна рэкамендуем запускаць утыліту KKiller.exe з ключом -y. Дачакайцеся канчатка сканавання. Калі на кампутары, на якім запускаецца ўтыліта KKiller.exe , усталяваны Agnitum Outpost Firewall, то па канчатку працы ўтыліты абавязкова перазагрузіце кампутар. document.write('крыніца');
Эксперты ЛК растлумачылі як дужацца з вірусам Kido
2 красавіка 2009
Каментароў (0)