Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Net-Worm.Win32.Kido.ir

Net-Worm.Win32.Kido.ir

Время детектирования	06 сен 2009 12:27 MSK
Время выпуска обновления	06 сен 2009 18:32 MSK
Описание опубликовано	14 дек 2009 15:35 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на съемных дисках и через локальную сеть. Программа является скриптом автозапуска Windows (AUTORUN.INF-файл). Размер файла от 59284 до 95034 байт. Не упакован.

Деструктивная активность

Данный скрипт используется для запуска библиотеки червя из семейства Kido при подключении к компьютеру съемных носителей. Содержимое файла скрипта обфусцировано путем добавления случайного набора символов. Восстановив обфусцированные данные получаем следующий код скрипта автозапуска:

[AUTorUN] AcTION=Open folder to view files icon=%syStEmrOot%\sySTEM32\sHELL32.Dll,4 OpEn=RunDll32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn sHEllExECUTe=RUNdLl32.ExE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn useAuTopLAY=1

Подразумевается, что библиотека червя находится в следующей папке на съемном носителе:

.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

Данная версия скрипта отображает фразу "Открыть папку для просмотра файлов" на английском языке в диалоговом окне автозапуска.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления можно воспользоваться специальной утилитой, которую можно скачать по следующей ссылке:

http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215

либо выполнить следующие действия:

Удалить следующие файлы со всех съемных носителей:
<X>:\autorun.inf <X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\ jwgkvsq.vmx, где X – буква съемного диска.
Скачать и установить обновление системы по следующей ссылке:
```
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Вирусы и черви

Net-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.

Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).

Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.

Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.

Другие модификации

Net-Worm.Win32.Kido.bt

Net-Worm.Win32.Kido.dv

Net-Worm.Win32.Kido.fx

Net-Worm.Win32.Kido.ih

Net-Worm.Win32.Kido.iq

Net-Worm.Win32.Kido.jq

Другие названия

Net-Worm.Win32.Kido.ir («Лаборатория Касперского») также известен как:

Trojan.Win32.AutoRun.bo («Лаборатория Касперского»)
Worm:Win32/Conficker.B!inf (MS(OneCare))
Net-Worm.Win32.Kido.ir [AVP] (FSecure)

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com