RSS-каналы
Уровень опасности: 1
Net-Worm.Win32.Kido.ir
| Время детектирования | 02 ноя 2009 08:35 MSK |
| Время выпуска обновления | 02 ноя 2009 13:31 MSK |
| Описание опубликовано | 14 дек 2009 15:35 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Червь, создающий свои копии на съемных дисках и через локальную сеть. Программа является скриптом автозапуска Windows (AUTORUN.INF-файл). Размер файла от 59284 до 95034 байт. Не упакован.
Деструктивная активность
Данный скрипт используется для запуска библиотеки червя из семейства Kido при подключении к компьютеру съемных носителей. Содержимое файла скрипта обфусцировано путем добавления случайного набора символов. Восстановив обфусцированные данные получаем следующий код скрипта автозапуска:
.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmxДанная версия скрипта отображает фразу "Открыть папку для просмотра файлов" на английском языке в диалоговом окне автозапуска.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления можно воспользоваться специальной утилитой, которую можно скачать по следующей ссылке:
http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215либо выполнить следующие действия:
- Удалить следующие файлы со всех съемных носителей:
<X>:\autorun.inf <X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\ jwgkvsq.vmx, где X – буква съемного диска.
- Скачать и установить обновление системы по следующей ссылке:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.
Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).
Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.
Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.
Net-Worm.
- Net-Worm.
Win32. Kido. iq («Лаборатория Касперского») - Trojan.
Win32. AutoRun. bo («Лаборатория Касперского») - Mal/ConfInf-A (Sophos)
- Worm.
Autorun-2191 (ClamAV) - Worm:
Win32/Conficker. B!inf (MS(OneCare)) - Win32.
HLLW. Autoruner. 5601 (DrWeb) - Worm.
AutoRun. VHG (BitDef7) - INF.
Conficker. F (VirusBuster) - BV:
AutoRun-Y [Wrm] (AVAST) - Net-Worm.
Win32. Kido (Ikarus) - Worm/Downadup (AVG)
- WORM/Conficker.
Autorun. Gen (AVIRA) - W32.
Downadup!autorun (NAV) - NseCheckFile2() returned 0x00010018 (Norman)
- Worm:
W32/Downaduprun. A [FSE] (FSecure) - TROJ_DOWNAD.
INF (TrendMicro) - INF.
Conficker. F (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей