RSS-каналы
Уровень опасности: 1
Net-Worm.Win32.Kido.iq
| Время детектирования | 02 ноя 2009 08:36 MSK |
| Время выпуска обновления | 02 ноя 2009 13:31 MSK |
| Описание опубликовано | 14 дек 2009 12:53 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Червь, создающий свои копии на съемных дисках и через локальную сеть. Программа является скриптом автозапуска Windows (AUTORUN.INF-файл). Размер файла 54408 байт. Не упакован.
Деструктивная активность
Данный скрипт используется для запуска библиотеки червя из семейства Kido при подключении к компьютеру съемных носителей. Содержимое файла скрипта обфусцировано путем добавления случайного набора символов. Восстановив обфусцированные данные получаем следующий код скрипта автозапуска:
[AUTorUN] AcTION=開啟資料夾以檢視檔案 icon=%syStEmrOot%\sySTEM32\sHELL32.Dll,4 OpEn=RunDll32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665Подразумевается, что библиотека червя находится в следующей папке на съемном носителе:
\jwgkvsq.vmx,ahaezedrn sHEllExECUTe=RUNdLl32.ExE .\RECYCLER\S-5-3-42-2819952290-
8240758988-879315005-3665
\jwgkvsq.vmx,ahaezedrn useAuTopLAY=1
.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmxДанная версия скрипта отображает фразу "Открыть папку для просмотра файлов" на китайском языке в диалоговом окне автозапуска.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления можно воспользоваться специальной утилитой, которую можно скачать по следующей ссылке:
http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215либо выполнить следующие действия:
- Удалить следующие файлы со всех съемных носителей:
<X>:\autorun.inf
<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\ jwgkvsq.vmx, где X – буква съемного диска. - Скачать и установить обновление системы по следующей ссылке:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.
Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).
Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.
Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.
Net-Worm.
- Virus:
W32/Conficker. worm!inf (McAfee) - Mal/ConfInf-A (Sophos)
- Worm.
Downadup-496 (ClamAV) - W32/Conficker.
C. worm (Panda) - Worm:
Win32/Conficker. B!inf (MS(OneCare)) - Win32.
HLLW. Autoruner. 6617 (DrWeb) - a variant of Win32/Agent trojan (Nod32)
- INF/Conficker worm (Nod32)
- Win32.
Worm. Downadup. B (BitDef7) - BV:
AutoRun-S [Wrm] (AVAST) - Net-Worm.
Win32. Kido (Ikarus) - Generic_c.
BSXN (AVG) - WORM/Downadup.
B (AVIRA) - autorun.
inf <<< WORM/Downadup. B (AVIRA) - W32.
Downadup!autorun (NAV) - Text/Autorun.
CTK (Norman) - Net-Worm.
Win32. Kido. iq [AVP] (FSecure) - TROJ_DOWNAD.
INF (TrendMicro) - INF.
Autorun (v) (Sunbelt)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей