Как бороться с сетевым червем Net-Worm.Win32.Kido (другие названия: Conficker, Downup, Downadup и Kido) в корпоративной сети.

Conficker (также известен как Downup, Downadup и Kido) — компьютерный червь, эпидемия которого началась 21 ноября 2008 года.

Название «Conficker» происходит от англ. configuration (config) (конфигурация) и нем. ficker (груб. участник полового акта, сравн. англ. fucker). Таким образом, Conficker — «насильник конфигураций».

Вредоносная программа была написана на Microsoft Visual C++ и впервые появилась в сети 21 ноября 2008 года. Заражает операционные системы семейства Microsoft Windows (Windows XP и Windows Server 2008 R2). На январь 2009 вирус поразил 12 миллионов компьютеров во всём мире.

12 февраля 2009 Microsoft обещал 250 000 долларов за информацию о создателях вируса.

Эпидемия стала возможной в результате того, что значительная часть пользователей оказалась подвержена уязвимостям, ранее устранённым критическими обновлениями MS08-067.

Краткое описание семейства Net-Worm.Win32.Kido и принципы работы

Столь быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из Интернета. Интересно, что разработчики вируса научились постоянно менять свои серверы, что раньше не удавалось злоумышленникам.

Также он может распространяться через USB-накопители:

• Создает на съёмных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLER\{SID<....>}\RANDOM_NAME.vmx
• В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
• Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
• Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067. 

Червь использует уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. Первым делом он отключает ряд служб — автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting, а также блокирует доступ к сайтам ряда производителей антивирусов.

Периодически червь случайным образом генерирует список сайтов (около 50 тыс. доменных имён в сутки), к которым обращается для получения исполняемого кода. При получении с сайта исполняемого файла червь сверяет электронно-цифровую подпись, и если она совпала — исполняет файл.

Кроме того, червь реализует P2P-механизм обмена обновлениями, что позволяет ему рассылать обновления удалённым копиям, минуя управляющий сервер.

Симптомы заражения

1. Отключены и/или не включаются службы:

• Windows Update Service.
• Background Intelligent Transfer Service.
• Windows Defender.
• Windows Error Reporting Services.

2. Блокируется доступ компьютера к сайтам производителей антивирусов, например: avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.

3. Антивирус Касперского постоянно обнаруживает и удаляет файлы с произвольными именами и расширениями (например, oufgt.quf) в папке system32. Полная проверка на данной машине ничего не обнаруживает.

Постоянное появление подобных файлов не свидетельствует о заражении данного компьютера. А свидетельсвует о наличии в доменной сети зараженных компьютеров с административными правами (имеющих доступ к ресурсу admin$ на атакуемых компьютерах для копирования файлов в папку system32).  Антивирус Касперского блокирует попытки заражения в момент копирования тела вредоносной программы. 

4. При наличии заражённых компьютеров в локальной сети повышается объём сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.

5. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Постоянное появление сообщений об атаках свидетельствует о заражении удаленного компьютера (чей адрес указан в сообщении об атаке). Для предотвращения атак необходимо пролечить его, если есть такая возможность. 

6. Компьютер начинает очень медленно реагировать на действия пользователя, при этом Диспетчер Задач сообщает о 100%-ом использовании ресурсов ЦП процессом svchost.exe.

7. Блокируется служба IPSec. Как следствие нарушение работы сети.

Для прекращения атак необходимо обнаружить зараженные компьютеры и пролечить. В первую очередь необходимо проверить контроллеры домена! 

Способы защиты от заражения

Операционные системы MS Windows 95/MS Windows 98/MS Windows Me не подвержены заражению данным сетевым червем. С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер: 

1. Установить патчи, закрывающие уязвимости  MS08-067, MS08-068, MS09-001 (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его). 

2. Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр. Либо сменить ранее установленный пароль локального администратора.  

3. Отключить автозапуск исполняемых файлов со съемных носителей: скачайте утилиту KidoKiller - файл kk.exe и сохраните его в отдельную папку на компьютере, например, на диск С;

4. запустите файл kk.exe с ключом -a с помощью командной строки; 

5. Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана. Блокировать TCP-порты 445 и 139необходимо только на время лечения. Как только будет пролечена вся сеть, можно разблокировать эти порты. 

Локальное удаление

1. Скачайте файл kk.exe  и сохраните его в отдельную папку на зараженном компьютере.  

2. Отключите компонент Файловый Антивирус на время работы утилиты .  

3. Запустите файл kk.exe.  

4. При запуске файла kk.exe без указания каких-либо ключей утилита останавливает активное заражение (удаляет потоки, снимает перехваты), выполняет сканирование основных мест, подверженных заражению, сканирует память, чистит реестр, проверяет flash-накопители. 

5. Дождитесь окончания сканирования.   

6. Если на компьютере, на котором запускается утилита KidoKiller, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер. 

7. Выполните сканирование всего компьютера с помощью  Антивируса Касперского.

Централизованное удаление (с помощью Kaspersky Administration Kit/Kaspersky Security Center) 

1. Скачайте утилиту kk.exe и распакуйте архив. 

2. В  Консоли Администрирования создайте инсталляционный пакет для приложения kk.exe. На этапе выбора дистрибутива приложения выберите вариант Создать инсталляционный пакет для приложения, указанного пользователем.

В поле Параметры запуска исполняемого файла укажите ключ -y для автоматического закрытия окна консоли после того, как утилита отработает.

3. На основе данного инсталляционного пакета создайте групповую или глобальную задачу удаленной установки для зараженных или подозрительных компьютеров сети.  

4. Перед запуском утилиты обязательно отключите на клиентских компьютерах компонент Файловый Антивирус, входящий в состав Антивируса Касперского. 

5. Запустите задачу на выполнение. 

В доменной сети важно в первую очередь лечить контроллеры домена и компьютеры, на которых залогинены пользователи, входящие в группы "Administrators" и "Domain Admins" в домене. В противном случае, лечение бесполезно - все компьютеры, входящие в домен, будут заражаться каждые 15 минут.    

При запуске утилиты через  Administration Kit/Kaspersky Security Center  она запускается с правами пользователя SYSTEM. В этом случае для нее будут недоступны все сетевые диски / общие папки.  

Если администратору необходимо, чтобы утилита писала отчеты на какой-либо сетевой диск /общий ресурс, то нужно запускать утилиту с помощью команды run as.  

6. После того как утилита отработает, выполните сканирование каждого компьютера сети с помощью  Антивируса Касперского.   

Если на компьютере, на котором запускается утилита KidoKiller, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Ключи для запуска файла kk.exe из командной строки

- p < путь для сканирования > - Сканировать определенный каталог.

- f - Сканировать жесткие диски, переносные жесткие диски.

-n - Сканировать сетевые диски.

-r - Сканировать flash-накопители, переносные жесткие диски, подключаемые через USB и FireWire.

-y - Не ждать нажатия любой клавиши.

-s - Silent- режим (без черного окна консоли).

-l < имя файла > - Запись информации в файл отчета.

- v - Ведение расширенного отчета (параметр - v работает только в случае, если в командной строке указан также параметр - l).

- z  - Восстановление служб:

• Background Intelligent Transfer Service (BITS);
• Windows Automatic Update Service (wuauserv);
• Error Reporting Service (ERSvc/WerSvc);
• Windows Defender (WinDefend);
• Windows Security Center Service (wscsvc).

-х - Восстановление возможности показа скрытых и системных файлов.

- a - Отключение автозапуска со всех носителей.

- m - Режим мониторинга потоков, заданий, сервисов.  В этом режиме утилита постоянно находится в памяти и периодически проводит сканирование потоков, сервисов, заданий планировщика; при обнаружении заражения выполняется лечение и продолжение мониторинга.

- j - Восстановление ветки реестра Safe Boot (при ее удалении компьютер не может загрузиться в безопасном режиме).

- help - Получение дополнительной информации об утилите.

Например:  

- для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится файл  kk.exe) используйте следующую команду: 

- для сканирования другого раздела диска, например, D используйте команду:

Начиная с версии 3.4.6 в утилиту KidoKiller добавлены коды возврата (%errorlevel%): 

3 - Были найдены и удалены зловредные потоки (червь был в активном состоянии). 

2 - Были найдены и удалены зловредные файлы (червь был в неактивном состоянии). 

1 - Были найдены зловредные задания планировщика или перехваты функций (данная машина не заражена, но в этой сети могут находиться зараженные машины - администратору следует обратить на это внимание). 

0 - Ничего не было найдено.