Критична вразливість Windows та вірус Net-Worm.Win32.Kido
На днях зіштовхнувся з наступною проблемою: в ОС Windows постійно почало з'являтись повідомлення про критичну помилку Generic Host Process, після чого не працювали ні мережа, ні служба маршрутизації. Подивившись журнал безпеки, побачив, що дана помилка (код помилки 1000) генерується файлами svchost.exe та kernel32.dll.
Почав активно шукати в Інтернет, що це таке і з чим воно пов'язано.
Виявляється, що недавно з'явився мережевий хробак Net-Worm.Win32.Kido, який використовуючи критичну вразливість Microsoft Windows (бюлетень MS08-067) поширюється через локальні мережі та змінні носії інформації. Фактично ця вразливість в системі захисту дозволяє зловмиснику виконати будь-який код на машині, що атакується. Особливістю цього вірусу є те, що він закриває цю вразливість для того, щоб таким же чином на даний комп'ютер не потрапили інші небезпечні програми.
Хробак відключає функцію відновлення системи, блокує доступ до сайтів, пов'язаним з інформаційною безпекою (в першу чергу сайти антивірусів), та може завантажувати довільні файли і запускати їх на виконання.
При запуску хробак створює свою копію в директорії %SYSTEM% з довільним ім'ям. Після цього перевіряє, яку ОС використовує заражений комп'ютер. Якщо це Windows 2000, то вбудовує свій код в процес services.exe, якщо ж ні, то створює службу з такими характеристиками:
Ім'я служби: netsvcs Шлях до файлу: %SYSTEM%\svchost.exe -k netsvcs
Створює такий ключ реєстру, забезпечуючи собі автозапуск при наступному завантаженні:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll =
"%SYSTEM%\<название_файла>.dll"
Хробак намагається під'єднатись до домену traff******ter.biz та завантажити такий файл:
http://traffi******ter.biz/*******/loadadv.exe
У випадку успіху, цей файл запускається на виконання.
Для перевірки Вашого комп'ютера слід виконати такі дії: 1. Видалити оригінальний файл хробака (його розташування залежить від способу, яким він потрапив на комп'ютер) за допомогою утиліти klwk.exe (запускати з ключем /s, тобто klwk.exe /s)
2. Видалити файл, створений троянцем в каталозі:
%SYSTEM%\<название_файла>.dll
Переглянути ім'я файлу можна подивитись у ключі
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll
3. Видалити гілку реєстру:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
Утиліту, яка видаляє хробака із зараженного комп'ютера можна завантажити за адресою
Оновлення, яке закриває дану вразливість ОС Windows, можна завантажити за адресою
Почав активно шукати в Інтернет, що це таке і з чим воно пов'язано.
Виявляється, що недавно з'явився мережевий хробак Net-Worm.Win32.Kido, який використовуючи критичну вразливість Microsoft Windows (бюлетень MS08-067) поширюється через локальні мережі та змінні носії інформації. Фактично ця вразливість в системі захисту дозволяє зловмиснику виконати будь-який код на машині, що атакується. Особливістю цього вірусу є те, що він закриває цю вразливість для того, щоб таким же чином на даний комп'ютер не потрапили інші небезпечні програми.
Хробак відключає функцію відновлення системи, блокує доступ до сайтів, пов'язаним з інформаційною безпекою (в першу чергу сайти антивірусів), та може завантажувати довільні файли і запускати їх на виконання.
При запуску хробак створює свою копію в директорії %SYSTEM% з довільним ім'ям. Після цього перевіряє, яку ОС використовує заражений комп'ютер. Якщо це Windows 2000, то вбудовує свій код в процес services.exe, якщо ж ні, то створює службу з такими характеристиками:
Ім'я служби: netsvcs Шлях до файлу: %SYSTEM%\svchost.exe -k netsvcs
Створює такий ключ реєстру, забезпечуючи собі автозапуск при наступному завантаженні:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll =
"%SYSTEM%\<название_файла>.dll"
Хробак намагається під'єднатись до домену traff******ter.biz та завантажити такий файл:
http://traffi******ter.biz/*******/loadadv.exe
У випадку успіху, цей файл запускається на виконання.
Для перевірки Вашого комп'ютера слід виконати такі дії: 1. Видалити оригінальний файл хробака (його розташування залежить від способу, яким він потрапив на комп'ютер) за допомогою утиліти klwk.exe (запускати з ключем /s, тобто klwk.exe /s)
2. Видалити файл, створений троянцем в каталозі:
%SYSTEM%\<название_файла>.dll
Переглянути ім'я файлу можна подивитись у ключі
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll
3. Видалити гілку реєстру:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
Утиліту, яка видаляє хробака із зараженного комп'ютера можна завантажити за адресою
Оновлення, яке закриває дану вразливість ОС Windows, можна завантажити за адресою
Recent comments
12 years 22 weeks ago
12 years 24 weeks ago
13 years 6 weeks ago
13 years 13 weeks ago
13 years 51 weeks ago
14 years 22 weeks ago
14 years 28 weeks ago
14 years 33 weeks ago
14 years 35 weeks ago
14 years 50 weeks ago