Cum să se ocupe cu viermele de rețea kido

Serviciul de asistență tehnică notifică clientul Kaspersky Lab, care este în prezent a crescut numărul de plângeri cu privire la faptul de stații de lucru infectate și servere care rulează sisteme de operare Windows tensionează vierme de rețea Net-Worm.Win32.Kido (alte denumiri:. Conficker Downadup).

Dacă există computere infectate în rețeaua locală, cantitatea de trafic din rețea crește deoarece aceste computere inițiază un atac de rețea.

Aplicațiile antivirus cu un firewall activ raportează atacul Intrusion.Win.NETAPI.buffer-overflow.exploit.

Nu se poate site-uri de acces ale majorității companiilor antivirus, de exemplu, Avast,, Avira eSafe, DrWeb, Eset, nod32, F-Secure, panda, kaspersky, etc.

O încercare de a activa Kaspersky Anti-Virus sau Kaspersky Internet Security cu un cod de activare la un computer infectat cu un vierme de rețea Net-Worm.Win32.Kido, poate să nu reușească și fie erorii:

Eroare de activare. Procedura de activare a fost finalizată cu o eroare de sistem de 2.
Eroare de activare. Nu se poate conecta la server.
Eroare de activare. Numele serverului nu poate fi rezolvat.

Scurtă descriere a familiei Net-Worm.Win32.Kido

Îndepărtarea viermelui de rețea se realizează utilizând utilitarul special KK.exe. Sistemele de operare MS Windows 95 / MS Windows 98 / MS Windows Me nu sunt supuse la infecții de acest vierme de rețea.

Pentru a proteja împotriva infecțiilor pe toate stațiile de lucru și servere ale rețelei, este necesar să se efectueze următoarele măsuri:

Instalați patch-uri care acoperă vulnerabilitățile MS08-067. MS08-068. MS09-001 (pe aceste pagini trebuie să selectați sistemul de operare instalat pe computerul infectat, descărcați patch-ul și instalați-l).

Asigurați-vă că parola contului de administrator local este rezistentă la hacking - parola trebuie să conțină cel puțin șase caractere, folosind diferite registre și / sau cifre. Alternativ, puteți schimba parola administratorului local instalat anterior.

Dezactivați autorun de fișiere executabile de pe suporturi amovibile prin rularea utilitarului KK.exe cu opțiunea -a:

Pentru Windows XP / Server: Start - Run - tastați comanda kk.exe -a - după introducerea comenzii, apăsați Enter.
Pentru Windows Vista OC: Start - Toate programele - Standard - Comanda tip de execuție kk.exe -a - după introducerea comenzii, apăsați Enter.

Blocați accesul la porturile TCP: 445 și 139 utilizând paravanul de protecție.

Porturile TCP 445 și 139 trebuie să fie blocate numai pe durata tratamentului. Imediat ce este tratată întreaga rețea, puteți debloca aceste porturi.

Îndepărtarea viermelui de rețea de către utilitarul KK.exe poate fi efectuată local pe computerul infectat sau centralizat dacă complexul Kaspersky Administration Kit este implementat în rețea.

Rulați utilitarul folosind linia de comandă. Toate tastele care pot fi specificate când utilitarul este pornit sunt enumerate mai jos în tabel.

Pentru a porni linia de comandă
- Pentru Windows Vista. Start - Toate programele - Standard - Comanda cmd Run
- Pentru Windows XP / Server. Start - Run - tastați comanda cmd
Pentru a porni utilitarul KK.exe
- Salvați utilitarul KK.exe. de exemplu, pentru a conduce vehiculele C.
- Pentru a porni utilitarul, trebuie să specificați locația utilitarului KK.exe. De exemplu, comanda pentru a rula utilitarul stocat pe unitatea C va arăta astfel:
  "Din: # 92; KK.exe" și apăsați Enter.

Pentru utilizatorii casnici (eliminarea locală)

Descărcați arhiva KK.zip (versiunea curentă a utilitarului este -3.4.13) și dezarhivați-l într-un folder separat de pe mașina infectată.

Dacă ați instalat următoarele aplicații Kaspersky Lab pe computerul infectat: dezactivați componenta File Anti-Virus în Kaspersky Anti-Virus pe durata utilității.

Rulați fișierul KK.exe.

Așteptați ca scanarea să se termine.

Dacă pe computerul pe care este lansat utilitarul KK.exe. instalat Agnitum Outpost Firewall. apoi la sfârșitul utilitarului, reporniți computerul.

Scanați întregul computer utilizând Kaspersky Anti-Virus.

Pentru utilizatorii corporativi (eliminare centralizată)

Descărcați utilitarul KK.zip (versiunea curentă a utilitarului este 3.4.13) și despachetați arhiva.

În Consola de administrare, creați un pachet de instalare pentru aplicația KK.exe. În etapa de alegere a distribuției aplicației, selectați opțiunea Crearea unui pachet de instalare pentru aplicația specificată de utilizator.

În câmpul Parametri pornire fișier executabil, specificați opțiunea -y pentru a închide automat fereastra consolei după terminarea utilitarului.

Cum să se ocupe cu viermele de rețea kido

Pe baza acestui pachet de instalare, creați o grupă sau o sarcină de instalare la distanță la nivel mondial pentru computerele de rețea infectate sau suspecte.

Puteți rula utilitarul KK.exe pe toate computerele din rețea.

Înainte de a rula utilitarul, asigurați-vă că dezactivați componenta File Anti-Virus care face parte din Kaspersky Anti-Virus pe computerele client.

Rulați sarcina.

Când rulați utilitarul prin Kitul de administrare, acesta rulează cu drepturi de utilizator SYSTEM. În acest caz, toate unitățile de rețea / dosarele partajate nu vor fi disponibile pentru acesta. Dacă un administrator dorește ca utilitarul să scrie rapoarte către o unitate de rețea / partajare, atunci executați utilitarul utilizând comanda run as.

După terminarea utilitară, scanați fiecare computer din rețea utilizând Kaspersky Anti-Virus.

Dacă pe computerul pe care este lansat utilitarul KK.exe. instalat Agnitum Outpost Firewall. apoi la sfârșitul utilitarului, reporniți computerul.

Într-o rețea de domeniu, este important să se trateze mai întâi controlerele de domeniu și computerele pe care utilizatorii conectați, membri ai grupului „Administrators“ și „admini domeniu“ din domeniu. În caz contrar, tratamentul este inutil - toate computerele care intră în domeniu vor fi infectate la fiecare 15 minute.

Pagina anterioară

Pagina următoare