Если антивирус Касперского не устанавливается, Как бороться с сетевым червем Net-Worm.Win32.Kido Опции

[Slonoboy]

Служба технической поддержки Лаборатории Касперского уведомляет о том, что в настоящий момент возросло количество обращений по факту заражения рабочих станций и серверов под управлением операционных систем Windows штаммами сетевого червя Net-Worm.Win32.Kido (другие названия: Conficker, Downadup).

Симптомы заражения

1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
3. Невозможно получить доступ к сайтам большинства антивирусных компаний, например, avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.
4. Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно и возникает одна из ошибок:

Ошибка активации. Процедура активации завершилась с системной ошибкой 2.

Ошибка активации. Невозможно соединиться с сервером.

Ошибка активации. Имя сервера не может быть разрешено.

Краткое описание семейства Net-Worm.Win32.Kido

1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
3. Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
4. Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
5. Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):

http://www.getmyip.org

http://getmyip.co.uk

http://www.whatsmyipaddress.com

http://www.whatismyip.org

http://checkip.dyndns.org

Способы удаления

Удаление сетевого червя производится с помощью специальной утилиты KK.exe. Операционные системы MS Windows 95/MS Windows 98/MS Windows Me не подвержены заражению данным сетевым червем.

С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

• Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001 (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его).
• Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр. Либо сменить ранее установленный пароль локального администратора.
• Отключить автозапуск исполняемых файлов со съемных носителей, запустив утилиту KK.exe с ключом -a:
  

  Для ОС Windows XP/Server: Пуск - Выполнить - наберите команду kk.exe -a - после ввода команды нажмите Enter.
  Для OC Windows Vista: Пуск - Все программы - Стандартные - Выполнить - наберите команду kk.exe -a - после ввода команды нажмите Enter.

• Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана.
  

  Блокировать TCP-порты 445 и 139 необходимо только на время лечения. Как только будет пролечена вся сеть, можно разблокировать эти порты.

Удаление сетевого червя утилитой KK.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.


Запуск утилиты с помощью командной строки

Все ключи, которые можно указать при запуске утилиты указаны ниже в таблице.

• Чтобы запустить командную строку
  

  Для ОС Windows Vista: Пуск - Все программы - Стандартные - Выполнить - наберите команду cmd
  Для ОС Windows XP/Server: Пуск - Выполнить - наберите команду cmd

• Чтобы осуществить запуск утилиты KK.exe
  

  Сохраните утилиту KK.exe, например, на диск С.
  Для запуска утилиты необходимо указать местоположение утилиты KK.exe. Например, команда для запуска утилиты, сохраненной на диске С будет выглядеть вот так:
  "С:\KK.exe" и нажмите Enter.

Для домашних пользователей (локальное удаление)

1. Скачайте архив KK.zip (текущая версия утилиты -3.4.13) и распакуйте его в отдельную папку на зараженной машине.
   
2. Если у вас на зараженном компьютере установлены следующие программы Лаборатории Касперского:
   
   - Kaspersky Internet Security 2009;
   - Антивирус Касперского 2009;
   - Kaspersky Internet Security 7.0;
   - Антивирус Касперского 7.0;
   - Kaspersky Internet Security 6.0;
   - Антивирус Касперского 6.0;
   - Антивирус Касперского 6.0 для Windows Workstations;
   - Антивирус Касперского 6.0 SOS;
   - Антивирус Касперского 6.0 для Windows Servers.
   
   пожалуйста, отключите в Антивирусе Касперского компонент Файловый Антивирус на время работы утилиты.
   
3. Запустите файл KK.exe
   
   При запуске файла KK.exe без указания каких-либо ключей утилита останавливает активное заражение (удаляет потоки, снимает перехваты), выполняет сканирование основных мест, подверженных заражению, сканирует память, чистит реестр, проверяет flash-накопители.
   
   По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KK.exe с ключом -y.
   
4. Дождитесь окончания сканирования.
   
   Если на компьютере, на котором запускается утилита KK.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
   
5. Выполните сканирование всего компьютера с помощью Антивируса Касперского.

Ключи для запуска утилиты KK.exe из командной строки

Параметр/ Описание
-p <путь для сканирования> Cканировать определённый каталог.

-f Cканировать жёсткие диски.

-n Cканировать сетевые диски.

-r Cканировать flash-накопители, сканировать переносные жесткие диски, подключаемые через USB и FireWire.

-y Не ждать нажатия любой клавиши.

-s "Тихий" режим (без чёрного окна консоли).

-l <имя_файла> Запись информации в лог-файл.

-v Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l).

-z Восстановление служб

Background Intelligent Transfer Service (BITS),
Windows Automatic Update Service (wuauserv),
Error Reporting Service (ERSvc/WerSvc),
Windows Defender (WinDefend)
Windows Security Center Service (wscsvc)

-х Восстановление возможности показа скрытых и системных файлов.

-m Режим мониторинга для защиты от заражения системы.

-a Отключение автозапуска со всех носителей.

-t Удаление из реестра сервисов, оставшихся после лечения сетевого червя продуктами Лаборатории Касперского.

-j Восстановление ветки реестра SafeBoot (при ее удалении компьютер не может загрузиться в безопасном режиме).

-help Получение дополнительной информации об утилите.

Например, для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита KK.exe) используйте следующую команду:

kk.exe -r -y -l report.txt -v

Начиная с версии 3.4.6 в утилиту KK.exe добавлены коды возврата (%errorlevel%):

3 - Были найдены и удалены зловредные потоки (червь был в активном состоянии).
2 - Были найдены и удалены зловредные файлы (червь был в неактивном состоянии).
1 - Были найдены зловредные задания планировщика или перехваты функций (данная машина не заражена, но в этой сети могут находиться зараженные машины - администратору следует обратить на это внимание).
0 - Ничего не было найдено.

Информация из статьи применима к следующим продуктам:

• Антивирус Касперского версии 6.0/7.0/2009
• Kaspersky Internet Security версии 6.0/7.0/2009
• Антивирус Касперского 6.0 для Windows Workstations MP1/MP2/MP3
• Антивирус Касперского 6.0 для Windows Servers MP1/MP2/MP3
• Kaspersky Administration Kit 6.0 MP1/MP2

Оригинал статьи: http://support.kaspersky.ru/faq/?qid=208636215