1 kwietnia 2009

Kido (znany jako Conficker, Downadup) FAQ

Co to jest Kido?

Kido (znany również jako Conficker lub Downadup) został po raz pierwszy wykryty w listopadzie 2008 roku. Na początku szkodnik był robakiem rozprzestrzeniającym się za pośrednictwem sieci lokalnych i nośników wymiennych. Najnowsza generacja Kido nie jest zdolna do samodzielnego rozprzestrzeniania się, jednak podobnie jak wcześniejsze warianty, może uaktualniać się poprzez pobieranie dodatkowego kodu.

Kido stworzył potężny botnet zainfekowanych maszyn. Jego aktualizacja została zaprogramowana na 1 kwietnia 2009 roku, a najnowsza generacja tego programu ma wygenerować 50 000 nazw domen według losowego algorytmu, a następnie wybrać z nich 500, z którymi szkodnik może potencjalnie skontaktować się w celu aktualizacji. Kido wykorzystuje bardzo wyrafinowaną technologię. Pobiera uaktualnienia z nieustannie zmieniających się zasobów online; wykorzystuje sieci P2P jako dodatkowe źródło pobrań; wykorzystuje silne szyfrowanie, aby zapobiec ingerencji w jego centrum kontroli i uniemożliwia produktom antywirusowym otrzymywanie uaktualnień.

Nadal nie jest jasne, w jakim celu został stworzony botnet Kido i w jaki sposób może zostać wykorzystany w przyszłości.

Dlaczego Kido stanowi zagrożenie?

Ogromny botnet złożony z komputerów zainfekowanych przez Kido może dostarczać cyberprzestępcom środków do przeprowadzania masowych ataków DDoS na dowolny zasób internetowy w celu kradzieży poufnych danych z zainfekowanych komputerów oraz rozprzestrzeniania niechcianej zawartości (np. masowych wysyłek spamowych). Szacuje się, że na całym świecie działa około pięciu, sześciu milionów komputerów zainfekowanych przez Kido.

Początkowo Kido rozprzestrzeniał się za pośrednictwem sieci lokalnych oraz nośników wymiennych. Wykorzystał krytyczną lukę w zabezpieczeniach (MS08-067), którą Microsoft załatał w październiku 2008 roku. Wygląda na to, że przed styczniem 2009 roku spora liczba osób nie zastosowała tej łaty, ponieważ właśnie wtedy infekcja Kido osiągnęła punkt kulminacyjny.

Więcej informacji na temat sposobów przenikania Kido do komputerów można znaleźć tutaj:

W jaki sposób mogę zapobiec infekcji Kido?

Produkty firmy Kaspersky Lab potrafią chronić systemy przed infekcją wieloma wariantami Kido. Upewnij się, że masz włączoną automatyczną aktualizację produktu (automatyczna aktualizacja jest włączona domyślnie), a następnie przeprowadź pełne skanowanie systemu. Chociaż Kaspersky Internet Security chroni niezałatane komputery przed infekcją, powinieneś sprawdzić, czy zainstalowałeś wszystkie najnowsze aktualizacje bezpieczeństwa dla systemu Windows (zwłaszcza MS08-067).

Jak poznam, że mój komputer został zainfekowany?

Jeżeli w twojej sieci LAN znajdują się jakieś zainfekowane komputery, wzrośnie ruch sieciowy na skutek ataku sieciowego przeprowadzonego przez zainfekowane systemy. Programy antywirusowe z włączoną zaporą sieciową dostarczą raport o ataku Intrusion.Win.NETAPI.buffer-overflow.exploit.

Jeżeli podejrzewasz, że twój komputer został zainfekowany, spróbuj otworzyć przeglądarkę i przejść do twojej ulubionej wyszukiwarki. Jeżeli strona otworzy się, spróbuj otworzyć www.kaspersky.com lub www.microsoft.com - jeżeli strona nie otworzy się, prawdopodobnie została zablokowana przez szkodliwy program. Pełna lista zasobów zablokowanych przez Kido znajduje się w tym miejscu.

Jestem administratorem sieci LAN. Jak mogę powstrzymać i wyleczyć infekcję Kido?

Możesz usunąć Kido przy pomocy specjalnego narzędzia, KKiller.exe. Aby zapobiec infekcji stacji roboczych i serwerów sieciowych, powinieneś:

  • Zainstalować łaty dla następujących luk w zabezpieczeniach MS08-067, MS08-068 oraz MS09-001.
  • Upewnić się, że posiadasz mocne hasło administratora - powinno mieć co najmniej sześć znaków, wielkie i małe litery, liczby i znaki niealfanumeryczne. Wyłącz autostart dla wszystkich nośników wymiennych. Wyłącz Terminarz Zadań.

Jeżeli usuwasz Kido przy pomocy KKiller.exe, powinieneś uruchomić tę aplikację ręcznie na wszystkich zainfekowanych komputerach PC.

Jestem użytkownikiem domowym. Jak mogę usunąć Kido?

Pobierz KKiller_v3.4.1.zip i rozpakuj go w oddzielnym folderze na zainfekowanym komputerze PC. Uruchom KKiller.exe. Po zakończeniu skanowania okno wiersza poleceń nadal może być otwarte; aby je zamknąć, wciśnij dowolny klawisz.

Jeżeli uruchomiłeś KKiller.exe na komputerze z zainstalowanym Agnitum Outpost Firewall, po tym jak narzędzie KKiller przestanie działać, powinieneś ponownie uruchomić komputer.

Zalecenia dotyczące usuwania Kido dostępne są również na stronie pomocy technicznej firmy Kaspersky Lab.