Net-Worm.Win32.Kido он же Downadup он же Conficker

Недавно разразилась эпидемия. Около 10 миллионов компьютеров было заражено данным зловредом, большая часть из зараженных компьютеров пришлась на Россию. Эпидемия разрасталась как снежный ком, этим самым в начале очень озаботив своими темпами заражения всех. Вирус использовал уязвимость Windows. 23 октября майкрософт выпустил обновление безопасности, нацеленное на закрытие лазейки через которую проникает вирус на компьютер. Хотя обновление вышло в конце октября, основной пик заражения пришелся на январь.
Каждая копия вируса синхронно генерирует 250 доменных имен и пытается связаться с соответствующими серверами.
Пока сильной деструктивной деятельности кроме процесса размножения и внедрения своего кода в адресное пространство одного из запущенных системных процессов svchost.exe, что влечет за собой отключение восстановления системы и блокировки ряда адресов, выключения обновления антивируса установленного на зараженной машине не обнаружено.
Но есть очень неприятный момент. Данный вирус способен скачивать с некоторых адресов некоторые файлы и прописывать их  в Windows (%System%) не скрывая своего имени и ту же запускать на выполнение. Вот это уже самый тревожный симптом, говорящий о том, что на вашем компьютере открыты ворота, а вот что в эти ворота пролезет через очередные модификации остается гадать.

Настало время поговорить об основных симптомах, которые вызывают вирусы данного семейства.
Начнем с того, что данный зловред устанавливает свой исполняемый файл, т.е тело в
<буква диска>\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\случайная последовательность символов, так же в корень диска вирус устанавливает свой сопровождающий файл <буква диска>:\autorun.inf с помощью которого вызывается само тело вируса.

Основным и первым симптомом заражения является невозможность просмотра скрытых файлов на компьютере. Вирус создает после запуска архивный системный файлик с атрибутами скрытый и только для чтения, вот именно этим отключением скрытых файлов он себя и укрывает в системе.
Ещё одним симптомом является увеличение сетевого трафика. Атакует по 445 или 139 TCP портам, т.е повышенная активность именно на этих портах
Следующий неприятный симптом - это отключение вирусом прав администратора на редактирование своего файла, оставляя ему только права чтения. Из-за этого многие попытки удалить вирус заканчивались неудачей, так как он снова восстанавливал себя.
Следующим симптомом является то, что вирус создает правило исключения себя для фаервола.  Эти исключения можно удалить из настроек фаервола в последствии.
В общем при всей простоте укрытия червь достаточно сильно веселится в реестре, и даже после полного удаления он может оставлять следы в Temporary Internet Files.

Но не все так плохо. Наконец-то вендоры антивирусного ПО встряхнулись от оцепенения и начали борьбу. Лаборатория Касперского и ESET выпустили специальные утилиты для лечения именно этого типа вирусов. Данные утилиты примечательны тем, что их можно запускать на уже зараженной машине, когда основной антивирус уже не справляется.
Лаборатория Касперского выпустила утилиту kidokiller.exe.
Для сканирования и лечения надо скачать утилиту прямая ссылка на скачивание с лаборатории касперского распаковать и запустить, желательно с ключом с ключом -y. Если запустить без этого ключа, то для закрытия активного окна командной строки придется нажать любую клавишу. С ключом окно закроется автоматически после работы. Для тех, у кого установлен Agnitum Outpost Firewall потребуется ребут после работы утилиты.

Компания ESET тоже уже выпутила утилиту по борьбе с данным вирусом.  Утилита называется EConfickerRemover.exe Прямая ссылка на скачивание с eset.com

Пока удалось остановить эпидемию вируса, теперь его распространение не так активно. Будем надеяться на лучшее. Установите обновление безопасности от майкрософт, закройте порты 445 и 139 TCP на вход и выход, и не "болейте", потому что лучше предотвратить чем лечить.

частичное или полное копирование данного материала без ссылки на источник крайне не желательно