Net-Worm.Win32.Kido

[el-]

Net-Worm.Win32.Kido
Mal/Conficker (Sophos)
W32/Conficker.worm.gen (Symantec)
Worm:Win32/Conficker (Microsoft)

посмотрите у себя на машинах мб у кого то есть, хотелось бы увидить семпл ...

подробнее здесь:
http://www.viruslist.com/ru/viruses/encycl...irusid=21782725
http://www.viruslist.com/ru/viruses/encycl...irusid=21782733
http://www.viruslist.com/ru/viruses/encycl...irusid=21782749

 

[py4ka]

Тоже хочу посмотреть...

 

[Bender]

хех, жирненький) если не ошибаюсь то именно этот червь сейчас у нас в университетской сети гуляет.

 

[Одинокий Волк]

Conficker один из крупнейших ботнетов 10млн заражённых машин.

Спойлер: 100

Червь принадлежит алькаиде, один из моих клиентов видел админку

 

[el-]

Спойлер: 100

ыыы какой алькаиде ?

видать поэтому она грузила бинари с русской антиспайваре партнерки hxxp://googleum.biz/?p=10

Спойлер: 100

[mod][Одинокий Волк:] хз реально я не шучу могу лог показать, чел хз амер вроде но не русский.[/mod]

 

[Mr.Di]

есть сэмпл в коллекторе. счаз залью

добавлено: линк и пасс в пм

 

[el-]

DiFor, ща будем смотреть ...

Одинокий Волк, ну покажи лог .. имхо амер придумал ..

 

[AHTOLLlKA]

можно тоже мне в пм его..
недавно у меня на компе сидел... вылечил кое как...
небыло под рукой никакова анти малварного ПО...
руками еле еле...
покапать тож хочица

 

[Mr.Di]

ушло

 

[f_s_b_37]

.. имхо амер придумал ..

Тот подвид, который мои бухи, поймали брутил пароль к пользователю "Администратор", причем даже на английской винде.
PS создателей за некорректное эксплойтирование win2003 расстрелять через повешенье.
PPS А вообще штучка нехилая, у нас ее поймали минимум пара налоговых и управа города (у всех есть отделы ИБ )

 

[el-]

f_s_b_37, дык поделись своей версией ...
зы. а у меня пиздец какойто, все пропатчено, ип серый, локалки нету ... семлы ну никак не найти ):

 

[salamandra]

DiFor,ежели не сложно,то скинь и мне его!

 

[Mr.Di]

ушло

 

[f_s_b_37]

http://slil.ru/26576379
пасс: qwe123
Правда не уверен что говорил про эту модификацию, там их вроде несколько гуляло, а бинарик остался только один

 

[TheSADIST]

Ну дык что накопали?
У меня эта шняга есть, лежит в %systemroot%\system32\oeqxpxws.dll
По крайней мере каспер туда ругается!!!

 

[Ma-stiff]

el-
Могу скинуть Kido.fa.

 

[AHTOLLlKA]

Могу скинуть Kido.fa.

кинь в пм плиз

[mod][Ma-stiff:] Done.[/mod]

 

[salamandra]

Походу полиморфники и из одного стада!Кто нить Реверснул из вас ради интереса!Ибо совсем времени мало этому уделяю и навыков наверно меньше!Но в дальнейшем всетаки собираюсь оргазонивать хоть какой то приметивный "Коллектор"! Были попытки трансляции фейковых служб с эмуляцией ответов ,но логи не протоколировались!

 

[TheSADIST]

salamandra
Это у тебя то опыта мало?

 

[SiriX]

Лечение.

Решение 1 от Лаборатории Касперского:
http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215
http://data2.kaspersky-labs.com:8080/speci...Killer_v3.1.zip

Решение 2 от Компании «Доктор Веб»:
http://news.drweb.com/show/?i=204&c=5&p=0
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

Далее установить 3 заплатки на Windows XP2 и одну Windows XP3:
MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx);
MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx);
MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx)

Уже более 9 000 000 зараженных PC!

Известный под разными именами (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based и т д) и во множестве вариациях, Kido был обнаружен впервые ещё осенью прошлого года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители («флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов и спокойно занимается лавинным размножением. Благодаря изощренной механике Kido заразил к настоящему моменту более девяти миллионов машин и продолжает злобствовать. Данная вредоносная программа по мнению F-Secure создана для формирования бот-сетей с целью извлечения из нее прибыли или пакетной продажи. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет. Также, «Создатели этого вируса еще по-настоящему не использовали его. Но они могут в любой момент сделать с зараженными машинами все, что захотят», — говорит главный советник по вопросам безопасности все того же F-Secure - Патрик Руналд (Patrik Runald) .

Сетевой червь, распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован при помощи UPX.


При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Симптомы "запущенного" состояния: отключена служба восстановления системы; заблокирован доступ к адресам сайтов вирусной безопасности; невозможно включение отображения скрытых папок в Documents and Settings; в локальной сети настает непомерный объем сетевого трафика.