Сегодня столкнулся с вирусом Net-Worm.Win32.Kido или просто Kido.
Когда на одном из серверов остановилась служба Сетевой вход и Сервер и пропал доступ к его расшаренным папкам (такого не было никогда ранее). Мне сразу показалось что-то тут не чисто. Службы были перезапущены и все пошло своим путем. А позже я занялся изучением и поиском виновника. Итак, рассмотрим противника:

Net-Worm.Win32.Kido поражает Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.

I. На сайте Касперского предлагается решение по обнаружению и удалению вирусов семейства Net-Worm.Win32.Kido

Решение:
1. Скачать и установить патч от Microsoft, который закрывает уязвимость MS08-067 (скачать).

2. Скачать и запустить утилиту KidoKiller.exe из архива KidoKiller_v3.zip (скачать)
3. Общая рекоммендация. Не забывать обновлять операционную систему высокоприоритетными обновлениями.

II. Компания «Доктор Веб» информирует о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based (известного также под именем Conficker.worm, Downadup и Kido) и предлагает метод лечения :

1. Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
MS08-067 ссылка;
MS08-068 ссылка;
MS09-001 ссылка;
2. Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети.
3. Скачать текущую версию утилиты Dr.Web CureIt! ссылка на неинфицированном компьютере, перенести ее на инфицированный и просканировать все диски, тем самым произведя лечение системы.
4. Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.

На заметку.

При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.

Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.

Так же возможно отключение доступа к общим каталогам и прочим сетевым службам.

P.S. я использовал первый метод защиты (лечения), но повторно проверял так же и утилитой Dr.Web CureIt! от "Доктора Веб” ссылка.

Дополнительно можно почитать:
от компании "Доктор Веб” - ссылка
от Вирусной Энциклопедии - ссылка
от Лаборатории Касперского - ссылка

Ключевые слова: скачать утилиту kidokiller | kidokiller v3.zip | kidokiller v3 | worm.32.kido.hf | net-32.kido | kidokiller скачать

Добавлено 01. (для тех у кого не работают сайты касперского и микрософт, файлы для лечения с нашего сервера)
Обновленная утилита лечения от Касперского KidoKiller_v3.3.2.zip
Критическое обновление для Windows XP - WindowsXP-KB958644-x86-RUS.exe

Добавлено 02.
Критическое обновление для Windows Server 2003 Service Pack 1 и Windows Server 2003 Service Pack 2 - WindowsServer2003-KB958644-x86-RUS.exe (очень рекомендую не забывать обновлять сервера, спешить конечно тоже не стоит и накатывать всё на все, но и не забывайте! )

Добавлено 03.
По непроверенным данным kido не трогает машины, на которых установлена украинская раскладка клавиатуры.

Добавлено 04.
Разработчики антивируса BitDefender также сделали утилиту для удаления Kido или как они его называют Win32.Worm.Downadup.Gen, скачать можно с ссылка
А так же у них есть "The 30-second Antivirus Scan: BitDefender QuickScan Beta” (30 секундное антивирусное он-лайн сканирование ПК)
P.S. зараженных машин под рукой не было, поэтому эффективность инструмента мной не проверена, но продукты BitDefender штука не плохая.

Добавлено 05.
Это не первоапрельский прикол, действительно уже появился KidoKiller версии 3.4.3 - KKiller_v3.4.3.zip

Добавлено 06.
Обновилась утилита KidoKiller уже версия 3.4.4 - KKiller_v3.4.4.zip

Сегодня обнаружил такой факт - если запустить кидокиллера с пользовательскими правами (т.е. работая под учетной записью с правами Пользователь), то утилита работает секунд 5-10 и вылетает с ошибкой! (обратите на это внимание и не забывайте!)

Добавлено 07.
Еще признаки kido
1. Создает на съемных носителях (также на сетевых дисках если доступно на запись) файл autorun.inf и файл RECYCLED\{SID}\random_name.vmx
2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\sfefs.dll
3. Прописывает себя в сервисах со случайным именем, состоящим из латинских букв, например gfjdsnk.
4. Атакует компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.

Добавлено 08.
Новая версия - KidoKiller 3.4.5 скачать

Добавлено 09.
Нашел утилиту скачать (утилита разработана компанией Positive Technologies)

С помощью этой утилиты системные администраторы смогут быстро и легко выявить уязвимые системы и установить соответствующие исправления. Для корректной работы утилиты на системе должен быть установлен .NET Framework.

Внимание! Утилита работает в режиме тестирования на проникновение, в связи с чем, не имеет возможности обнаружить узлы, зараженные червем Conficker.B, поскольку червь устраняет уязвимость MS08-067. Для проверки зараженных систем необходимо использовать механизмы аудита системы MaxPatrol или XSpider.

После последнего посещения вышеуказанных страниц с заплатками, мне показалось что у Микрософт, что-то наверчено и толком по тем ссылкам скачать не получается, вообщем я нашел у них все что нужно и добавляю информацию тут:

Критическое обновление для системы безопасности (заплатки от уязвимости MS09-001):

- Windows XP (SP2, SP3) (KB958687) (MS09-001) - WindowsXP-KB958687-x86-RUS.exe

- Windows Server 2003 (SP1, SP2) (KB958687) (MS09-001) - WindowsServer2003-KB958687-x86-RUS.exe

Критическое обновление для системы безопасности (заплатки от уязвимости MS08-068):

- Windows XP (SP2, SP3) (KB957097) (MS08-068) - WindowsXP-KB957097-x86-RUS.exe

- Windows Server 2003 (SP1, SP2) (KB957097) (MS08-068) - WindowsServer2003-KB957097-x86-RUS

Критическое обновление для системы безопасности (заплатки от уязвимости MS08-067):

- Windows XP Rus (SP2, SP3) (KB958644) (MS08-067) - WindowsXP-KB958644-x86-RUS.exe

- Windows Server 2003 Rus (SP1, SP2) (KB958644) (MS08-067) - WindowsServer2003-KB958644-x86-RUS.exe

уязвимость описанная в MS08-065
Если у вас Microsoft Windows 2000 с пакетом обновления 4 (SP4), то обратите внимание!

Не подвержено уязвимости:
Windows XP с пакетом обновления 2 (SP2) или 3 (SP3)
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)
….

Была проблема (в самом начале эпопеи) - появилась на одном из сетевых дисков папка RECYCLER (типа корзина), но на самом деле не корзина, а создал ее кидо, сразу было видно кто создал (так как на сервере доступ был с паролями), пользователь был почищен и пропатчен, а вот папка не удалялась. Чтобы ее удалить нужно:

1. Войти в ту папку (лучше с коммандера FreeCommander, Total Commander, только не проводником, чтобы не вдруг не активизировать заразу) найти файл, который был не доступен к удалению даже администратору (там было что-то типа jwgkvsq.vmx), на него нужно добавить полный доступ Администратору, остальные можно удалить и можно сменить владельца на Администратор (это все если вы работаете под Администратором и тогда файл получится удалить.
2. Директории я удалил командами типа
rmdir /s /q "./S-5-3-~1″
rmdir /s /q RECYCLER
(до этого я тоже добавил доступ к директориям Админу)

Добавлено 10.
Новая версия - утилита для удаления вируса Kido - KidoKiller 3.4.6 скачать

Начиная с версии 3.4.6 в утилиту KK.exe добавлены коды возврата (%errorlevel%):

3 - Были найдены и удалены зловредные потоки (червь был в активном состоянии).
2 - Были найдены и удалены зловредные файлы (червь был в неактивном состоянии).
1 - Были найдены зловредные задания планировщика или перехваты функций (данная машина не заражена, но в этой сети могут находиться зараженные машины - администратору следует обратить на это внимание).
0 - Ничего не было найдено.

P.S. В сети где используется домен(ы) нужно в первую очередь лечить контроллеры домена и компьютеры, на которых залогинены пользователи, входящие в группы "Administrators” и "Domain Admins” в домене. Иначе, лечение бесполезно - все компьютеры, входящие в домен, будут постоянно заражаться.
P.S.S. Смотрим ключи KK

Добавлено 11.
Новая версия утилиты для удаления вируса - KidoKiller 3.4.7 скачать

Добавлено 12.

Ключи для запуска утилиты KK.exe из командной строки:

Добавлено 13.
Новая версия утилиты для удаления вируса Kido - KidoKiller 3.4.13 скачать