Авторизация: не выполнена Оpen avtorization dialog
Search

«Доктор Веб» предупреждает о переходе бот-сети Shadow на новую стадию работы с 1 апреля

Подготовить
к печати

Компания «Доктор Веб» - российский разработчик средств информационной безопасности - предупреждает о новой модификации полиморфного сетевого червя Win32.HLLW.Shadow.based (также известного под именами Kido/Conficker) обеспечивающего основной функционал этой бот-сети. С 1 апреля прогнозируется переход работы бот-сети на новый режим работы.

Работа бот-сети Shadow завтра, 1 апреля 2009 года, перейдет на новую стадию. На компьютерах, зараженных ранее различными модификациями полиморфного червя Win32.HLLW.Shadow.based, появившимися в феврале и марте этого года, будет произведено обновление вредоносного ПО, в результате чего будет запущен генератор адресов к заранее подготовленным сайтам для получения с них инструкций по дальнейшей работе. Каждые сутки будет генерироваться 50 000 адресов, среди которых будет выбираться 500 адресов, через которые будут происходить попытки обновления вредоносного ПО. При этом процесс обновления будет тщательно регулироваться таким образом, чтобы не создавать значительную нагрузку на хостинг-серверы, на которых расположены данные вредоносные серверы. Такой работе бот-сети воспрепятствовать будет значительно сложнее.

Напомним, что Win32.HLLW.Shadow.based для своего распространения использует сразу несколько каналов, среди которых выделяются съёмные носители и сетевые диски. Червь также может распространяться с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067.

Компания «Доктор Веб» обращает особое внимание, что асоциальные действия совершают не только создатели Win32.HLLW.Shadow.based, но и пользователи, которые не обращают внимания на заражения своих компьютеров модификациями этих червей, являясь, тем самым, активными участниками бот-сети Shadow, и способствуют ее дальнейшему разрастанию и функционированию.

Для борьбы с бот-сетью Shadow, перешедшей на новую стадию, для пользователей антивирусных продуктов других производителей компания «Доктор Веб» рекомендует:

  • Незамедлительно установить на используемую систему все актуальные обновления, т.к. сетевой червь Win32.HLLW.Shadow.based активно использует известные уязвимости ОС семейства Windows.
  • Произвести обновление вирусных баз.
  • Если Ваш производитель антивируса не детектирует этого червя, или не лечит от него систему, необходимо воспользоваться актуальной версией бесплатной антивирусной утилиты Dr.Web CureIt! c сайта Dr.Web или нашего сайта и произвести полное сканирование зараженной системы.

Напоминаем пользователям антивирусов Dr.Web, что они надежно защищены от инфицирования новой модификацией Win32.HLLW.Shadow.based.

Методика локализации проблемы от экспертов "Лаборатории Касперского"

Удаление сетевой вредоносной программы производится с помощью специальной утилиты KKiller.exe. С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

  • Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001.
  • Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
  • Отключить автозапуск исполняемых файлов со съемных носителей.
  • Остановить службу Task Scheduler (Планировщик Задач) в Windows.

Удаление вредоносной программы Kido утилитой KKiller.exe необходимо производить локально на зараженном компьютере.

Как бороться с Kido обычному пользователю домашнего компьютера?

Скачайте архив KKiller_v3.4.1.zip ( http://data2.kaspersky-labs.com:8080 / special / KKiller_v3.4.1.zip ) и распакуйте его в отдельную папку на зараженной машине. Запустите файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y. Дождитесь окончания сканирования.

Возврат к списку новостей