Intrusion.Win.NETAPI.buffer-overflow.exploit
http://kaspersky.nts.com.vn/tin-tuc/bai ... mwin32kido
http://www.google.com.vn/search?hl=vi&c ... %3Dlang_vi
http://forum.kaspersky.com/index.php?showtopic=95057
http://www.microsoft.com/technet/securi ... 8-067.mspx
http://www.google.com.vn/search?hl=vi&c ... %3Dlang_vi
----------------------------------------------------------------------------------------
cách diệt virus kido - 09-02-2009, 07:17 PM
Theo thống kê hiện tại số máy tính bị nhiễm virus Kido (một số hãng khác gọi là Downadup Worm, Conficker với mô tả: Net-Worm.Win32.Kido.bt, Net-Worm.Win32.Kido.dv and Net-Worm.Win32.Kido.fx) trên thế giới đã lên đến 9 triệu PC:Virus này khai thác lỗ hổng MS08-067 của window.
trên 4rum của Kapersky cung có hướng dẫn nhưng Hou muôn tóm tắt lại cách chữa:
download cái này về quét:
KidoKiller.exe
download cái này về để vá lỗi cho windows(XP SP2):
WindowsXP-KB921883-x86-ENU.exe
xong nhớ upload Kapersky bản mới nhất rồi quét thêm đợt nữa ha!
--------------------------------------------------------------
Cách diệt virus Net-Worm.Win32.Kido
Liên quan đến:
* Kaspersky Anti-Virus 6.0 cho Windows Workstations (tất cả các phiên bản)
* Kaspersky Anti-Virus 6.0 cho Windows Servers (tất cả các phiên bản)
* Kaspersky Administration Kit 6.0 MP1/MP2
Đội ngũ Hỗ trợ Kỹ thuật Kaspersky Lab Việt Nam nhận được rất nhiều thông báo về sự lây nhiễm ngày càng tăng trong hệ thống mạng doanh nghiệp của dòng sâu Net-Worm.Win32.Kido (hay còn gọi là Downadup / Conficker). Sau đây là một số mô tả về dòng sâu này và cách diệt nó.
Các triệu chứng của hệ thống mạng bị nhiễm.
1. Lưu lượng truy cập mạng tăng đột biến nếu có máy tính trong hệ thống mạng bị nhiễm, bởi vì hệ thống mạng bị tấn công từ những máy tính này.
2. Các chương trình Anti-Virus có tính năng IDS (Intrusion Detection System) xuất hiện các thông báo bị tấn công Intrusion.Win.NETAPI.buffer-overflow.exploit
Mô tả ngắn về dòng virus Net-Worm.Win32.Kido.
1. Nó tạo ra các tập tin autorun.inf và RECYCLED\{SID<....>}\RANDOM_NAME.vmx trong các ổ cứng di động (USB Flash) và đôi khi là trong mạng chia sẽ của các doanh nghiệp.
2. Nó lưu trữ chính nó vào hệ thống như là một tập tin DLL với một tên bất kỳ (vd: c:\windows\system32\zorizr.dll).
3. Nó đăng ký chính nó và hệ thống dịch vụ của máy tính với một tên bất kỳ (vd: knqdgsm).
4. Nó thử tấn công các máy tính thông qua cổng TCP 445 hoặc 139, sử dụng lỗi bảo mật MS Windows vulnerability MS08-067.
5. Nó thử kết nối tới một số website sau (chúng tôi khuyên bạn nên thiết lập tường lửa mạng để giám sát các kết nối tới những website này):
o http://www.getmyip.org
o http://getmyip.co.uk
o http://www.whatsmyipaddress.com
o http://www.whatismyip.org
o http://checkip.dyndns.org
o http://schemas.xmlsoap.org/soap/envelope/
o http://schemas.xmlsoap.org/soap/encoding/
o http://schemas.xmlsoap.org/soap/envelope/
o http://schemas.xmlsoap.org/soap/encoding/
o http://trafficconverter.biz/4vir/antisp ... oadadv.exe
o http://trafficconverter.biz
o http://www.maxmind.com/download/geoip/d ... oIP.dat.gz
Các phương pháp diệt virus này.
Khách hàng nên dùng một công cụ đặc biệt là kidokiller.exe để diệt loại virus này.
Warning Để tránh cho tất cả máy trạm và server khỏi bị nhiễm loại sâu này, KH nên làm như sau:
o Cài đặt bản và lỗi mới nhất từ Microsoft đối với các lỗ hổng MS08-067, MS08-068, MS09-001.
o Chắc rằng mật khẩu của tài khoản Local Administrator khó có thể tìm ra và bị hack dễ dàng – mật khẩu nên bao gồm ít nhất 6 ký tự; sử dụng hỗn hợp lẫn lộn giữa chữ thường, chữ viết hoa, số và các ký tự đặc biệt (như dấu #, !, $, @...).
o Tắt tính năng chạy tự động từ ổ đĩa di động.
Công cụ kidokiller.exe có thể chạy trực tiếp trên máy tính bị nhiễm, hoặc từ xa với sự hỗ trợ của Kaspersky Administration Kit.
Để gỡ bỏ virus trực tiếp trên máy bị nhiễm:
1. Tải về tập tin nén KK_v3.4.6.zip và giải nén nó vào một thư mục trên máy tính bị nhiễm.
2. Chạy tập tin KidoKiller.exe
Information Khi quét sẽ xuất hiện nhiều cửa sổ dòng lệnh, nhấn nút bất kỳ để thu nhỏ cửa sổ. Để cửa sổ dòng lệnh tự động đóng lại, bạn nên chạy công cụ KidoKiller.exe với tham số –y.
3. Chờ cho đến khi quá trình quét hoàn tất.
Warning Nếu trên máy bị nhiễm có cài Agnitum Outpost Firewall thì bắt buộc phải khởi động lại máy tính mỗi khi công cụ thực hiện xong.
4. Tiến hành quét toàn diện máy tính của bạn với Kaspersky Anti-Virus
Để gỡ bỏ virus thông qua Administration Kit:
1. Tải về tập tin nén KK_v3.4.6.zip và giải nén nó vào một thư mục.
2. Trong Administration Kit console tạo gói cài đặt cho ứng dụng KidoKiller.exe. Trong gói cài đặt cấu hình trên bước Application chọn Make installation package for specified executable file.
Information Trong trường Executable file command line (optional) định tham số –y để đóng của sổ console tự động mỗi khi công cụ thực hiện xong.
3. Tạo một global hoặc group task for remote installation của gói cài đặt để gán vào các máy tính và chạy tác vụ.
Information Công cụ KidoKiller.exe có thể chạy trên tất cả các máy tính trong mạng theo dạng chạy tác vụ.
4. Sau mỗi lần công cụ hoạt động xong, quét virus từng máy tính trong mạng sử dụng Kaspersky Anti-Virus
Warning Nếu trên máy bị nhiễm có cài Agnitum Outpost Firewall thì bắt buộc phải khởi động lại máy tính mỗi khi công cụ thực hiện xong.
Để biết thêm thông tin về công cụ này, chạy KidoKiller.exe với thông số –help.
Các thông số quản lý KidoKiller.exe từ dòng lệnh:
-p <Scan path> - scan a defined folder
-f - quét ổ cứng
-n - quét ổ đĩa mạng
-r - quét ổ đĩa di động
-y - kết thúc chương trình mà không cần nhấn phím bất kỳ
-s - chế độ im lặng (không hiện cửa sổ màn hình đen)
-l <file name> - ghi thông vào một tập tin nhật ký
-v - extended log maintenance (nên dùng với tham số -l )
-help - hiển thị thông tin bổ sung về công cụ
Ví dụ, trong trường hợp quét một ổ đĩa di động và ghi nhận báo cáo vào một tập tin report.txt (nó sẽ được tạo trong thư mục cài đặt của KidoKiller.exe), sử dụng dòng lệnh sau:
kidokiller.exe -r -y -l report.txt -v
Read more: "Cách diệt virus Net-Worm.Win32.Kido" - http://kaspersky.nts.com.vn/tin-tuc/bai ... FxczxKKB&A
-------------
Diệt Tận Gốc win32.kido Và Conficker Hiệu Quả
1. Nhận dạng vi rút:
a. win32.kido:
- Nếu bạn có xài kis 2009, chức năng Network Attack Blocker ( ngăn chặn tấn công mạng ) sẽ cảnh báo liên tục có sự tấn công của vi rút có cấu trúc tên w32......worm.... ( tên dài lắm ^^ ) thông qua cổng 445 ( nếu máy trạm đặt IP tĩnh chúng ta sẽ biết ngay máy nào vì nó chỉ đích danh IP của máy đang bị nhiễm, nhưng điều này ko còn quan trọng vì 1 khi 1 máy bị nhiễm thì nó nhanh chóng lây lan toàn bộ hệ thống mạng lan nên lúc này máy nào cũng bị nhiễm.
- Một biểu hiện khác là máy báo ko nhận đc driver âm thanh, ko share đc trong mạng lan, thanh tab bar chuyển sang màu trắng
b. conficker :
- Không thể nào truy cập vào các trang của các phần mềm diệt virut như kasperky, symantec.. và trang của microsoft , kể cả việc send nhận file qua yahoo cũng trở nên khó khăn hơn ...
2. Cách Diệt:
Các bạn tải file đính kèm theo bài viết của mình , giải nén được 7 file được đánh tên từ 0 đến 6 ( để thuận tiện cho các bạn làm đúng các bước mà khỏi cần hướng dẫn khó hiểu )
- Bước 1 : các bạn xả băng tất cả máy trạm và máy chủ (nếu máy chủ có đóng băng), chép tất cả các file này vào toàn bộ máy, sau đó cách ly toàn bộ hệ thống mạng, ( tốt nhất reset modem và tắt điện modem và hub )
- Bước 2 : tiến hành khởi động toàn bộ máy ở chế độ safe mode và thực hiện lần lượt :
+ Run file 0.exe cho đến khi scan xong
+ Run file 1.exe cho đến khi scan xong, file này tác dụng loại bỏ w32.kido
+ Run file 2.exe, file này sẽ scan hơi lâu, vì nó scan toàn bộ các ổ đĩa để loại trừ sâu conficker, sau khi scan xong, các bạn nhớ thật sự chú ý ở bước này, vì nó sẽ hiện ra 1 bản có thông báo đại loại là : có cần giúp repair các tập tin lỗi không ? nhớ tít vào ô đó rồi next, nó sẽ fix và hiện lên bản kết quả , nhấn finish
- Bước 3 : khởi động lại máy ở chế độ Win XP bình thường, sau đó thực hiện lần lượt :
+ Run file 3.exe xong, finish máy sẽ tự khởi động lại
+ Run file 4.exe xong, finish máy sẽ tự khởi động lại
+ Run file 5.exe xong, finish máy sẽ tự khởi động lại
+ Run file 6.exe xong, finish máy sẽ tự khởi động lại
Hoàn tất, xóa hết tập tin rác trong máy rồi đóng băng lại. Cắm lại modem và hub,kết nối lại với modem , khôi phục lại hệ thống mạng > XONG. Các bạn đã hoàn tất việc loại trừ hiêm họa virut
Chú ý : Đối với Win xp spack2, các bạn làm như trên, còn win xp spack3, các bạn bỏ qua ko Run file số 3.exe
Các file 0,1,2 thực chất là các công cụ diệt vi rút của hãng microsoft và kaspersky nhằm đối phó với con w32.kido và sâu conficker, tôi đã đổi tên theo thứ tự để các bạn có thể tiến hành theo mà ko sợ nhầm lẫn các bước ^^
Các File 3,4,5,6 là các bản vá lỗi của microsoft nhằm chống lại sâu conficker ( cũng đã được đổi tên cho các bạn dễ thực hiện )
Chúc các bạn thành công, thật sự đây là 1 kinh nghiệm mình nghĩ cần phải chia sẽ để chống lại cơn sóng vi rút lan tràn như hiện nay. Thân !
-------------------
không cần fai repair lại máy đâu mất công
cho đĩa xp vào
vào run chay lệnh sau đây sfc /scannow
sẽ phục hồi tất cả các file dll mà hệ dh bị mất
Trả Lời Với Trích Dẫn
-----------------------------------------------------------
- Nội dung hoặc link này đã được ẩn
- Muốn xem được , bạn phải trả lời bài viết này hoặc click thankpost
