PDA

Võ lâm Truyền kỳ : Net-Worm.Win32.Kido (Downadup / Conficker)



csm.tuanpa2
16-09-09, 15:31
Net-Worm.Win32.Kido (hay còn gọi là Downadup / Conficker). Một loại virus ra đời trong những tháng đầu năm 2009, hiện đang giữ ngôi quán quân trong 10 loại virus nguy hiểm nhất tại Việt Nam. Sau đây là một số mô tả về dòng sâu này và cách diệt nó:

A - Cách hoạt động:

1. Nó tạo ra các tập tin autorun.inf và RECYCLED\{SID<....>}\RANDOM_NAME.vmx trong các partition, ổ cứng di động (USB Flash) và đôi khi là trong mạng chia sẻ của các doanh nghiệp và phòng máy.

2. Nó lưu trữ chính nó vào hệ thống như là một tập tin DLL với một tên bất kỳ (vd: c:\windows\system32\zorizr.dll).

3. Nó đăng ký chính nó và hệ thống dịch vụ của máy tính với một tên bất kỳ (vd: knqdgsm).

4. Nó tấn công các máy tính thông qua cổng TCP 445 hoặc 139, sử dụng lỗi bảo mật MS Windows vulnerability MS08-067.

5. Nó kết nối tới một số website sau để theo dõi máy tính bị nhiễm:

http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://trafficconverter.biz/4vir/antispyware/loadadv***************
http://trafficconverter.biz
http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz

6. Nó chặn host không cho người dùng kết nối tới một số website Antivirus có khả năng diệt được nó như kaspersky.com, symantec.com, microsoft.com...v...v..

B - Triệu chứng của máy bị nhiễm:

1. Lưu lượng truy cập mạng tăng đột biến nếu có máy tính trong hệ thống mạng bị nhiễm, bởi vì hệ thống mạng bị tấn công từ những máy tính này.

2. Các chương trình Anti-Virus có tính năng IDS (Intrusion Detection System) xuất hiện các thông báo bị tấn công Intrusion.Win.NETAPI.buffer-overflow.exploit

3. Gây ra tình trạng disconnect hàng loạt đối với hệ thống quản lý CSM của phòng máy.
...v..v...

C - Cách phòng chống:

1. Cài đặt bản và lỗi mới nhất từ Microsoft đối với các lỗ hổng MS08-067, MS08-068, MS09-001.Link:


http://img1-photo.apps.zing.vn/upload/original/2010/08/02/15/12807372281668325152.jpg
Microsoft (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx)

http://img1-photo.apps.zing.vn/upload/original/2010/08/02/15/12807372281668325152.jpg
Mediafire (http://www.mediafire.com/?0zzlyo2nxny)

2. Đặt mật khẩu Local Admin cho máy chủ và chắc rằng mật khẩu của tài khoản Local Administrator khó có thể tìm ra và ko bị hack 1 cách dễ dàng ( mật khẩu nên bao gồm ít nhất 6 ký tự; sử dụng hỗn hợp lẫn lộn giữa chữ thường, chữ viết hoa, số và các ký tự đặc biệt (như dấu #, !, $, @...). ).

3. Tắt tính năng chạy tự động (autorun ) từ partition,ổ đĩa di động,CD-Rom.

4. Khuyến khích sử dụng Windows XP Sp3.

5. Cài đặt chương trình diệt virus trên máy chủ ( khuyến khích sử dụng Kaspersky Antivirus (KAV) hoặc Symantec (SAV).

6. Tháo, đóng băng để tải, update game nên đồng bộ tại những thời điểm phòng máy ko có khách.

7. Hạn chế vào web hack game và tuyệt đối ko sử dụng các tool hack

D - Cách khử virus trên máy bị nhiễm:

Sử dụng công cụ killerkido. exe


http://img1-photo.apps.zing.vn/upload/original/2010/08/02/15/12807372281668325152.jpg
DOWNLOAD (http://www.mediafire.com/?mt21xmnzyz2)

Sau khi download về, giải nén ra ta được file KK. exe
Copy hoặc cut file KK. exe vào ổ C:\
Vào Start ---> Run gõ cmd và nhấn Ok
Trong cửa số cmd nhập những dòng lệnh sau:
cd \ ( nhấn enter )
KK. exe -y ( nhấn enter )
Rồi chờ cho tới khi quá trình quét hoàn tất, restart máy
Sau đó cài Kaspersky Antivirus vào update và quét tổng thể ổ cứng lại một lần nữa để loại bỏ hoàn toàn các tập tin của virus tạo ra.

Chúc các bạn thành công.

CSM Product

vietnet01
06-01-10, 19:22
Đã thử cách này nhiều lần rồi cũng không hiểu quả, CSM có cách nào khác khắc phục không? trình trạng này rất phiền phức phải khởi động lại máy lien tục mới đc.

csm.tuanpa2
07-01-10, 14:30
Đã thử cách này nhiều lần rồi cũng không hiểu quả, CSM có cách nào khác khắc phục không? trình trạng này rất phiền phức phải khởi động lại máy lien tục mới đc.

Vui lòng đề lại thông tin bao gồm: Tên _ Số ĐT _ Yahoo _ Địa chỉ phòng net để bên mình liên lạc hỗ trợ ạ

thoang8572
15-01-10, 22:55
bạn thử dùng AVG free xem sao mình chạy AVG free mấy năm rồi vẫn tốt đấy :D

hppro89
28-03-10, 00:28
tốt nhất bạn lên làm lạ toàn bộ dàn game nhé.chắc dàn net nhà bạn lâu lâu ko làm lại nên mới dính con này.heheehehehehe

internet_dongtiger
31-03-10, 16:00
cai lai su dung vai ngay la bi cac anh oi.
kho qua. bo di nho nguoi khac giu dum thi bi hoai chan wa.dt: 0947874249.ten Đông'
luc truoc co nho cac anh chi roi.va cung noi la do con kido tao ra.roi format tat ca phong may cai lai.vua cai xong chay chuong trinh cua csm la dinh chuong.khong biet tai sao?hom nay nagy 31/03/2010 toi viet bai nay.vai ngay truoc toi da bi.va cai may lai 4 lan trong dong 6 ngay su dung.

csm.tuanpa2
28-04-10, 17:10
cai lai su dung vai ngay la bi cac anh oi.
kho qua. bo di nho nguoi khac giu dum thi bi hoai chan wa.dt: 0947874249.ten Đông'
luc truoc co nho cac anh chi roi.va cung noi la do con kido tao ra.roi format tat ca phong may cai lai.vua cai xong chay chuong trinh cua csm la dinh chuong.khong biet tai sao?hom nay nagy 31/03/2010 toi viet bai nay.vai ngay truoc toi da bi.va cai may lai 4 lan trong dong 6 ngay su dung.

Sau khi diệt xong virus, bạn nên tham khảo một số biện pháp phòng chống trong bài hướng dẫn ở trên để ngăn ngừa virus xâm nhập lại. Bạn có thể liên hệ với nhân viên hỗ trợ CSM qua 2 nick yahoo hotrodaily_vng và giupdodaily_vng để được tư vấn

trunglucnetlh
12-08-10, 13:28
Mình thấy con virus này cũng dễ trị thôi. Nếu máy tính bị dính thì có thể dùng Process Explorer để xem và kil nó, trứoc khi kill thì xem nó nằm ở vị trí nào, kill xong thì vào xoá. Sau đó ta cho hiện tất cả file ẩn để tìm nó trên các partition và xóa nó đi(nếu không mở đựoc chức năng hiện file ẩn thì bạn có thể dùng winrar để nhìn dc cái fle ẩn này). Sau đó ta nên dùng 1 phần mềm diệt virus tin cậy nào đó để quết toàn bộ hệ thống(mình dùng Avast Av free). chúc các bạn thành công. Thân!

vietcakieng
16-03-11, 22:32
sao e đã làm giống như hướng dẫn của anh csm.tuanpa2 ma vẫn bị như củ.có ai có cách nào tốt hơn chỉ e với.thanks !!!!!!!!!

netanhsang
18-03-11, 09:53
Chào csm.tuanpa2, hiện nay dàn máy của tôi bị nhiễm con sysanti.exe và autorun.inf, tôi xài đóng băng drive vaccin , cứ vài ngày là bị, dù tôi đã cài lên winxp sp3 update full luôn rồi nhưng vài ngày lại bị nữa hà.
Bạn giúp tôi diệt 2 con này nha.
Thank!!
doisaodenwa@yahoo.com.vn
dt: 09.0933.0936
mình tên nhã

csm.tuanpa2
18-03-11, 09:57
sao e đã làm giống như hướng dẫn của anh csm.tuanpa2 ma vẫn bị như củ.có ai có cách nào tốt hơn chỉ e với.thanks !!!!!!!!!
Bạn trình bày rõ hơn tình trạng máy tính đang bị nhiễm virus nhé! Sau khi diệt bằng KK tool bạn có vá lỗi Windows và cài kaspersky hoặc symantec vào quét lại hay không?


Chào csm.tuanpa2, hiện nay dàn máy của tôi bị nhiễm con sysanti.exe và autorun.inf, tôi xài đóng băng drive vaccin , cứ vài ngày là bị, dù tôi đã cài lên winxp sp3 update full luôn rồi nhưng vài ngày lại bị nữa hà.
Bạn giúp tôi diệt 2 con này nha.
Thank!!
doisaodenwa@yahoo.com.vn
dt: 09.0933.0936
mình tên nhã

Loại virus này có tính năng xuyên băng. Bạn nên sử dụng các phiên bản mới của phần mềm đóng băng. Đồng thời diệt virus bằng các phần mềm như Symantec hoặc Kaspersky hoặc tham khảo một vài cách diệt tại đây:
http://diendan.zing.vn/csm/showthread.php?t=2306368
http://diendan.zing.vn/csm/showthread.php?t=2472191

Lưu ý: Trong hệ thống mạng Lan, 1 máy bị nhiễm thì khả năng các máy còn lại bị lây là rất cao. Bạn nên cách ly diệt từng máy để tránh tình trạng tái lây nhiễm

netanhsang
31-03-11, 22:29
Bạn trình bày rõ hơn tình trạng máy tính đang bị nhiễm virus nhé! Sau khi diệt bằng KK tool bạn có vá lỗi Windows và cài kaspersky hoặc symantec vào quét lại hay không?



Loại virus này có tính năng xuyên băng. Bạn nên sử dụng các phiên bản mới của phần mềm đóng băng. Đồng thời diệt virus bằng các phần mềm như Symantec hoặc Kaspersky hoặc tham khảo một vài cách diệt tại đây:
http://diendan.zing.vn/csm/showthread.php?t=2306368
http://diendan.zing.vn/csm/showthread.php?t=2472191

Lưu ý: Trong hệ thống mạng Lan, 1 máy bị nhiễm thì khả năng các máy còn lại bị lây là rất cao. Bạn nên cách ly diệt từng máy để tránh tình trạng tái lây nhiễm
Cảm ơn bạn !!!
...............................................

Vịt Cúm
01-04-11, 00:48
Bạn trình bày rõ hơn tình trạng máy tính đang bị nhiễm virus nhé! Sau khi diệt bằng KK tool bạn có vá lỗi Windows và cài kaspersky hoặc symantec vào quét lại hay không?



Loại virus này có tính năng xuyên băng. Bạn nên sử dụng các phiên bản mới của phần mềm đóng băng. Đồng thời diệt virus bằng các phần mềm như Symantec hoặc Kaspersky hoặc tham khảo một vài cách diệt tại đây:
http://diendan.zing.vn/csm/showthread.php?t=2306368
http://diendan.zing.vn/csm/showthread.php?t=2472191

Lưu ý: Trong hệ thống mạng Lan, 1 máy bị nhiễm thì khả năng các máy còn lại bị lây là rất cao. Bạn nên cách ly diệt từng máy để tránh tình trạng tái lây nhiễm

Góp ý thêm với anh Admin , máy mình cũng nhiễm loại này . Khi 1 máy bị nhiễm nó sẽ lây qua Lan và nhiễm vào các máy trạm . Khi bạn phát hiện nó muôn diệt triệt để thì nên diệt toàn bộ máy để tránh tái nhiễm và cài mới bản DeepFree .
Khi quét để khỏi tốn công cài KAS ( lâu mà chỉ quét 1 lần ) ban nên chuẩn bị 1 đĩa Kaspersky Rescue Disk quét trong môi trường ảo - điểm mạnh của nó là Không cần cài đặt - có thể update trong môi trường ảo và diệt được hầu như các loại virus cứng đầu ( như dòng PE , dòng confiker kido.h ...)
Trên đây là những kinh nghiệm bản thân muốn chia sẻ cho các bạn , có gì sai sót mong bạn bỏ qua

thanhmyps99
01-10-11, 17:53
Up!!!Vui là up,Up là phải chúc :Chúc mọi người vui vẻ,thành công,may mắn trong công viêc và cuộc sống!!!!!

hoanggiaanpt
01-10-11, 18:00
chuc cac ban vui ve nha hjhjhjhjhjhjhjhj

thanhmyps99
02-10-11, 00:24
Dù đang buồn.Vì mất đi 1 tri kỉ.vẫn chúc anh em vui vẻ,hạnh phúc,thành công,may mắn trong cuộc sống,công việc.

tutru1111
02-10-11, 15:00
Hi!!!Đang vui.Chúc mọi người vui vẻ,thành công nhé!!!!:):):):)