[PUPOKIN]

Корпорация Microsoft предложила вознаграждение в 250 тысяч долларов за информацию, которая поможет в поимке автора или авторов червя Downadup, известного также как Conficker и Kido. Об этом пишет Information Week.

Microsoft также договорилась о партнерстве с несколькими организациями, целью которого станет уничтожение червя. В этом корпорации помогут ICANN, Neustar, VeriSign, CNNIC, Afilia, Public Internet Registry, а также AOL, F-Secure, Symantec и академические исследователи.

Червю Downadup понадобилось всего несколько дней, чтобы заразить десять миллионов компьютеров. За последние пять дней, по данным компании Symantec, червь W32.Downadup.A в среднем заражал по 500 тысяч компьютеров в день, а W32.Downadup.B - по 1,7 миллиона.

Ботнет, образованный зараженными компьютерам, является одним из крупнейших в мире. Его размер во много раз превосходит одну из самых известных сетей такого рода - Storm. Его сложно остановить, в частности, из-за того, что ежедневно он псевдослучайным образом генерирует список доменов, которые могут быть использованы в качестве площадки для распространения и обновления.

[jawcrash]

а что он делает ?

[Free Angel Zodiac]

Да, хотелось бы узнать принцип действия.
Ненавижу вирус-прогеров, написать стандартный троян дело пяти-десяти минут, стоит это около 25 гривен=), а проблем столько потом... И нафиг вообще этим заниматься, я не понимаю...

[sergych]

Цитата:

Сообщение от jawcrash

а что он делает

Поганит, сволочь.

Из своего опыта:
30/12 - Под конец рабочего дня один из мастеров притащил в ПТО флешку с игрушкой (выяснили уже потом).
31/12 - С утра машинки не смогли подключиться к серверу. Юзеры блокируются из-за массового обращения с неверными паролями к серверу.
(Эта сволочь пытается подобрать пароли методом перебора используя имена юзеров и имена компов в сети.)
В общем - день "удался"
1/01 - отсыпАлся
2/01-3/01 - все машинки отключены от сетки, вручную проверяем с шефом каждую на наличие незнакомых служб, библиотек и прочего подозрительного содержимого.
Радуемся победе.
4/01 - Рано радовались..
Снова отключаем все машинки и по-новой
И так до глубокого вечера 6/01.
7/01 - Победа!!

Доп.инфа: "дрянь" запускает службы с вполне вменяемым выводимым именем (например, Microsoft Helper) и описанием (всё на английском), НО имя службы имеет вид (к примеру) jkkhjgvhj (характерно - используются ТОЛЬКО набор букв в НИЖНЕМ регистре).
(Для удаления службы использовался Total Commander с подключенным плагином Services - он даёт возможность удалять службы и имеет русский фейс.)
Предварительно скопировав (или записав на бумажке) имя службы отыскиваем его в Реестре.
(Я использовал программу RegWorks - в ней удобно организован вывод списка найденного, правда русского фейса нет.)
Просто удалить записи не удастся, - придётся сначала давать права на управление найденными ветками реестра.
Затем пробегаем по C:\Documents and Settings\имя\Local Settings\Temporary Internet Files\Content.IE5\ на наличие файлов с графическими расширениями (встречались и bmp, и gif, и tif, и jpg, т.ч. увы, но если в своём антивируснике вы вносили графику в исключения, то теперь придётся проверять и её) и размером 164746 байт, и удалить либо вручную, либо доверить это антивируснику.
(Вот собственно и всё. Кстати, вышеизложенное можно делать в обычном режиме, - перезагружаться в безопасный режим не обязательно.)
По окончании процедуры ОБЯЗАТЕЛЬНО установить патчи KB921883, KB957097, KB958644, KB958687. И отключить автозапуск всех устройств.
Поверьте, что лучше лишний раз кликнуть мышкой, чем возиться с лечением вирусов.

И проверьте свою флешку на наличие файла с расширением .vmx в папке Recycler. Если обнаружили - удаляйте. Здесь можете почитать об этом (мне, правда, попадался файл имеющий другое имя, но расширение то же)

Уточнение: вышеописанная борьба велась с Net-Worm.Win32.Kido.bt (по версии Касперского)

Это интересно: Касперский включил в базы эту "дрянь" 2/01, а даниловцы проснулись 4/01.
Описание вируса и способы излечения были опубликованы аж только 13/01.

Free Angel Zodiac
например здесь

[fallout]

Весь Трион кидо еще штормит )) т.к. много юзеров которые не обновляют системы и не читают новости. У самого из-за кидо вылетал Generic-Host-Process-for-Win32-Services-error. Обновил систему. Прогнал бесплатным антивирусом cureit.exe от Dr. Weba и нашел каку в C:\Documents and Settings\имя\Local Settings\Temporary Internet Files\Content.IE5\ в фотке .bmp Самое интересное, что как только кидо появился, каспер его еще не знал (вообще никто не знал), но не давал червяку действовать...

Собственно, отделался легким испугом.