1. При наявності заражених комп'ютерів в локальній мережі підвищується обсяг мережевого трафіку, оскільки з цих комп'ютерів починається мережева атака.
2. Антивірусні програми з активним мережевим екраном повідомляють про атаку Intrusion.Win.NETAPI.buffer-overflow.exploit.

3. Неможливо отримати доступ до сайтів більшості антивірусних компаній, наприклад: avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky і т.д.
4. Спроба активації Антивірусу Касперського або Kaspersky Internet Security за допомогою коду активації на машині, яка заражена мережевим хробаком Net-Worm.Win32.Kido, може завершитися невдачею, і виникає одна з помилок:

1. Помилка активації. Процедура активації завершилася системною помилкою 2.
2. Помилка активації. Неможливо з'єднатися з сервером.
3. Помилка активації. Ім'я сервера не може бути дозволено.

Короткий опис сімейства Net-Worm.Win32.Kido.

1. Створює на знімних носіях (іноді на мережевих дисках загального користування) файл autorun.inf і файл RECYCLED \ RANDOM_NAME.vmx
2. У системі черв'як зберігається у вигляді dll-файлу з випадковим ім'ям, що складається з латинських букв, наприклад c: \\ windows \\ system32 \\ zorizr.dll
3. Прописує себе в сервісах - так само з випадковим ім'ям, що складається з латинських букв, наприклад knqdgsm.
4. Намагається атакувати комп'ютери мережі по 445 або 139 TCP порту, використовуючи вразливість в ОС Windows MS08-067.
5. Звертається до наступних сайтів для отримання зовнішньої IP-адреси зараженого комп'ютера:

1. www.getmyip.org
2. getmyip.co.uk
3. www.whatsmyipaddress.com
4. www.whatismyip.org
5. checkip.dyndns.org 

Способи видалення
Видалення мережного хробака здійснюється за допомогою спеціальної утиліти KK.exe. Операційні системи MS Windows 95/MS Windows 98/MS Windows Me не схильні до зараження даними мережевим хробаком.

Увага! З метою запобігання зараження на всіх робочих станціях і серверах мережі необхідно провести наступний комплекс заходів:

1.  Встановити патчі, що закривають уразливості
MS08-067 (http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx),
MS08-068 (http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx),
MS09-001 (http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx).
2. Перевірити, що пароль облікового запису локального адміністратора стійкий до взлому - пароль повинен містити не менше шести символів, з використанням різних регістрів та/або цифр. Або змінити раніше встановлений пароль локального адміністратора.
3. Відключити автозапуск виконуваних файлів зі знімних носіїв, запустивши утиліту KK.exe з ключем-a:
Для ОС Windows XP / Server: Пуск - Виконати - наберіть команду "kk.exe-a" - після введення команди натисніть OK.
Для OC Windows Vista: Пуск - Стандартні - Виконати - наберіть команду "kk.exe-a" - після введення команди натисніть OK.
4. Заблокувати доступ до TCP-портів: 445 і 139 за допомогою мережевого екрану.
Блокувати TCP-порти 445 і 139 необхідно тільки на час лікування. Як тільки буде проліковано вся мережа, можна розблокувати ці порти.

 

Видалення мережного хробака утилітою KK.exe можна робити локально на зараженому комп'ютері або централізовано, якщо в мережі розгорнутий комплекс Kaspersky Administration Kit.

Локальне видалення:
1. Скачайте архів KK_v3.4.7.zip і розпакуйте його в окрему папку на зараженій машині.
2. Запустіть файл KK.exe.
При запуску файлу KK.exe без зазначення будь-яких ключів утиліта зупиняє активне зараження (видаляє потоки, знімає перехоплення), виконує сканування основних місць, схильних до зараження, сканує пам'ять, чистить реєстр.

Зауваження! По закінченні сканування на комп'ютері можливо присутність активного вікна командного рядка, що чекає натискання будь-якої клавіші для закриття. Для автоматичного закриття вікна рекомендуємо запускати утиліту KK.exe з ключем -y.
1. Дочекайтеся закінчення сканування.
2. Виконайте сканування всього комп'ютера за допомогою Антивірусу Касперського.

Централізоване видалення
1. Завантажте утиліту KK_v3.4.7.zip і розпакуйте архів.
2. В Консолі Адміністрування створіть інсталяційний пакет для програми KK.exe. На етапі вибору дистрибутиву програми виберіть варіант "Создать инсталляционный пакет для приложения, указанного пользователем".


3. На основі даного інсталяційного пакету створіть групову або глобальну задачу віддаленої установки для заражених або підозрілих комп'ютерів мережі.
Примітка! Ви можете запустити утиліту KK.exe на всіх комп'ютерах вашої мережі.

Запустіть завдання на виконання.
Примітка!  При запуску утиліти через Administration Kit вона запускається з правами користувача SYSTEM. У цьому разі для неї будуть недоступні всі мережеві диски / загальні папки. Якщо адміністратору необхідно, щоб утиліта писала звіти на який-небудь мережевий диск / загальний ресурс, то потрібно запускати програму за допомогою команди run as.

1. Після того як утиліта завершить роботу, виконайте сканування кожного комп'ютера мережі за допомогою Антивірусу Касперського.

Увага! Якщо на комп'ютері, на якому запускається утиліта KK.exe, встановлено Agnitum Outpost Firewall, то по закінченні роботи утиліти обов'язково перезавантажте комп'ютер.

Зауваження! В доменній мережі важливо в першу чергу лікувати контролери домену та комп'ютери, на яких залогінені користувачі, що входять до групи "Administrators" і "Domain Admins" в домені. В іншому випадку, лікування даремно - всі комп'ютери, що входять в домен, будуть заражатися кожні 15 хвилин.

 

Ключі для запуску утиліти KK.exe з командного рядка:

1. -p <шлях для сканування> - сканувати певний каталог.
2. -f - сканувати жорсткі диски, сканувати переносні жорсткі диски.
3. -n - сканувати мережеві диски.
4. -r - сканувати flash-накопичувачі.
5. -y - не чекати натискання будь-якої клавіші.
6. -s - "тихий" режим (без чорного вікна консолі).
7. -l <ім'я файлу> - запис інформації в лог-файл.
8. -v - ведення розширеного логу (параметр -v працює тільки у випадку, якщо в командному рядку зазначено також параметр -l)
9. -z - відновлення служб (Background Intelligent Transfer Service (BITS), Windows Automatic Update Service (wuauserv), Error Reporting Service (ERSvc / WerSvc) )
10. -х - відновлення можливості показу прихованих і системних файлів.
11. -a - відключення автозапуску з усіх носіїв.
12. -m - режим моніторингу потоків, завдань, сервісів. У цьому режимі утиліта постійно знаходиться в пам'яті й періодично проводить сканування потоків, сервісів, завдань планувальника при виявленні зараження виконується лікування та продовження моніторингу.
13. -j - відновлення гілки реєстру SafeBoot (при її видаленні комп'ютер не може завантажитися в безпечному режимі).
14. -help - отримання додаткової інформації про утиліту.