Đăng Nhập
Tìm kiếm
Top posting users this month
| No user |
Thống Kê
Hiện có 2 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 2 Khách viếng thăm Không
Số người truy cập cùng lúc nhiều nhất là 58 người, vào ngày Wed Aug 02, 2017 7:50 pm
Cách diệt virus Net-Worm.Win32.Kido
SeHTF :: Câu lạc bộ An ninh mạng for Security 2TVN :: Góc nhìn hệ thống by Security 2TVN :: An ninh máy tính by Security 2TVN
Trang 1 trong tổng số 1 trang
22052010
Cách diệt virus Net-Worm.Win32.Kido
Cách diệt virus Net-Worm.Win32.Kido
Đội ngũ Hỗ trợ Kỹ thuật Kaspersky Lab Việt Nam nhận được rất nhiều thông báo về sự lây nhiễm ngày càng tăng trong hệ thống mạng doanh nghiệp của dòng sâu Net-Worm.Win32.Kido (hay còn gọi là Downadup / Conficker). Sau đây là một số mô tả về dòng sâu này và cách diệt nó.
Các triệu chứng của hệ thống mạng bị nhiễm.
1. Lưu lượng truy cập mạng tăng đột biến nếu có máy tính trong hệ thống mạng bị nhiễm, bởi vì hệ thống mạng bị tấn công từ những máy tính này.
2. Các chương trình Anti-Virus có tính năng IDS (Intrusion Detection System) xuất hiện các thông báo bị tấn công Intrusion.Win.NETAPI.buffer-overflow.exploit
Mô tả ngắn về dòng virus Net-Worm.Win32.Kido.
1. Nó tạo ra các tập tin autorun.inf và RECYCLED\{SID<....>}\RANDOM_NAME.vmx trong các ổ cứng di động (USB Flash) và đôi khi là trong mạng chia sẽ của các doanh nghiệp.
2. Nó lưu trữ chính nó vào hệ thống như là một tập tin DLL với một tên bất kỳ (vd: c:\windows\system32\zorizr.dll).
3. Nó đăng ký chính nó và hệ thống dịch vụ của máy tính với một tên bất kỳ (vd: knqdgsm).
4. Nó thử tấn công các máy tính thông qua cổng TCP 445 hoặc 139, sử dụng lỗi bảo mật MS Windows vulnerability MS08-067.
5. Nó thử kết nối tới một số website sau (chúng tôi khuyên bạn nên thiết lập tường lửa mạng để giám sát các kết nối tới những website này):
Các phương pháp diệt virus này.
Khách hàng nên dùng một công cụ đặc biệt là kidokiller.exe để diệt loại virus này.
Để tránh cho tất cả máy trạm và server khỏi bị nhiễm loại sâu này, KH nên làm như sau:
Công cụ kidokiller.exe có thể chạy trực tiếp trên máy tính bị nhiễm, hoặc từ xa với sự hỗ trợ của Kaspersky Administration Kit.
Để gỡ bỏ virus trực tiếp trên máy bị nhiễm:
1. Tải về tập tin nén [You must be registered and logged in to see this link.] và giải nén nó vào một thư mục trên máy tính bị nhiễm.
2. Chạy tập tin KidoKiller.exe
Khi quét sẽ xuất hiện nhiều cửa sổ dòng lệnh, nhấn nút bất kỳ để thu nhỏ cửa sổ. Để cửa sổ dòng lệnh tự động đóng lại, bạn nên chạy công cụ KidoKiller.exe với tham số –y.
3. Chờ cho đến khi quá trình quét hoàn tất.
Nếu trên máy bị nhiễm có cài Agnitum Outpost Firewall thì bắt buộc phải khởi động lại máy tính mỗi khi công cụ thực hiện xong.
4. Tiến hành quét toàn diện máy tính của bạn với Kaspersky Anti-Virus
Để gỡ bỏ virus thông qua Administration Kit:
1. Tải về tập tin nén [You must be registered and logged in to see this link.] và giải nén nó vào một thư mục.
2. Trong Administration Kit console tạo gói cài đặt cho ứng dụng KidoKiller.exe. Trong gói cài đặt cấu hình trên bước Application chọn Make installation package for specified executable file.
Trong trường Executable file command line (optional) định tham số –y để đóng của sổ console tự động mỗi khi công cụ thực hiện xong.
3. Tạo một global hoặc group task for remote installation của gói cài đặt để gán vào các máy tính và chạy tác vụ.
Công cụ KidoKiller.exe có thể chạy trên tất cả các máy tính trong mạng theo dạng chạy tác vụ.
4. Sau mỗi lần công cụ hoạt động xong, quét virus từng máy tính trong mạng sử dụng Kaspersky Anti-Virus
Nếu trên máy bị nhiễm có cài Agnitum Outpost Firewall thì bắt buộc phải khởi động lại máy tính mỗi khi công cụ thực hiện xong.
Để biết thêm thông tin về công cụ này, chạy KidoKiller.exe với thông số –help.
Các thông số quản lý KidoKiller.exe từ dòng lệnh:
-p - scan a defined folder
-f - quét ổ cứng
-n - quét ổ đĩa mạng
-r - quét ổ đĩa di động
-y - kết thúc chương trình mà không cần nhấn phím bất kỳ
-s - chế độ im lặng (không hiện cửa sổ màn hình đen)
-l - ghi thông vào một tập tin nhật ký
-v - extended log maintenance (nên dùng với tham số -l )
-help - hiển thị thông tin bổ sung về công cụ
Ví dụ, trong trường hợp quét một ổ đĩa di động và ghi nhận báo cáo vào một tập tin report.txt (nó sẽ được tạo trong thư mục cài đặt của KidoKiller.exe), sử dụng dòng lệnh sau:
kidokiller.exe -r -y -l report.txt -v
Đội ngũ Hỗ trợ Kỹ thuật Kaspersky Lab Việt Nam nhận được rất nhiều thông báo về sự lây nhiễm ngày càng tăng trong hệ thống mạng doanh nghiệp của dòng sâu Net-Worm.Win32.Kido (hay còn gọi là Downadup / Conficker). Sau đây là một số mô tả về dòng sâu này và cách diệt nó.
Các triệu chứng của hệ thống mạng bị nhiễm.
1. Lưu lượng truy cập mạng tăng đột biến nếu có máy tính trong hệ thống mạng bị nhiễm, bởi vì hệ thống mạng bị tấn công từ những máy tính này.
2. Các chương trình Anti-Virus có tính năng IDS (Intrusion Detection System) xuất hiện các thông báo bị tấn công Intrusion.Win.NETAPI.buffer-overflow.exploit
Mô tả ngắn về dòng virus Net-Worm.Win32.Kido.
1. Nó tạo ra các tập tin autorun.inf và RECYCLED\{SID<....>}\RANDOM_NAME.vmx trong các ổ cứng di động (USB Flash) và đôi khi là trong mạng chia sẽ của các doanh nghiệp.
2. Nó lưu trữ chính nó vào hệ thống như là một tập tin DLL với một tên bất kỳ (vd: c:\windows\system32\zorizr.dll).
3. Nó đăng ký chính nó và hệ thống dịch vụ của máy tính với một tên bất kỳ (vd: knqdgsm).
4. Nó thử tấn công các máy tính thông qua cổng TCP 445 hoặc 139, sử dụng lỗi bảo mật MS Windows vulnerability MS08-067.
5. Nó thử kết nối tới một số website sau (chúng tôi khuyên bạn nên thiết lập tường lửa mạng để giám sát các kết nối tới những website này):
- [You must be registered and logged in to see this link.]
- [You must be registered and logged in to see this link.]
- [You must be registered and logged in to see this link.]
- [You must be registered and logged in to see this link.]
- [You must be registered and logged in to see this link.]
- [You must be registered and logged in to see this link.]
- [You must be registered and logged in to see this link.]
- [You must be registered and logged in to see this link.]
- [You must be registered and logged in to see this link.]
- [You must be registered and logged in to see this link.]
- [You must be registered and logged in to see this link.]
- [You must be registered and logged in to see this link.]
Các phương pháp diệt virus này.
Khách hàng nên dùng một công cụ đặc biệt là kidokiller.exe để diệt loại virus này.
Để tránh cho tất cả máy trạm và server khỏi bị nhiễm loại sâu này, KH nên làm như sau: - Cài đặt bản và lỗi mới nhất từ Microsoft đối với các lỗ hổng [You must be registered and logged in to see this link.], [You must be registered and logged in to see this link.], [You must be registered and logged in to see this link.].
- Chắc rằng mật khẩu của tài khoản Local Administrator khó có thể tìm ra và bị hack dễ dàng – mật khẩu nên bao gồm ít nhất 6 ký tự; sử dụng hỗn hợp lẫn lộn giữa chữ thường, chữ viết hoa, số và các ký tự đặc biệt (như dấu #, !, $, @...).
- Tắt tính năng chạy tự động từ ổ đĩa di động.
Công cụ kidokiller.exe có thể chạy trực tiếp trên máy tính bị nhiễm, hoặc từ xa với sự hỗ trợ của Kaspersky Administration Kit.
Để gỡ bỏ virus trực tiếp trên máy bị nhiễm:
1. Tải về tập tin nén [You must be registered and logged in to see this link.] và giải nén nó vào một thư mục trên máy tính bị nhiễm.
2. Chạy tập tin KidoKiller.exe
Khi quét sẽ xuất hiện nhiều cửa sổ dòng lệnh, nhấn nút bất kỳ để thu nhỏ cửa sổ. Để cửa sổ dòng lệnh tự động đóng lại, bạn nên chạy công cụ KidoKiller.exe với tham số –y.3. Chờ cho đến khi quá trình quét hoàn tất.
Nếu trên máy bị nhiễm có cài Agnitum Outpost Firewall thì bắt buộc phải khởi động lại máy tính mỗi khi công cụ thực hiện xong.4. Tiến hành quét toàn diện máy tính của bạn với Kaspersky Anti-Virus
Để gỡ bỏ virus thông qua Administration Kit:
1. Tải về tập tin nén [You must be registered and logged in to see this link.] và giải nén nó vào một thư mục.
2. Trong Administration Kit console tạo gói cài đặt cho ứng dụng KidoKiller.exe. Trong gói cài đặt cấu hình trên bước Application chọn Make installation package for specified executable file.
Trong trường Executable file command line (optional) định tham số –y để đóng của sổ console tự động mỗi khi công cụ thực hiện xong. 3. Tạo một global hoặc group task for remote installation của gói cài đặt để gán vào các máy tính và chạy tác vụ.
Công cụ KidoKiller.exe có thể chạy trên tất cả các máy tính trong mạng theo dạng chạy tác vụ.4. Sau mỗi lần công cụ hoạt động xong, quét virus từng máy tính trong mạng sử dụng Kaspersky Anti-Virus
Nếu trên máy bị nhiễm có cài Agnitum Outpost Firewall thì bắt buộc phải khởi động lại máy tính mỗi khi công cụ thực hiện xong.Để biết thêm thông tin về công cụ này, chạy KidoKiller.exe với thông số –help.
Các thông số quản lý KidoKiller.exe từ dòng lệnh:
-p - scan a defined folder
-f - quét ổ cứng
-n - quét ổ đĩa mạng
-r - quét ổ đĩa di động
-y - kết thúc chương trình mà không cần nhấn phím bất kỳ
-s - chế độ im lặng (không hiện cửa sổ màn hình đen)
-l - ghi thông vào một tập tin nhật ký
-v - extended log maintenance (nên dùng với tham số -l )
-help - hiển thị thông tin bổ sung về công cụ
Ví dụ, trong trường hợp quét một ổ đĩa di động và ghi nhận báo cáo vào một tập tin report.txt (nó sẽ được tạo trong thư mục cài đặt của KidoKiller.exe), sử dụng dòng lệnh sau:
kidokiller.exe -r -y -l report.txt -v
(Nguồn [You must be registered and logged in to see this link.])
BS Se S2T- Chuyên viên an ninh Se S2T
-
Con Giáp : 
Tuổi giáp Trung Hoa :
Tổng số bài gửi : 797
Điểm Se S2T : 115494
Sinh Nhật : 03/11/1990
Tham gia ngày : 29/04/2010
Tuổi : 33
Đến từ : Thành Phố Hoa Hồng
Huy chương
Sức mạnh:
(100/100)
Điểm SeS2T: (35/50)
Share this post on:
Similar topics» Tool diệt đặc hiệu của Kasperky mẫu Net-Worm.Win32.Kido
» Mách bạn cách diệt virus hiệu quả nhất
» How to disinfect a PC from Virus.Win32.Virut.ce - Làm sao để xực con Virus.Win32.Virut.ce khỏi máy tính
» Worm.Win32.DownLoader.
» Worm.Win32.Palevo
» Mách bạn cách diệt virus hiệu quả nhất
» How to disinfect a PC from Virus.Win32.Virut.ce - Làm sao để xực con Virus.Win32.Virut.ce khỏi máy tính
» Worm.Win32.DownLoader.
» Worm.Win32.Palevo
Permissions in this forum:
Bạn không có quyền trả lời bài viết
