Еще куча всего про вирус Kido/Conficker
Что пишет «Доктор Веб»
Что пишет «Лаборатория Касперского»
Что пишет «NOD32»
Что пишет «Avira Antivir»
Что пишет «Avast!»
Что пишет «ZoneAlarm»
Новая информация от «F-secure»
Популярные форумы на тему борьбы с этим червем
http://bishop3000.livejournal.com/105424.html
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725
http://virusinfo.info/showthread.php?t=37191
http://nemcd.com/2009/01/virus-net-wormwin32kido-kido-vnimanie
Что пишет «Доктор Веб»
Эпидемия Win32.HLLW.Shadow.based (Net-Worm.Win32.Kido, W32.Downadup, Worm:Win32/Conficker) продолжается
25 января 2009 г.
Компания «Доктор Веб» сообщает об продолжающейся эпидемии опасного полиморфного сетевого червя Win32.HLLW.Shadow.based по классификации антивируса Dr.Web, который также известен под именами Net-Worm.Win32.Kido, W32.Downadup и Worm:Win32/Conficker. В настоящий момент известно несколько основных модификаций данного вируса. Антивирусные решения, выпускаемые под маркой Dr.Web, при использовании актуальных вирусных баз, способны вылечить систему от всех модификаций данной вредоносной программы, а также не допустить их проникновения в систему.
Ранее компания «Доктор Веб» опубликовала новость, в которой подробно описывался функционал Win32.HLLW.Shadow.based (некоторые из модификаций которого могут определяться Dr.Web как Win32.HLLW.Autoruner.5555), описание метода лечения в случае заражения системы данным вирусом, а также меры профилактики по недопущению заражения подобными вирусами в будущем.
Вирусные аналитики компании «Доктор Веб» с момента появления первого варианта данной вредоносной программы оперативно вносят в вирусную базу Dr.Web процедуры лечения системы от всех появляющихся модификаций Win32.HLLW.Shadow.based.
Специалисты компании «Доктор Веб» рекомендуют пользователям всех антивирусных программ проверить актуальность вирусных баз используемого антивируса, а также отсутствие проблем при входе на сайты www.drweb.com и http://freedrweb.com, для того, чтобы убедиться в отсутствии данной инфекции в системе. В случае если вход на указанные сайты окажется невозможным, либо актуальность вирусных баз используемого антивируса отстаёт от текущего времени на сутки или более, то это может указывать на возможность заражения системы Win32.HLLW.Shadow.based.
В этом случае необходимо:
- установить все актуальные критические обновления на используемую систему;
- скачать утилиту Dr.Web CureIt! (http://freedrweb.com), которая содержит в себе актуальные вирусные базы, и провести полное сканирование дисков;
- перезагрузить компьютер;
- обновить вирусные базы используемого антивируса.
Сетевой червь Win32.HLLW.Shadow.based использует уязвимости Microsoft Windows
15 января 2009 г.
Компания «Доктор Веб» информирует о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based (известный также под именем Conficker.worm, Downadup и Kido), который использует несколько альтернативных методов распространения, один из которых — уязвимости операционной системы Windows, которой подвержены Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.
Способы распространения
Сетевой червь Win32.HLLW.Shadow.based, некоторые образцы которого также могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555, использует для своего распространения сразу несколько способов. Прежде всего — съёмные носители и сетевые диски посредством встроенного в Windows механизма автозапуска. В этом случае имя вредоносного файла является случайным и содержится в папке вида RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же структуру папок использует Корзина Windows для хранения удалённых файлов, что позволяет вирусу оставаться незаметным для пользователя.
Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.
Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.
Действия, совершаемые после запуска вируса
После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он находится, и если это процесс rundll32.exe, то внедряет свой код в системные процессы svchost.exe и explorer.exe. Затем вирус открывает в Проводнике текущую папку и прекращает свою работу.
Если Win32.HLLW.Shadow.based определяет, что он находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает её в качестве службы Windows, а также в реестр для обеспечения автозапуска после перезагрузки компьютера и останавливает работу службы обновления Windows. Далее в системе устанавливается собственная реализация HTTP-сервера, с помощью которого начинается распространение вируса по сети.
Если вирус определяет, что он находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.
В состав Win32.HLLW.Shadow.based входит драйвер, в функционал которого входит изменение в памяти системного файла tcpip.sys с целью увеличения стандартного ограничения системы на количество одновременных сетевых подключений.
Назначение Win32.HLLW.Shadow.based
Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в эту бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет.
Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений
- Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
- MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx);
- MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx);
- MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx).
- Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети.
- Скачать текущую версию утилиты Dr.Web CureIt! на неинфицированном компьютере, перенести ее на инфицированный и просканировать все диски, тем самым произведя лечение системы.
Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.
Возможности антивируса Dr.Web по противодействию Win32.HLLW.Shadow.based
Т.к. сетевой червь Win32.HLLW.Shadow.based устанавливает атрибуты безопасности на свои файлы и ветки реестра средствами Windows таким образом, что чтение их стандартными средствами невозможно, то вылечить систему от этого вируса можно только сканером Dr.Web для Windows с графическим интерфейсом версии не ниже 4.44. В эти версии сканера Dr.Web встроен антируткит-модуль Dr.Web Shield™, который позволяет получать неограниченный доступ к файлам и веткам реестра, защищённым таким образом.
Файловый монитор SpIDer Guard, входящий в состав антивируса Dr.Web для Windows версий 4.44 и 5.0, при использовании актуальных обновлений вирусной базы успешно противодействует всем попыткам Win32.HLLW.Shadow.based установиться в систему.
Обзор вирусной обстановки за февраль 2009 года от компании «Доктор Веб»
1 марта 2009 года
Компания «Доктор Веб» представляет обзор вирусной активности в феврале 2009 года. После традиционных январских «каникул» кибер-преступники вновь принялись за дело. За последний месяц значительно выросло число вредоносных программ, с помощью которых пополняется число компьютеров, из которых состоят бот-сети. Кроме того, злоумышленники все чаще используют в Интернете схемы, близкие к «финансовым пирамидам».
Бот-сети
По-прежнему, большое количество вредоносных программ распространяется с целью увеличения числа так называемых зомби-компьютеров, из которых строятся гигантские бот-сети, охватывающие практически весь Интернет.. Такие сети называются бот-сетями. В качестве примера активно развивающихся в настоящее время бот-сетей можно привести такие как Tdss и Virut.
Рассмотрим подробно один из методов заражения, которые используют владельцы бот-сети Tdss. Через съёмные носители и в виде фальшивых кодеков для проигрывания видео-файлов на компьютер пользователя поступает и запускается вредоносный файл, который определяется Dr.Web как Win32.HLLW.Autoruner.4612. После запуска вирус заражает все доступные жёсткие и съёмные диски, а затем создаёт свой второй компонент - вредоносный файл, который так же определяется как Win32.HLLW.Autoruner.4612.
Для запуска данного компонента вирус создаёт модифицированную копию одной из системных библиотек, определяемая Dr.Web как Trojan.Starter.896, а также осуществляется перезапуск одной из системных служб для того, чтобы система начала использовать модифицированную библиотеку.
Win32.HLLW.Autoruner.4612 является бэкдором, т.к. выполняет действия по команде злоумышленника незаметно от пользователя. К счастью, набор возможных действий данного бэкдора ограничен загрузкой и исполнением файлов, загружаемых с заранее подготовленного сервера. Передача файлов инициируется Win32.HLLW.Autoruner.4612 самостоятельно. В ответ на этот запрос сервер бот-сети Tdss передаёт зашифрованные данные, представляющие из себя исполняемые файлы и инструкции, необходимые для установки загружаемых вредоносных программ и их запуска.
Одной из загружаемых Win32.HLLW.Autoruner.4612 программ с сервера бот-сети Tdss является троянец Trojan.DnsChange.1008. Данная вредоносная программа изменяет DNS-сервера на компьютере пользователя, что может привести как к перехвату пользовательского интернет-трафика, так и в целом к блокировке доступа в Интернет.
Владельцы бот-сети Virut для заражения компьютеров используют полиморфный файловый вирус Win32.Virut, который заражает исполняемые файлы Windows, а также записывает в конец HTML-документов специальный тег, с помощью которого при открытии такого документа активируется загрузка вредоносных программ с серверов бот-сети. Таким механизмом работы Win32.Virut объясняется его значительное присутствие в почтовом трафике – пользователи часто прикладывают HTML-документы к своим письмам, многие из которых оказываются заражёнными Win32.Virut, что выводит этот вирус на первые места в статистике вредоносного почтового трафика в условиях отсутствия крупномасштабных массовых рассылок писем с вредоносными вложениями.
Актуальная версия вредоносной программы Win32.Virut.56 использует несколько способов заражения исполняемых файлов в зависимости от их структуры, но в любом случае основное тело вируса всегда дописывается в конец файла, код вируса шифруется. При этом код расшифровщика вставляется в неиспользуемые участки заражённого файла и является полиморфным, т.е. отличается в различных заражённых файлах. Также в полиморфном коде вируса может прятаться код, заимствованный из заражённого файла, если вирусу это необходимо для осуществления процедуры заражения.
Win32.Virut.56 содержит в себе собственную реализацию IRC-клиента, с помощью которого данная вредоносная программа может получать команды по скачиванию и запуску других вредоносных программ на заражённом компьютере.
Вредоносные программы
В течение первой половины февраля 2009 года в почтовом трафике значительное количество вредоносных почтовых сообщений содержали ссылки на вредоносные сайты с якобы открытками, приуроченными ко дню Святого Валентина. На самом деле вместо открытки по ссылке пользователь скачивал одну из множества модификаций Trojan.Spambot – вредоносной программы, которая занимается несанкционированной рассылкой спама с заражённых компьютеров.
Авторы вредоносных программ в погоне за прибылью не всегда хорошо тестируют свои творения, в результате чего вирусописатель не получает деньги, на которые рассчитывает, но пользователь при этом всё равно теряет доступ к документам. Так Trojan.Encoder.36 записывает свой код к пользовательским документам, что приводит к невозможности их открыть. Но из-за ошибки, допущенной автором данной вредоносной программы, после порчи документов не выводится сообщение с контактными данными злоумышленника и параметрами электронного счёта, на который по задумке пользователи должны были отправлять денежные средства за расшифровку документов. Для восстановления файлов, испорченных Trojan.Encoder.36 достаточно просканировать их антивирусом Dr.Web.
В последние месяцы количество спам-рассылок с вредоносными вложениями значительно сократилось. Но и в настоящее время встречаются единичные рассылки подобного типа. В одной из спам-рассылок конца февраля сообщалось о том, что одна из фотографий пользователя была размещена в Интернете. Эта фотография якобы прикрепрелена к письму в виде zip-архива. В архиве расположен файл Foto_Jenna.Jpg[множество символов подчёркивания].exe, который определяется антивирусом Dr.Web как Trojan.DownLoad.9125.
Спам
Авторы спам-рассылок всё чаще пользуются повышенным интересом населения к теме нестабильной финансовой обстановки. Всё чаще приходят сообщения, в которых предлагается поучаствовать в финансовых схемах, похожих на «финансовые пирамиды», либо предлагаются другие способы «быстро заработать в Интернете».
Многие предприятия в последние месяцы испытывают проблемы, связанные с недостаточностью заказов на выпускаемую продукцию или оказываемые услуги, поэтому всё чаще происходят рассылки, в которых предлагается «реклама в Интернете», которая на самом деле ограничивается рассылкой обычных спам-писем, содержащих рекламу. Именно благодаря подобным рекламным рассылкам во второй половине февраля 2009 года значительно увеличился общий поток спама, который при сохранении данной тенденции может уже в следующем месяце превысить уровень первой половины декабря прошлого года, до закрытия нескольких крупных спам-хостеров.
Что касается фишинга и других методов мошенничества, то в последнее время сократилось число подобных рассылок на английском языке. При этом увеличилось число локализованных сообщений. В частности, в феврале были замечены фишинг-рассылки, нацеленные на клиентов Правэкс-банка (Украина) и клиентов Raiffeisen Bank, находящихся в Румынии.
Вредоносные файлы, обнаруженные в феврале в почтовом трафике
01.02.2009 00:00 - 01.03.2009 00:00 | ||
1 | 13836 (18.60%) | |
2 | 12512 (16.82%) | |
3 | 5777 (7.77%) | |
4 | 4829 (6.49%) | |
5 | 4276 (5.75%) | |
6 | 3896 (5.24%) | |
7 | 3608 (4.85%) | |
8 | 2222 (2.99%) | |
9 | 2130 (2.86%) | |
10 | 1254 (1.69%) | |
11 | 1142 (1.54%) | |
12 | 1101 (1.48%) | |
13 | 1046 (1.41%) | |
14 | 1020 (1.37%) | |
15 | 901 (1.21%) | |
16 | 821 (1.10%) | |
17 | 811 (1.09%) | |
18 | 804 (1.08%) | |
19 | 783 (1.05%) | |
20 | 651 (0.88%) | |
Всего проверено: | 315,981,994 |
Инфицировано: | 74,379 (0.02%) |
Вредоносные файлы, обнаруженные в феврале на компьютерах пользователей
01.02.2009 00:00 - 01.03.2009 00:00 | ||
1 | 1556095 (15.68%) | |
2 | 560465 (5.65%) | |
3 | 407678 (4.11%) | |
4 | 386225 (3.89%) | |
5 | 353381 (3.56%) | |
6 | 341004 (3.44%) | |
7 | 281284 (2.83%) | |
8 | 268992 (2.71%) | |
9 | 251237 (2.53%) | |
10 | 247824 (2.50%) | |
11 | 214765 (2.16%) | |
12 | 207379 (2.09%) | |
13 | 142409 (1.43%) | |
14 | 138424 (1.39%) | |
15 | 125123 (1.26%) | |
16 | 114527 (1.15%) | |
17 | 113574 (1.14%) | |
18 | 112159 (1.13%) | |
19 | 111203 (1.12%) | |
20 | 109968 (1.11%) | |
Всего проверено: | 68,834,531,277 |
Инфицировано: | 9,924,181 (0.01%) |
Обзор вирусной обстановки за январь 2009 года от компании «Доктор Веб»
1 февраля 2009 года
Компания «Доктор Веб» представляет обзор вирусной активности в январе 2009 года. Январь выдался относительно спокойным, если не считать эпидемию сетевого червя Win32.HLLW.Shadow.based. Заметных массовых рассылок почтовых сообщений, содержащих вредоносные вложения или ссылки на сайты, содержащие вредоносное ПО, замечено не было. Тем не менее, продолжают проявляться отдельные случаи SMS-мошенничества, фишинга, появляются новые лже-антивирусы и троянцы, превращающие компьютеры пользователя в участников гигантских мировых бот-сетей.
Win32.HLLW.Shadow.based (Net-Worm.Win32.Kido, W32.Downadup, Worm:Win32/Conficker)
В январе компания «Доктор Веб» в новостях сообщала о широком распространении полиморфного сетевого червя Win32.HLLW.Shadow.based. Этот вирус в очередной раз напомнил, что установка актуальных обновлений на используемую операционную систему и другое используемое программное обеспечение является необходимым минимумом для организации защиты информации. Также пользователям рекомендуется отключить автоматический запуск программ со съёмных дисков, т.к. Win32.HLLW.Shadow.based для распространения использует и этот популярный способ, эксплуатируемый в настоящее время многими вредоносными программами. Как ни странно, но от эпидемии Win32.HLLW.Shadow.based есть и польза – она может научить пользователей использовать достаточно сложные пароли, т.к. вирус пытается подобрать пароль к учётной записи администратора компьютера при распространении по сети.
Вирусные аналитики компании «Доктор Веб» на протяжении всего января оперативно вносили в вирусную базу записи, содержащие процедуры лечения системы от новых модификаций Win32.HLLW.Shadow.based. Соответственно, если существует подозрение на заражение компьютера этим вирусом, то его можно вылечить, просканировав с помощью антивирусной утилиты Dr.Web CureIt!, предварительно установив на компьютер актуальные обновления используемой версии Windows, предварительно отключив компьютер от локальной сети и Интернета. Компьютеры, на которых установлен Dr.Web для Windows при постоянном обновлении вирусных баз с рекомендуемой частотой, защищены от попыток Win32.HLLW.Shadow.based установиться в системе.
«Электронные открытки»
Злоумышленники продолжают использовать метод распространения вредоносных программ под видом электронных открыток. Данный метод уже стал классическим, но продолжает оставаться одним из самых актуальных. Так, в декабре 2008 - январе 2009 основной темой таких «открыток» (которые на самом деле представляют из себя подчас весьма опасные вредоносные программы) были новогодние и рождественские праздники. В конце января начали появляться сайты, на которых якобы расположены так называемые «валентинки». Таким образом, например, распространяется вредоносная программа, которую Dr.Web определяет как различные модификации Trojan.Spambot. Данная вредоносная программа известна также под именем Waledac. Заражённые компьютеры становятся участниками очередной создаваемой бот-сети.
SMS-мошенничество
Кибер-преступники не оставляют желания получить свой теневой доход со счетов мобильных телефонов. В дело идут как методы социальной инженерии, так и использование различных вредоносных программ. Одни из них шифруют документы пользователя и требуют выкуп для расшифровки. Другие устанавливаются в качестве плагина в браузере и требуют выкуп за удаление. Третьи требуют SMS за якобы активацию пиратской копии Windows. В последнее время появился новый способ получения денег за платные SMS-сообщения, который стремительно набирает популярность. Связан он с завлечением пользователя различными способами на заранее подготовленный сайт, откуда он должен скачать программу и установить к себе в телефон. Вместо (или, реже, помимо) заявленной функциональности программа начинает несанкционированную отправку платных SMS-сообщений. Вот один из примеров сообщений, которое рассылалось посредством одной из сетей обмена мгновенными сообщениями:
Пусть это будет для тебя сюрпризом! От кого этот сюрприз ты узнаешь чуть позже )) стараниям моим не было предела и у меня вроде получилось! Я дарю тебе свое творение скачай себе на телефон и установи как заставку тогда я буду знать что ты любишь меня! Люблю тебя [ссылка на вредоносный сайт] скачай и установи себе на телефон в знак моей любви.
Предлагаемая для установки программа является вредоносной и определяется Dr.Web как Java.SMSSend.19.
Лже-антивирусы
Остаётся популярной тема вымогания денег за программы, которые выдают себя за антивирусы. При этом даже если формально такие программы не производят вредоносных действий, направленных на используемую на компьютере систему, они всё равно являются вредоносными, т.к. в данном случае мы имеем дело с мошенничеством — с пользователя берутся деньги за программу-пустышку, не имеющую к антивирусам никакого отношения. Так, в январе был замечен сайт, на котором предлагалось «проверить» компьютер на вирусы.
Абсолютно все компьютеры по результатам работы этого «онлайн-сканера» оказываются заражёнными. После этого предлагается скачать якобы антивирусную программу, которая определяется Dr.Web как Trojan.Fakealert.3914.
Фишинг
Общее количество фишинговых сообщений в январе снизилось. Основными целями для злоумышленников, использующих этот тип мошенничества, в прошедшем месяце стали пользователи интернтет-магазина amazon.ca и платёжной системы PayPal.
|
|
Вредоносные файлы, обнаруженные в январе в почтовом трафике
01.01.2009 00:00 - 01.02.2009 00:00 | ||
1 | 14723 (18.70%) | |
2 | 13479 (17.12%) | |
3 | 6235 (7.92%) | |
4 | 4594 (5.84%) | |
5 | 4357 (5.53%) | |
6 | 4022 (5.11%) | |
7 | 2686 (3.41%) | |
8 | 2141 (2.72%) | |
9 | 1944 (2.47%) | |
10 | 1698 (2.16%) | |
11 | 1570 (1.99%) | |
12 | 1498 (1.90%) | |
13 | 1405 (1.78%) | |
14 | 1353 (1.72%) | |
15 | 1252 (1.59%) | |
16 | 1182 (1.50%) | |
17 | 968 (1.23%) | |
18 | 769 (0.98%) | |
19 | 687 (0.87%) | |
20 | 619 (0.79%) | |
Всего проверено: | 321,156,519 |
Инфицировано: | 78,718 (0.02%) |
Вредоносные файлы, обнаруженные в январе на компьютерах пользователей
01.01.2009 00:00 - 01.02.2009 00:00 | ||
1 | 2451656 (19.14%) | |
2 | 2058062 (16.06%) | |
3 | 714503 (5.58%) | |
4 | 453207 (3.54%) | |
5 | 435746 (3.40%) | |
6 | 358676 (2.80%) | |
7 | 349560 (2.73%) | |
8 | 303349 (2.37%) | |
9 | 210250 (1.64%) | |
10 | 209118 (1.63%) | |
11 | 188398 (1.47%) | |
12 | 174684 (1.36%) | |
13 | 169943 (1.33%) | |
14 | 159100 (1.24%) | |
15 | 138289 (1.08%) | |
16 | 128054 (1.00%) | |
17 | 127353 (0.99%) | |
18 | 123027 (0.96%) | |
19 | 119657 (0.93%) | |
20 | 88711 (0.69%) | |
Всего проверено: | 70,489,000,159 |
Инфицировано: | 12,811,152 (0.02%) |
Что пишет «Лаборатория Касперского»
Net-Worm.Win32.Kido.ih
Описание опубликовано | 20 фев 2009 |
Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов варьируется в пределах от 155 до 165 КБ. Упакован при помощи UPX.
Инсталляция
Червь копирует свой исполняемый файл в следующие папки со случайным именем:
%System%\<rnd>.dll
%Program Files%\Internet Explorer\<rnd>.dll
%Program Files%\Movie Maker\<rnd>].dll
%All Users Application Data%\<rnd>.dll
%Temp%\<rnd>.dll
%System%\<rnd>.tmp
%Temp%\<rnd>.tmp
где <rnd> - случайная последовательность символов.
Для автоматического запуска при следующем старте системы червь создает службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
Также червь изменяет значение следующего ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" = "<оригинальное значение> %System%\<rnd>.dll"
Распространение по сети
При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.
Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.
Для того, чтобы воспользоваться вышеуказанной уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора. Для этого червь последовательно перебирает следующие пароли:
99999999 | 9999 |
Распространение при помощи сменных носителей
Червь копирует свой исполняемый файл на все съемные диски со следующим именем:
<X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx,
где rnd – случайная последовательность строчных букв, d – произвольное число, X – буква съемного диска.
Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
<X>:\autorun.inf
Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов "svchost.exe". Внедренный код выполняет основной деструктивный функционал червя:
- отключает следующие службы:
wuauserv
BITS - блокирует доступ к адресам, содержащим следующие строки:
indowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus
Также червь может скачивать файлы по ссылкам вида:
<URL>/search;
где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов:
www.w3.org
www.ask.com
www.msn.com
www.yahoo.com
www.google.com
www.baidu.com
Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления воспользуйтесь специальной утилитой и рекомендациями по удалению, которые можно скачать по следующей ссылке:
www.kaspersky.ru/support/wks6mp3/error
либо выполните следующие действия:
- Удалить ключ системного реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
- Удалить строку "%System%\<rnd>.dll" из значения следующего параметра ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" - Перезагрузить компьютер
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить копию червя:
%System%\<rnd>.dll
%Program Files%\Internet Explorer\<rnd>.dll
%Program Files%\Movie Maker\<rnd>].dll
%All Users Application Data%\<rnd>.dll
%Temp%\<rnd>.dll
%System%\<rnd>.tmp
%Temp%\<rnd>.tmpгде <rnd> - случайная последовательность символов.
- Удалить следующие файлы со всех съемных носителей:
<X>:\autorun.inf
<X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx,где rnd – случайная последовательность строчных букв, d – произвольное число, X – буква съемного диска.
- Скачать и установить обновление операционной системы по следующей ссылке:
www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Что пишет «NOD32»
ESET выпустила утилиту для удаления червя Conficker
Москва, 6 февраля. ESET — международный разработчик антивирусного ПО и решений в области компьютерной безопасности — сообщает о выпуске утилиты для удаления червя Conficker, также известного, как Downadup или Kido. Вредоносная программа уже заразила более 10 миллионов компьютеров по всему миру.
Win32/Conficker.A – червь, который распространяется, эксплуатируя уязвимость в операционной системе Windows. Первыми симптомами заражения являются прекращение обновления антивируса и невозможность попасть на сайты разработчиков антивирусных продуктов. Кроме того, помимо наличия собственной вредоносной функции, Conficker может стать промежуточным звеном для последующей атаки вирусов. Проникнув в компьютер, Conficker пытается дополнительно скачать вредоносные программы или рекламное ПО, обычно это варианты FakeAlert, Wigon.
Чтобы избежать заражения, необходимо, во-первых, использовать постоянно обновляемое лицензионное антивирусное ПО, а во-вторых, установить обновление операционной системы Windows, доступное с октября 2008. Подробную информацию об уязвимости можно найти на сайте Microsoft.
Специалисты ESET зафиксировали злонамеренную программу, создающую обширные бот-сети, еще в ноябре 2008 года. С тех пор решения ESET свободно детектируют Conficker в его трех вариантах - A, B, C. С уже зараженного компьютера червь удаляется с помощью специальной утилиты.
Источник:
http://esetnod32.ru/company/news.php?ELEMENT_ID=6327
Win32Conficker.A
Другие названия
Net-Worm.Win32.Kido.t(Kaspersky)
W32.Downadup (Symantec)
W32/Conficker.worm (McAfee)
Тип проникновения
Червь (Worm)
Размер файла
62976 байт
Подверженные заражению платформы
Microsoft Windows
Версия базы вирусных сигнатур:
3654 (20081201)
Вы можете скачать утилиту для удаления вируса по ссылке
http://download.eset.com/special/EConfickerRemover.exe
Краткое описание
Win32/Conficker.A – это червь, который распространяется, эксплуатируя уязвимость в Server Service. Запускающий файл вируса упакован при помощи архива UPX.
Инсталляция.
Во время исполнения вирус копирует себя в директорию %system%, используя следующее имя: %variable%.dll , Где %variable% произвольные символы.
Библиотека %variable%.dll загружается и внедряется в следующий процесс: services.exe
Вирус регистрирует себя в системе, используя следующее имя файла: netsvcs.
Чтобы загружаться при каждом запуске системы, вирус устанавливает следующие ключи реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%\Parameters]
"ServiceDll" = "%system%\%variable%.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%]
"Image Path" = "%System Root%\system32\svchost.exe -k netsvcs"
Где %random service name% произвольные символы.
Распространение
Вирус запускает HTTP сервер на случайном порту. Сервер соединяется с удаленными машинами через порт TCP 445 и пытается проникнуть в систему, используя уязвимость в Server Service. Если проникновение проходит успешно удаленный компьютер подключается к зараженному компьютеру и скачивает копию вируса.
Уязвимость Server Service описывается по ссылке
Другая информация
Если системная дата будет соответствовать определенному условию, то вирус попробует скачать несколько файлов из интернета. Эти файлы будут запущены. Вирус содержит адреса URL для скачивания файлов.
Список сервисов, которые отключаются при активации вируса:
Windows Firewall
Источник:
http://esetnod32.ru/support/kb_element.php?IBLOCK_ID=53&SECTION_ID=414&ELEMENT_ID=6317
Win32Conficker.AA
Другие названия
Trojan.Win32.Agent.bbof (Kaspersky)
W32.Downadup.B (Symantec)
WW32/Conficker.worm.gen.a (McAfee)
Тип проникновения
Червь (Worm)
Размер файла
157130 байт
Подверженные заражению платформы
Microsoft Windows
Версия базы вирусных сигнатур
3730 (20090101)
Вы можете скачать утилиту для удаления вируса по ссылке
Описание
Win32/Conficker.A – это червь, который распространяется через папки общего доступа и removable media (сменные носители). Он распространяется, эксплуатируя уязвимость в Server Service.
Инсталляция
Во время исполнения вирус копирует себя в директории, используя следующее имя: %variable%.dll , Где %variable% произвольные символы.
%system%
%program files%\Internet Explorer
%program files%\Movie Maker
%appdata%
%temp%
Библиотека %variable%.dll загружается и внедряется в следующие процессы:
services.exe
explorer.exe
svchost.exe
Червь регистрируется в системе как системная служба, используя комбинации из следующих слов:
Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Чтобы загружаться при каждом запуске системы, вирус изменяет следующие ключи реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"%variable_name%" = "rundll32.exe "%system%\%variable%.dll", %random_string%"
Также создаются следующие ключи:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%\Parameters]
"ServiceDll" = "%system%\%variable%.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%]
"Image Path" = "%System Root%\system32\svchost.exe -k netsvcs"
"DisplayName" = "random service name%"
"Type" = 32
"Start" = 2
"ErrorControl" = 0
"ObjectName" = "LocalSystem"
"Description" = "%variable_name%"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"TcpNumConnections" = 16777214
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = 0
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets]
"gip" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets]
"gip" = 0A string with variable content is used instead of %random service name% .
Следующие разделы реестра удаляются:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\
{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
"wscsvc" = "%filepath%"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender" = "%filepath%"
Распространение.
1. используя уязвимость службы Server Service:
Вирус запускает HTTP сервер на случайном порту.
Сервер соединяется с удаленными машинами через порт TCP 139, 445 и пытается проникнуть в систему, используя уязвимость в Server Service.
Если проникновение проходит успешно удаленный компьютер подключается к зараженному компьютеру и скачивает копию вируса.
Уязвимость Server Service описывается по ссылке: www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
2. Через общий доступ:
Червь пытается скопировать себя в общие папки на локальной машине используя следующие логины:
%username%
И пароли:
123
1234
12345
123456
1234567
12345678
123456789
1234567890
123123
12321
123321
123abc
123qwe
123asd
1234abcd
1234qwer
1q2w3e
a1b2c3
admin
Admin
administrator
nimda
qwewq
qweewq
qwerty
qweasd
asdsa
asddsa
asdzxc
asdfgh
qweasdzxc
q1w2e3
qazwsx
qazwsxedc
zxcxz
zxccxz
zxcvb
zxcvbn
passwd
password
Password
login
Login
pass
mypass
mypassword
adminadmin
root
rootroot
test
testtest
temp
temptemp
foofoo
foobar
default
password1
password12
password123
admin1
admin12
admin123
pass1
pass12
pass123
root123
pw123
abc123
qwe123
test123
temp123
mypc123
home123
work123
boss123
love123
sample
example
internet
Internet
nopass
nopassword
nothing
ihavenopass
temporary
manager
business
oracle
lotus
database
backup
owner
computer
server
secret
super
share
superuser
supervisor
office
shadow
system
public
secure
security
desktop
changeme
codename
codeword
nobody
cluster
customer
exchange
explorer
campus
money
access
domain
letmein
letitbe
anything
unknown
monitor
windows
files
academia
account
student
freedom
forever
cookie
coffee
market
private
games
killer
controller
intranet
work
home
job
foo
web
file
sql
aaa
aaaa
aaaaa
qqq
qqqq
qqqqq
xxx
xxxx
xxxxx
zzz
zzzz
zzzzz
fuck
12
21
321
4321
54321
654321
7654321
87654321
987654321
0987654321
0
00
000
0000
00000
00000
0000000
00000000
1
11
111
1111
11111
111111
1111111
11111111
2
22
222
2222
22222
222222
2222222
22222222
3
33
333
3333
33333
333333
3333333
33333333
4
44
444
4444
44444
444444
4444444
44444444
5
55
555
5555
55555
555555
5555555
55555555
6
66
666
6666
66666
666666
6666666
66666666
7
77
777
7777
77777
777777
7777777
77777777
8
88
888
8888
88888
888888
8888888
88888888
9
99
999
9999
99999
999999
9999999
99999999
При этом имя файла используется:
\\%hostname%\ADMIN$\System32\%variable%.dll
Червь устанавливает назначенное задание, чтобы выполняться каждый день:
rundll32.exe %variable%.dll, %random_string%
3.Через сменные носители.
Червь копирует себя на существующие сменные носители, при этом используются имена файлов:
%drive%\RECYCLER\S-%variable1%\%variable2%.%variable3%
Так же червь создает следующий файл:
%drive%\autorun.inf
Что гарантирует запуск каждый раз при подключении зараженного носителя.
Другая информация
Список сервисов, которые отключаются при активации вируса:
Windows Security Center Service (wscsvc)
Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Defender Service (WinDefend)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)
Червь внедряется в следующий процесс:
netsh interface tcp set global autotuning=disabled
Червь блокирует доступ к любым доменам, содержащим следующие символы:
ahnlab
arcabit
avast
avira
castlecops
centralcommand
clamav
comodo
computerassociates
cpsecure
defender
drweb
emsisoft
esafe
eset
etrust
ewido
fortinet
f-prot
f-secure
gdata
grisoft
hacksoft
hauri
ikarus
jotti
k7computing
kaspersky
malware
mcafee
microsoft
networkassociates
nod32
norman
norton
panda
pctools
prevx
quickheal
rising
rootkit
securecomputing
sophos
spamhaus
spyware
sunbelt
symantec
threatexpert
trendmicro
virus
wilderssecurity
windowsupdate
nai.
ca.
avp.
avg.
vet.
bit9.
sans.
Если системная дата будет соответствовать определенному условию, то вирус попробует скачать несколько файлов из интернета. Эти файлы будут запущены. Вирус содержит один адрес URL для скачивания файлов.
Червь запускает только в зашифрованные и корректно подписанные файлы.
Файлы хранятся в папке %temp%, При этом используется имя %variable%.tmp
Так же червь может создать следующие ключи реестра, создающие исключения в программе Windows Firewall:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"%port number%:TCP" = "%port number%:TCP:*:Enabled:%variable%"
Источник:
http://www.esetnod32.ru/support/conficker.aa.php
Что пишет «Avira Antivir»
Вирус conficker – как с ним справляется Avira 7, 8 и 9 версии
2.04.2009
По просьбам клиентов и региональных партнеров ООО «Антивирус-Центр» обратился за пояснениями к Avira GmbH относительно новой угрозы - компьютерного вируса conficker.
Напомним, что conficker (также известен как Downup, Downadup и Kido) - один из опаснейших из известных на сегодняшний день компьютерных червей. Появился в сети в октябре 2008. Атакует операционные системы семейства Microsoft Windows (от Windows 2000 до Windows Vista и Windows Server 2008). На январь 2009 вирус поразил 12 миллионов компьютеров во всём мире. 13 января 2009 Microsoft обещал 250 000 долларов за информацию о создателях вируса.
Сейчас нам известно, что вирус был модифицирован, и в марте 2009 года появилась его новая версия – С. Особенностью последней версии С является то, что этот вирус теперь может копироваться на любой носитель (например, USB – «флешки»), через которые сможет опять заразить машины через механизм Windows AutoRun.
9 версия продуктов Avira AntiVir на русском языке выйдет только 28 апреля. Возникает вопрос, распознает ли 8 и даже 7 версия ПО Avira данный вирус?
Программное обеспечение Avira AntiVir действительно распознает conficker. И 7 и 8 версии «видят» данный вирус, благодаря постоянным обновлениям. Обязательно проводите полное сканирование системы. Новая, 9 версия, будет сразу его удалять.
Как только появится 9 русскоязычная версия ПО Avira AntiVir, ООО «Антивирус-Центр» рекомендует выполнять переход следующим образом: во-первых, удалить продукт Avira прежней версии с компьютера; и только затем загрузить новую версию и активировать ее с помощью старого ключа.
До 28 апреля следите за тем, чтобы регулярно выполнялись обновления антивируса. Если этого не происходит, мы рекомендуем сразу обращаться к нашим региональным партнерам через сайт.
Источник:
http://www.avirus.ru/content/view/129/116/
Внимание – новая угроза – червь conficker снова активизировался
31.03.2009
В начале этого года был обнаружена новая угроза – активизировался червь – conficker.
Conficker (также известен как Downup, Downadup и Kido) - один из опаснейших из известных на сегодняшний день компьютерных червей. Появился в сети в октябре 2008. Атакует операционные системы семейства Microsoft Windows (от Windows 2000 до Windows Vista и Windows Server 2008). На январь 2009 вирус поразил 12 миллионов компьютеров во всём мире. 13 января 2009 Microsoft обещал 250 000 долларов за информацию о создателях вируса.
На сегодняшний день известны 3 версии этого червя – А, В и С, обнаруженные 21 ноября 2008, 29 декабря 2008 и 4 марта 2009 соответственно. Версии А и В пользуются уязвимостью серверных служб на компьютерах с ОС Windows, где уже есть зараженный компьютер-источник. Червь находит уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. Первым делом он отключает ряд служб: автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting, а также блокирует доступ к сайтам ряда производителей антивирусов.
Периодически червь случайным образом генерирует список сайтов (около 50 тыс. доменных имён в сутки), к которым обращается для получения исполнимого кода. При получении с сайта исполняемого файла червь сверяет криптографическую подпись и, если она совпала, исполняет файл. Кроме того, червь реализует P2P механизм обмена обновлениями, что позволяет ему рассылать обновления удалённым копиям, минуя управляющий сервер.
Особенностью последней версии С является то, что этот вирус теперь может копироваться на любой носитель (например, USB – «флешки»), через которые сможет опять заразить машины через механизм Windows AutoRun.
# 1 февраля 2009 были заражены 7500 компьютеров в 13 школах Англии. 6 февраля 2009 пострадали компьютеры в Муниципальном Суде в Хьюстоне. Источник заражения вирусом неизвестен.
# 13 января 2009 Бундесвер ФРГ объявила о сотнях зараженных компьютеров.
# 27 марта 2009 начальник департамента IT в Британском парламенте издал меморандум о том, что компьютеры сети Палаты Представителей заражены вирусом, с предупреждением для пользователей не подключать неавторизованное оборудование к сети.
# 31 марта 2009 норвежская компания Da-Tel сообщает о том, что 50 компьютеров локальной сети уже заражены. До сих пор не известно, как червь попал в систему.
Симптомы заражения вирусом conficker:
# Автоматически сбрасываются настройки учетной записи.
# Блокируются службы Microsoft Windows: автоматическое обновление, Background Intelligent Transfer Service (BITS), Windows Defender и отчеты об ошибках.
# Контроллер домена медленно реагирует на запросы клиента.
# Необычно загруженный трафик локальной сети.
# Вебсайты с антивирусным ПО становятся недоступными.
9 версия ПО Avira AntiVir распознает этот червь. Благодаря постоянным обновлениям антивируса пользователям продуктов Avira не требуются специальные утилиты для защиты. Обращайте внимание на обновление ПО Avira на Вашем компьютере и если автоматического обновления не было уже как минимум 3 дня – срочно обращайтесь к региональным партнерам ООО «Антивирус-Центр»
Источник:
http://www.avirus.ru/content/view/128/116/
Новый тест антивирусов от VirusInfo - Avira в тройке лидеров.
24.01.2009
Декабрь предыдущего года баловал Avira AntiVir благосклонностью фортуны и вниманием благодарных пользователей. Однако коварные лаборатории по тестированию антивирусных продуктов не дремали, но потихоньку тестировали всё тот же, героически известный Avira AntiVir Premium.
Надо отдать ему должное: храбрый антивирус справился со своей задачей. Ловко обойдя соперников, Avira AntiVir угнездился на втором месте, уступив первое место только многоядерному Secure Web-Gate.
Невероятно, но факт. Avira AntiVir всегда выдающийся вперед своим эвристическим анализатором, на этот раз «поймал» 60% сигнатурным методом. Поздравляем счастливых обладателей данного продукта, не сдавшегося «врагам» в столь неспокойное время, денно и нощно хранящего компьютеры своих обладателей от печально известных червей Net-Worm.Win32.Kido и их злобных модификаций.
Источник:
http://www.avirus.ru/content/view/114/116/
Что пишет «Avast!»
Компания «Авсофт» создала тему на своем форуме, посвященную вирусу Kido, которая пользуется популярностью и собрала много хороших и полезных советов по борьбе с разными модификациями вируса. Адрес форума:
http://www.avsoft.ru/forum/ru/read.php?FID=31&TID=1035
Что пишет «ZoneAlarm»
Over 10 million PCs Infected. Are you protected?
What is it?
The Conficker worm is a type of virus that lives unnoticed in your PC while spreading itself to others over the Internet.
The worm started spreading late last year, infecting millions of computers and turning them into "slaves" that respond to commands sent from a remote server that effectively controls an army of computers known as a botnet.
Conficker installs a second virus, known as Waledac, that sends out e-mail spam without knowledge of the PC's owner, along with a fake anti-spyware program.
In addition, Conficker carries a third virus that warns users their PCs are infected and offers them a fake anti-virus program, called 'SpywareProtect2009'. If they buy it, their credit card information is stolen and the virus downloads even more malicious software.
You should take precautions to ensure you are not already infected and that you are adequately protected.
Who is at risk?
Users whose computers are not configured to receive patches and updates from Microsoft and who are not running an up-to-date anti-virus product are most at risk. Users who do not have a genuine version of Windows from Microsoft are most at risk since pirated system usually cannot get Microsoft updates and patches.
How do I protect myself?
ZoneAlarm Customers:
If you are running ZoneAlarm Antivirus, ZoneAlarm Internet Security Suite, or ZoneAlarm Extreme you are already protected. See ZoneAlarm Tips below to ensure you're anti-virus is up to date.
Note: ZoneAlarm Pro, ZoneAlarm Free Firewall, and ZoneAlarm ForceField customers are not protected. These products do not include anti-virus.
Users who lack protection are invited to download a 15-day trial version of ZoneAlarm Extreme
What to do if you are infected?
Removal instructions:
ZoneAlarm Customers:
If you are running ZoneAlarm Antivirus, ZoneAlarm Internet Security Suite, or ZoneAlarm Extreme, follow the ZoneAlarm Tips below for detection and removal.
Users who lack protection are invited to download a 15-day trial version of ZoneAlarm Extreme
ZoneAlarm Tips:
No anti-virus or anti-spyware solution is 100% effective, so ZoneAlarm recommends a multi-layered security solution. ZoneAlarm's exclusive OSFirewall™ monitors and blocks dangerous behavior within your operating system. While ZoneAlarm's anti-virus feature will detect, block and remove viruses, the OSFirewall will protect you from even the most advanced viruses even if they manage to bypass your anti-virus protection.
1. Make sure your PC has the latest virus definitions and product updates: To make sure your product is up-to-date, click "Check for Updates" on the main overview panel, lower left corner. Then click "Anti-virus" on the left navigation bar, and click "Update Now" for the latest signatures.
2. Scan and remove:
* Click the "Scan for Viruses" button on the Antivirus panel.
* If the scan results list a virus with any variation of the names conficker, kido or downadup, remove immediately with our remover tool. Download tool
3. If you recently installed ZoneAlarm: Make sure you switch to the Maximum setting on the Program panel.
Источник:
http://www.zonealarm.com/security/en-us/support/conficker-worm.htm
