Chuyển đến nội dung chính

Cách nhận dạng và xử lý biến thể mới của virus Kido - Virus tấn công mạng qua cổng TCP 445 hoặc 139… gây nghẽn mạng ...

Kaspersky Lab công bố đã phát hiện một thay đổi mới của dòng virus Kido. Đây là một biến thể mới nhất và khác biệt so với các dòng Kido trước đây bằng cách mở rộng các tính năng của trojan kèm trong nó.

Net-Worm.Win32.Kido.ip, Net-Worm.Win32.Kido.iq và các biến thể khác là đại diện cho những biến đổi mới nhất của dòng virus Kido này. Nó có khả năng chống lại các phần mềm diệt virus được cài đặt trên các máy tính bị lây nhiễm. Các biến thể mới này cũng phát sinh ra một số lượng lớn tên miền lạ mà từ đó nó có thể tải về hơn 50,000 dữ liệu độc hại so với 250 đối với các phiên bản trước.

Virus Kido có chức năng Trojan Downloader, điều đó có nghĩa là nó sẽ tải các loại virus độc hại khác vào máy tính bị lây nhiễm. Khiến cho hệ thống mạng tại đó quá tải hoặc nghẽn mạng, đồng thời một số phần mềm có tính năng IDS sẽ liên tục thông báo lỗi tấn công “Intrusion.Win.NETAPI.buffer-overflow.exploit”.

Cơ chế lây nhiễm và một vài dấu hiệu để nhận biết biến thể này như sau:
  • http://www.getmyip.org
  • http://getmyip.co.uk
  • http://www.whatsmyipaddress.com
  • http://www.whatismyip.org
  • http://checkip.dyndns.org
  • http://schemas.xmlsoap.org/soap/envelope/
  • http://schemas.xmlsoap.org/soap/encoding/
  • http://schemas.xmlsoap.org/soap/envelope/
  • http://schemas.xmlsoap.org/soap/encoding/
  • http://trafficconverter.biz/4vir/antispyware/loadadv.exe
  • http://trafficconverter.biz
  • http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz

Phương pháp Xử lý

Bước 1: Tải và cập nhật các bản vá MS08-067, MS08-068, MS09-001 cho hệ điều hành Windows tương ứng của bạn (cập nhật theo trình tự MS08-67 -> MS08-068 -> MS09-001) . TDMIT đã nén sẵn 3 gói trên vào một file Rar. Các bạn có thể tải về theo liên kết sau:
Bước 2: Tải và chạy công cụ KKiller (Kido Killer) của Kaspersky. Tải tại đây: KKiller V3.4.1.rar (152KB)

Các bản vá và công cụ trên có thể tải trực tiếp từ chính hãng theo liên kết sau: Bản vá của Microsoft MS08-067, MS08-068, MS09-001 . Công cụ của Kaspersky: KKiller_v3.4.1.zip



Nhận xét

  1. thank ban minh` dang bi dinh' con nay va dang diet. khong biet kq the nao

    Trả lờiXóa

Đăng nhận xét

Mọi đóng góp ý kiến, trao đổi với TDMIT xin vui lòng viết vào ô bên dưới. Nội dung bạn gửi sẽ được chuyển tới TMDIT kiểm tra lại trước khi đăng lên để bảo đảm chắc chắn rằng nó không vi phạm luật pháp, không vi phạm các qui định của nhà cung cấp dịch vụ , cũng như các thỏa thuận sử dụng của trang www.tdmit.com
Xin chân thành cảm ơn.