Kaspersky Lab công bố đã phát hiện một thay đổi mới của dòng virus Kido. Đây là một biến thể mới nhất và khác biệt so với các dòng Kido trước đây bằng cách mở rộng các tính năng của trojan kèm trong nó.

Net-Worm.Win32.Kido.ip, Net-Worm.Win32.Kido.iq và các biến thể khác là đại diện cho những biến đổi mới nhất của dòng virus Kido này. Nó có khả năng chống lại các phần mềm diệt virus được cài đặt trên các máy tính bị lây nhiễm. Các biến thể mới này cũng phát sinh ra một số lượng lớn tên miền lạ mà từ đó nó có thể tải về hơn 50,000 dữ liệu độc hại so với 250 đối với các phiên bản trước.

Virus Kido có chức năng Trojan Downloader, điều đó có nghĩa là nó sẽ tải các loại virus độc hại khác vào máy tính bị lây nhiễm. Khiến cho hệ thống mạng tại đó quá tải hoặc nghẽn mạng, đồng thời một số phần mềm có tính năng IDS sẽ liên tục thông báo lỗi tấn công “Intrusion.Win.NETAPI.buffer-overflow.exploit”.


 Cơ chế lây nhiễm và một vài dấu hiệu để nhận biết biến thể này như sau:
  • http://www.getmyip.org
  • http://getmyip.co.uk
  • http://www.whatsmyipaddress.com
  • http://www.whatismyip.org
  • http://checkip.dyndns.org
  • http://schemas.xmlsoap.org/soap/envelope/
  • http://schemas.xmlsoap.org/soap/encoding/
  • http://schemas.xmlsoap.org/soap/envelope/
  • http://schemas.xmlsoap.org/soap/encoding/
  • http://trafficconverter.biz/4vir/antispyware/loadadv.exe
  • http://trafficconverter.biz
  • http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz

Phương pháp Xử lý

Bước 1: Tải và cập nhật các bản vá MS08-067, MS08-068, MS09-001 cho hệ điều hành Windows tương ứng của bạn (cập nhật theo trình tự MS08-67 -> MS08-068 -> MS09-001) . TDMIT đã nén sẵn 3 gói trên vào một file Rar. Các bạn có thể tải về theo liên kết sau:
Bước 2: Tải và chạy công cụ KKiller (Kido Killer) của Kaspersky. Tải tại đây: KKiller V3.4.1.rar (152KB)

Các bản vá và công cụ trên có thể tải trực tiếp từ chính hãng theo liên kết sau: Bản vá của Microsoft MS08-067, MS08-068, MS09-001 . Công cụ của Kaspersky: KKiller_v3.4.1.zip