По статистике компании F-Secure, занимающейся IT-безопасностью и созданием антивирусов, на 16 января червь Downadup заразил, ориентировочно, 8,9 миллиона компьютеров, находящихся на 353495 уникальных IP-адресах.

Червь использует для заражения уязвимость MS08-067 в операционной системе Windows, позволяющую злоумышленнику выполнить любой код на компьютере пользователя. Еще два дня назад насчитывалось 3,5 миллиона зараженных компьютеров. 13 января их было только 2,4 миллиона. В этот день Россия входила в тройку стран, насчитывающих наибольшее число заражений.

Специалисты предлагают путь для определения зараженности компьютера. Для этого можно попытаться зайти на сайты f-secure.com или kaspersky.ru. Червь Downadup блокирует эти адреса. F-Secure и "Лаборатория Касперского" предлагают бесплатные программы, помогающие избавиться от Downadup.

Источник: internovosti.ru

Вот тут. у меня был второй!

А вот тут-первый и троян. в ЛОГО.ехе...

Опять появился Кидошка...В этой папке... E:Documents and SettingsNetworkServiceLocal SettingsTemporary Internet FilesContent.IE5...Смотрите внимательней!

Существуют три модификации Net-Worm.Win32.Kido:
Net-Worm.Win32.Kido.bt
Net-Worm.Win32.Kido.dv
Net-Worm.Win32.Kido.fx

Все используют критическую уязвимость MS08-067... (кто пропатчил винду может быть спок, через инет ему к вам не пробратся)...
В тоже время все три модификации распостраняются через флешки, autorun.inf... Ко мне он попал именно так, причем на флехе код вируса запрятан в :RECYCLERS-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%>.vmx и те из антивирей что проверяют файлы по маске, не обратят внимания (расширение vmx свойственно виртуальной машине VMware,)

Я сражался с модификацией Net-Worm.Win32.Kido.fx, отличительная особенность - прячет системные файлы, за двумя предыдущими такого не замечено... У arien, какая то другая версия, или bt или dv...

Причем антивирус AVG видит именно dll в System32, но то что на флехе, ему не позубам... будьте бдительны.

Упс, повторы... нет тупит, а не может в этом КИДО быть виноватым?

В повторах виноват оказался Торент, до такой степени отдачу забил, что и Опера запрос отправить не могла, надо же...
По поводу КИДО, еще информация - модификация ЭфИкс запускается посредством rundll32.exe, который работая с вирусом загружает ЦП на всю котушку - отсюда и характерное торможение... Снося смело rundll32.exe (кудато в сторону null ;) можем заниматся чисткой системы по интрукциям от касперского...

А сам процес rundll32.exe весьма безобиден, он к примеру запускает все аплеты Панели управления виндовс к тому же, и прочие ДЛЛ (котя Панель управления в CPL файлах, но не суть)... таким образом и вирусную длл запускает он, хотя в других модификациях КИДО, вирус встраивается в штатные службы оси...

Блин второй повтор... я чуть потом сюда в тему что то отпишусь... соображу что только...

Хм, видишь. у меня во временных файлах интернет ээксплорера почему то...Причём, это сборка ЛЕХА, а на ней, показ скрытых папок не функционирует!...Потому. я могу заити в неё, только с другой оси... Впрочем, Зоне Аларм, отрабатывает сходу... Такое впечатление. что этот вирь. появляется одновременно и в папке темп ИЭ и в систем 32...Сегодня, уже их было 3!...Добавился с расширением png, опять же. картиночным...Снесу ка я нах, ИЭ...И папку С Нетворк сеттингсами...Как думаете чуваки, ничё не сломаю? :biggrin: ...Оттуда вся бадыга тянеццо...

Люди Всем Большое СПАСИБО за Информацию

Проверил нодом и авирой щас ещё аваст подключу

arien, у тебя может не FX модификация, а BT или DV ... Мой антивирь твоего поциента подругому назвал, чем того что у меня был...
Ну и еще думаю на местонахождение гадости влияет когда заплатку на виду ставить - до заражения или после...
Я сначала обновил ось, а потом по неосторожности запустил вируса с флешки...

Хотя если ты упоминаешь про сокрытие скрытых файлов, то это ключевое отличии именно ЭфИкс... остальные такого не умеют вроде...

блин я свою особо и не проверял (облом как то), может и у меня где то сидит, но ЭфИкс точно неактивен - файлики сокрытые взору открытые)
Кому надо, могу свого вируса (и ДЛЛ, и блок автозапуска с флешки в полном сотаве) могу выложить... Для анализа и сравнения с тем что у вас бушует.
Конечно под паролем, а то сканеры уже и на файлообменники ставляют...

...Блин, да вот же я ж выкладывал скрины, ещё тогда...Вернись и посмотри... Вот. явственно видно. что ВТ...

Слава богу, меня вроде обошло

как однако весело смотреть на все это...
линукс у меня autorun.inf не обрабатывает - через флеху вирус не получу
уязвимости MS08-067 там тем более нет, как собсна и ИЕ...

arien, извиняюсь за невнимательность. Но в BT не описана возможность блокировки показа скрытых папок, а ты говоришь что не отображаются... Или так и было раньше?

почитал инструкцию по удалению:

"Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления воспользуйтесь специальной утилитой и рекомендациями по удалению, которые можно скачать по следующей ссылке:
http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215"

чуть ранее:
"блокирует доступ к адресам, содержащим следующие строки:
...
kaspersky
..."


"Удалить файл:
%System%/rnd.dll
где rnd - случайная последовательность символов."
ой-ой-ой, может еще все файлы по маске *.dll удалить?! а что, может не тот...

аналогично
"Удалить копию червя:
%System%/rnd.dll
%Program Files%/Internet Explorer/rnd.dll
%Program Files%/Movie Maker/rnd.dll
%All Users Application Data%/rnd.dll
%Temp%/rnd.dll
%System%/rnd.tmp
%Temp%/rnd.tmp
где rnd - случайная последовательность символов."

...Если честно. я как-то не проверял...Нет, думаю, что это было заложено в самой сборке...Ибо, нет возможности поменять стартовую страницу ИЭ...Она постоянно выносит на ЛЕХ-ПЕХ...Это проделки ЛЕХа, чтоб не смогли его дзыгу расковырять... :biggrin: Ну. это другая песня...Да я и не увязывал с вирём то НЕотображение... Меня интересуют эти папки...Какая-нибудь инфа по ним есть?...Ну так. на вскидку, из головы...Чтоб по ОЗОНУ не лазать? :biggrin: E:Documents and SettingsNetworkServiceLocal SettingsTemporary Internet FilesContent.IE5...Вот она...И там ещё подпапки, с корявыми обозначениями...Типо QRFTIH...Чёт типо...И вот в одной из них, тёмной-тёмной ночью...и появляюццо...КИДОШКИ! :biggrin:

arien, ИМХО - кєш Некросовт Хплорера

...Если честно. я как-то не проверял...Нет, думаю, что это было заложено в самой сборке...Ибо, нет возможности поменять стартовую страницу ИЭ...Она постоянно выносит на ЛЕХ-ПЕХ...Это проделки ЛЕХа, чтоб не смогли его дзыгу расковырять... :biggrin: Ну. это другая песня...Да я и не увязывал с вирём то НЕотображение... Меня интересуют эти папки...Какая-нибудь инфа по ним есть?...Ну так. на вскидку, из головы...Чтоб по ОЗОНУ не лазать? :biggrin: E:Documents and SettingsNetworkServiceLocal SettingsTemporary Internet FilesContent.IE5...Вот она...И там ещё подпапки, с корявыми обозначениями...Типо QRFTIH...Чёт типо...И вот в одной из них, тёмной-тёмной ночью...и появляюццо...КИДОШКИ! :biggrin: ...Утилита - Ж_О_П_У!...Если прочтёшь тему с начала, то я писал. что её использовал и она ничего не нашла...О чём я очень сокрушался!...Однако, КИДОШКА, в это время, спокойно доедал DLLки реалтека! :biggrin: (проблемы со звуком были.Переставил драйвер)

...А мне жаль тебя чувак...Тут народ. падает на умняк...Сообща ловит паразитов...Отписывает камменты...Тестит антивири...Супер!!!...Жизнь кипит!!!...А ты...Я б на твоём месте...или выпил йаду с тоски...или поставил бы ВИНДОУС 98, взял бы кулёк со старыми, досовскими вирями...Рассыпал бы их...И собирал бы пинцетом...И к ногтю! :biggrin: