Seoses suure hulga kasutajate pöördumistega valmistas Kaspersky Lab ette firma ekspertide vastused korduma kippuvatele küsimustele kahjurprogrammi Kido (samuti tuntud kui Conficker ja Downadup) võimaliku elavnemise kohta. Kommenteerib Kaspersky Lab´i juhtiv viirustõrjeekspert Vitali Kamljuk.

Mis on Kido?

Kahjurprogramm Kido ohustab käesoleval ajal tõsiselt kogu internetti. Miljonid Kido´ga nakatatud arvutid võivad saada kõige võimsamaks küberkurjategijate ressursiks internetis. Kahjurprogramm tuvastati esmakordselt 2008. aasta novembris ning selle elavnemist on oodata 1. aprillil: botnet Kido otsib iga päev 50000 domeenist (varem sai ta ühendust vaid 250 domeeniga) juhtimiskeskust ja laeb kasutajate arvutitesse teiste kahjurprogrammide uusi versioone. Pahategijate järgnevad toimingud käesoleval hetkel prognoosile ei allu.

Milles seisneb Kido oht?

Kido autorite poolt loodud hiigelsuur zombivõrk (botnet) võimaldab pahategijatel korraldada suvalistele internetiressurssidele suunatuid ülivõimsaid DDoS-rünnakuid, varastada nakatatud arvutitest konfidentsiaalseid andmeid ja levitada soovimatut sisu (muuhulgas viia läbi ulatuslikke rämpspostituskampaaniaid).

Viimase ajani levis Kido arvutivõrkude ja vahetatavate andmekandjate kaudu. Muuhulgas sattus ta arvutitesse Windows operatsioonisüsteemide kriitilise haavatavuse MS08-067 kaudu, millele Microsoft lasi paranduse välja juba eelmise aasta sügisel. Ekspertide arvates polnud jaanuaris, Kido leviku tipul seda paika enamustesse arvutitesse paigaldatud. See asjaolu ning ka efektiivsete viirustõrjeprogrammide kasutuse ignoreerimine põhjustasidki epideemia: käesoleval ajal on erinevate Kido versioonidega nakatatud vähemalt 5-6 mln internetiühendusega arvutit. Kido viimastes versioonides puudub iselevimisvõimalus. Programm püüab vaid "kinnituda" juba nakatatud arvutitesse.

Põhjalikuma tehnilise info selle kohta, kuidas Kido Windows operatsioonisüsteemidesse satub, leiab siit:

• http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725
• http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782733
• http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782749
• http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782790

Kido´s on realiseeritud kõige moodsamad viirustekirjutajate tehnoloogiad – näiteks uuenduste allalaadimine pidevalt muutuvatelt veebilehtedelt, P2P (peer-to-peer) ühenduste kasutamine uuenduste lisakanalina, püsiva krüptimisviisi kasutamine kaitseks kontrolli nõivamise eest, turvameetmete täiustatud väljalülitamisvõimalused, infoturbeprogrammide uuenduste takistamine jne.

Kido kõige viimane versioon uueneb koodi allalaadimisega 500 domeenilt, mida valitakse iga päev muutuvast 50000 domeenikandidaadist koosnevast valimist. Juhuslik valik ja valimi suur maht muudavad äärmiselt keeruliseks kahjurprogrammi poolt kasutatava nimeruumi kontrolli internetis. Seepärast tuleb programmi uuenduse ärahoidmiseks kohtvõrgu tasemel rakendada kõikvõimalikud jõupingutused.

Kuidas vältida nakatumist kahjurprogrammiga Kido?

Kaspersky Lab´i tooted blokeerivad edukalt kõikide Kido versioonide sattumise kasutajate arvutitesse. Kontrollige, et viirustõrjeprogrammi automaatuuendus poleks välja lülitatud ning kui te kahtlustate, et Kido võis juba teie arvutisse sattuda, kontrollige oma arvutit Kaspersky Anti-Virus´ega. Haavatavust MS08-067 likvideeriva paiga õigeaegne paigaldus on kahtlemata kohustuslik abivahend nakatumise ärahoidmiseks, kuid paigaldatud lahendus Kaspersky Internet Security ei luba haavatavust kasutada isegi parandamata operatsioonisüsteemis.

Kuidas saada aru, et võrk või arvuti on nakatatud?

Nakatatud arvutite olemasolul kohtvõrgus suureneb võrguliikluse maht, kuna nendest arvutitest algab võrgurünnak. Aktiivsete tulemüüridega viirustõrjerakendused teatavad rünnakust Intrusion.Win.NETAPI.buffer-overflow.exploit.

Kui te kahtlustate, et teie arvuti võib olla nakatatud, proovige avada veebilehitseja ja minna suvalise otsingumootori mis tahes leheküljele. Kui lehekülg avanes, proovige avada www.kaspersky.com või www.microsoft.com. Kui see ei õnnestud, siis ilmselt blokeerib ligipääsu veebilehtedele kahjurprogramm. Kido poolt blokeeritud veebilehtede täisnimekirja võib näha näiteks siin.

Olen kohtvõrgu haldur. Kuidas ma saan kõige kiiremini ja mugavamalt probleemi lahendada?

Võrgukahjurprogramm eemaldatakse spetsiaalse utiliidi KKiller.exe abil. Nakatumise ennetamiseks tuleb kõikides tööjaamades ja võrguserverites rakendada järgmised meetmed:

1. Paigaldada haavatavused MS08-067, MS08-068, MS09-001 sulgevad paigad.
2. Veenduda, et võrguhalduri konto parool on lahtimurdmiskindel – parool peaks koosnema vähemalt kuuest erinevast tõstutundlikust sümbolist ja/või numbrist.
3. Lülitada välja täidetavate failide automaatkäivitus vahetatavatel andmekandjatel.
4. Peatada operatsioonisüsteemis Windows ülesanne Task Scheduler (ülesannete planeerija).

Utiliidiga KKiller.exe tuleb kahjurprogrammi Kido eemaldada otse nakatatud arvutist.

Kuidas saab kahjurprogrammiga Kido võidelda koduarvuti kasutaja?

Laadige alla fail KKiller_v3.4.1.zip ja avage see nakatatud arvutis eraldi kaustas. Käivitage fail KKiller.exe. Skännimise lõppemisel võib arvutis lahti olla käsurea aktiivne aken, mille sulgemiseks võib vajutada suvalisele klahvile. Akna automaatseks sulgemiseks soovitame utiliit KKiller.exe käivitada võtmega –y. Oodake ära kontrolli lõpp.

Kui arvutisse, kus käivitatakse utiliiti KKiller.exe, on paigaldatud Agnitum Outpost Firewall, tuleb pärast utiliidi töö lõppu arvuti kindlasti taaskäivitada.