Net-Worm.Win32.Kido.xx – Comment se protéger | Kaspersky Lab : blog non-officiel

Jan 16

Net-Worm.Win32.Kido.xx – Comment se protéger

Actualités, Windows Servers, Windows Workstations Add comments

virus Actuellement une menace exploitant une faille de sécurité Microsoft (une vulnérabilité dans le service Serveur pourrait permettre l’exécution de code à distance) circule sur internet.

http://www.viruslist.com/fr/viruses/encyclopedia?virusid=21782725

Cette faille affecte tous les systèmes d’exploitation Windows depuis Windows 2000; il est donc nécessaire d’entreprendre des démarches afin de sécuriser votre parc si ce dernier contient des postes ou serveurs sous Windows.

Il est vivement recommandé pour faire face à cette menace de suivre les indications suivantes :

1. Installez-le patch de sécurité de Microsoft sur tous les postes du réseau. Le patch est téléchargeable à cette adresse :

http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

2. Activez le composant IDS sur les postes protégés par Kaspersky for Windows Workstations.

Pour cela :

- Ouvrez Kaspersky Antivirus for Windows Workstations
- Cliquez sur « Configuration »
- Sélectionnez « Anti-Hacker »
- Cliquez sur « Configuration » pour le système de détection des intrusions
- Décochez « Bloquer l’ordinateur attaquant pendant »
- Validez

3. Si certains postes sont déjà infectés, décompressez et exécutez l’utilitaire klwk.

Ouvrez l’invite de commandes et exécutez la commande suivante :

klwk /path %WINDIR%\system32\

Vous pouvez suivre les indications de cette FAQ pour déployer l’outil via l’Administration Kit : http://www.kaspersky.com/support/wks6mp3/error?qid=208279973

Cet outil permet le nettoyage de plusieurs variantes de « kido » :

j,r,t,bw,db,fk,fo,fx,s,dh,ee,gh,fa,gy,ca,by,if,eo,bx,bh,bg,ha,hr,da,dz,cg,eg,eq,bz,do,fw,du,cv,dv,dq,ed,em,bo,bk,bm

Pour information Kaspersky Lab travaille sur nouvelle version de l’outil de nettoyage capable de traiter notamment la variante ih de kido.

Dès que cette nouvelle version sera disponible je mettrai à jour ce billet.

UPDATE

Comme promis, voici la nouvelle version de l’outil permettant le nettoyage des postes infectés par le ver Kido.XX.

Cet outil inclut notamment la variante .ih de Kido.

Sur les postes infectés, décompressez et exécutez l’utilitaire KIDOKILLER

Ouvrez l’invite de commandes et exécutez la commande suivante :

KidoKiller.exe -p %windir%\system32\

UPDATE 2

Marc Blanchard a publié deux articles très intéressants et instructifs sur son blog :

- Pourquoi autorunner.5555 alias Confiker – Kido est un fléau?

- Pourquoi Microsoft met il du temps a corriger la faille découverte le 11 décembre 2008?

Bonne lecture et merci Marc!

2 Responses to “Net-Worm.Win32.Kido.xx – Comment se protéger”

Fakhreddine Says:
April 3rd, 2009 at 23:13
slt,
j’ai un probleme avec une variante de buzus kav WK6.0.837 est malgré tout les pc sont attaqués (2000 redémarre et XP se plante).
merci de poster un article pour se débarrasser de ce trojan.
Amicalement
Alexis Markov Says:
April 6th, 2009 at 07:31
…”merci de poster un article pour se débarrasser de ce trojan”…
Merci d’éviter de m’imposer ce que je dois écrire. Veuillez contacter le support pour gagner du temps.

Kaspersky Lab : blog non-officiel