http://www.viruslist.com/fr/viruses/encyclopedia?virusid=21782725

Cette faille affecte tous les systèmes d’exploitation Windows depuis Windows 2000;  il est donc nécessaire d’entreprendre des démarches afin de sécuriser votre parc si ce dernier contient des postes ou serveurs sous Windows.

Il est vivement recommandé pour faire face à cette menace de suivre les indications suivantes :

1.  Installez-le patch de sécurité de Microsoft sur tous les postes du réseau. Le patch est téléchargeable à cette adresse :

http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

2.  Activez le composant IDS sur les postes protégés par Kaspersky for Windows Workstations.

Pour cela :

- Ouvrez Kaspersky Antivirus for Windows Workstations
- Cliquez sur « Configuration »
- Sélectionnez « Anti-Hacker »
- Cliquez sur « Configuration » pour le système de détection des intrusions
- Décochez « Bloquer l’ordinateur attaquant pendant »
- Validez

3.  Si certains postes sont déjà infectés, décompressez et exécutez l’utilitaire klwk.

Ouvrez l’invite de commandes et exécutez la commande suivante :

klwk /path %WINDIR%\system32\

Vous pouvez suivre les indications de cette FAQ pour déployer l’outil via l’Administration Kit : http://www.kaspersky.com/support/wks6mp3/error?qid=208279973

Cet outil permet le nettoyage de plusieurs variantes de « kido » :

j,r,t,bw,db,fk,fo,fx,s,dh,ee,gh,fa,gy,ca,by,if,eo,bx,bh,bg,ha,hr,da,dz,cg,eg,eq,bz,do,fw,du,cv,dv,dq,ed,em,bo,bk,bm

Pour information Kaspersky Lab travaille sur nouvelle version de l’outil de nettoyage capable de traiter notamment la variante ih de kido.

Dès que cette nouvelle version sera disponible je mettrai à jour ce billet.

UPDATE

Comme promis, voici la nouvelle version  de l’outil permettant le nettoyage des postes infectés par le ver Kido.XX.

Cet outil inclut notamment la variante .ih de Kido.

Sur les postes infectés, décompressez et exécutez l’utilitaire KIDOKILLER

Ouvrez l’invite de commandes et exécutez la commande suivante :

KidoKiller.exe -p %windir%\system32\

UPDATE 2

Marc Blanchard a publié deux articles très intéressants et instructifs sur son blog :

- Pourquoi autorunner.5555 alias Confiker – Kido est un fléau?

- Pourquoi Microsoft met il du temps a corriger la faille découverte le 11 décembre 2008?

Bonne lecture et merci Marc!

Il s’agit en effet d’une mise à jour des définition de l’IDS (système de détection d’intrusions) du module Anti-hacker mais aussi du driver NDIS qui permet d’intercepter le flux d’informations au niveau de la carte réseau.

Comme le changement se situe dans des couches basses du système d’exploitation, la demande de redémarrage est logique.

Sachez toutefois que le niveau de protection n’est pas compromis en attendant le redémarrage (je pense notamment aux serveurs… qu’on ne peut rebooter comme on veut).

Il s’avère finalement que le KAV WSEE peut également être très intéressant sur un simple serveur de fichiers. La configuration du logiciel étant beaucoup plus granulaire et plus poussée, il est, entre-autres possible de créer des templates de configuration et les appliquer à différents répertoires et/ou disques. De ce fait, le moteur de scan va être configuré différemment en fonction de l’endroit qu’il est en train d’analyser.

Une avancée technologique importante qui risque de vous intéresser et vous amener à vouloir migrer vos antivirus serveurs actuels en Enterprise Edition (la licence est la même, donc pas de coûts additionnels). Pour simplifier cette étape, Kaspersky Lab vient de rendre public un utilitaire qui permet d’exporter votre config de KAV for Server 6.0 et la convertir en config pour KAV WSEE 6.0 si vous n’utilisez pas l’Admin Kit, ou de convertir votre stratégie de configuration KAV for Server 6.0 de l’Admin Kit…

Vous trouverez cet utilitaire ainsi qu’une explication complète de son fonctionnement sur le site de support international.

Que pensez vous de KAV 6.0 for Windows Servers Enterprise Edition? Avez vous testé?

Kaspersky Anti-Virus 6.0 for Windows Servers Enterprise Edition protège les données des serveurs tournant sous Microsoft Windows (y compris la version x86-64) contre les programmes malveillants. Ce logiciel a été spécialement conçu pour les serveurs à très hautes performances stratégiques des entreprises.

Répartition des privilèges des utilisateurs. Il est possible d’octroyer divers privilèges aux administrateurs. Par exemple, un administrateur peut être uniquement autorisé à consulter les rapports tandis qu’un autre peut lancer les tâches existantes et qu’un troisième pourra réaliser une administration complète. Le système des privilèges repose sur les mécanismes standard du système d’exploitation Microsoft Windows.

Protection des serveurs terminaux. L’application peut fonctionner sur les serveurs terminaux de Citrix et de Microsoft Terminal. Elle garantit la notification des utilisateurs des terminaux en cas de découverte de contenu infecté. L’application peut également fonctionner au sein de l’environnement Windows Cluster.

Le point fort de l’application c’est qu’elle va effectuer une analyse sur le flux des informations transitant entre le client et le serveur terminal. Cette analyse à la volée va permettre d’intercepter tout code malveillant pouvant être récupéré ou exécuté par l’utilisateur.

Pour l’instant, le produit est disponible en 4 langues : français, anglais, allemand et le russe. Notez également qu’il ne nécessite pas de licence particulière. Une licence de type serveur suffit pour activer cet antivirus “version entreprise”. Et, évidemment, l’intégration dans la console d’administration Admin Kit est complète…

De plus, le produit est déjà certifié compatible 2008 Server et approuvé par Microsoft !

Avez-vous testé? Vous aussi, attendiez-vous ce produit avec impatience?

Concrètement, si vous n’avez aucun souci actuellement et tournez sur des releases récentes (Maintenance pack 3) le fait d’upgrader votre parc ne va pas vous amener de fonctionnalités supplémentaires… Lisez les release notes ci-dessous pour voir si vous êtes concernés par les changements.

Les produits concernés sont :

KAV for Windows Workstations v.6.0.3.837 (release notes)
KAV for Windows Fileservers v.6.0.3.837 (release notes)
Kaspersky Administration Kit v.6.0.1572 (release notes)

Evidemment, il n’est pas nécessaire de désinstaller les produits existants pour effectuer la mise à jour. Une installation par-dessus les versions actuelles suffit pour l’upgrade. Pensez également à upgrader les agents de communication si vous effectuez l’update de votre serveur d’administration…

Les nouvelles versions apportent beaucoup d’améliorations et de corrections ou bugfixes. Concrètement, ceux qui utilisent les versions actuelles et qui n’ont aucun souci ne vont pas avoir de changements majeurs visibles.

Quant à l’installation, un déploiement “par-dessus” les versions actuelles installées suffira à migrer votre parc. N’oubliez pas d’effectuer une tâche de sauvegarde de votre serveur d’administration avant d’installer la nouvelle version par-dessus l’existante… on n’est jamais trop prudent. Vous trouverez tout le changelog dans les FAQ’s de Kaspersky France relatives à chaque produit touché par la mise à jour dont les liens sont disponibles ci-dessous :

- Kaspersky Administration Kit Critical Fix 1 Maintenance Pack 1 version 6.0.1565 : FAQ KL France

- Kaspersky Anti-Virus 6.0 for Windows Workstations Maintenance Pack 3 version 6.0.3.830 : FAQ KL France

- Kaspersky Anti-Virus 6.0 for Windows Servers Maintenance Pack 3 version 6.0.3.830 : FAQ KL France

Note : les liens de téléchargement des produits sont diponibles sur ces FAQs mais également sur les sites http://entreprises.kaspersky.fr, http://www.kaspersky.fr et, évidemment, http://www.kaspersky.com pour les autres langues.