ویروس "کرم کدو" فراگیر می شود

درست است كه كرم كدو اولين بار در سال 2008 منتشر شده‌است، با اين حال برنامه‌ريزي جديدي براي انتشار آن در آوريل 2009 با پشتيباني 5 هزار نام دامنه جديد انجام شد كه در اثر آن مي‌توان گفت اين كرم نه ‌چندان كوچك به اژدهاي بزرگ يا كابوس شبكه‌هاي كوچك و بزرگ محلي تبديل شده است و حتي بسياري از آنتي ويروس‌هاي مهم و صاحب‌نام دنيا را به زانو درآورده است.

اين ويروس را شايد با نام‌هاي مختلفي مانندaka Conficker ،kido يا Net-Worm.Win32.Kido بشناسيد ولي آنچه در مورد آن اهميت دارد اين است كه به‌شدت ترافيك شبكه را بالا برده و تقريبا حركت روان و راحت شما را در شبكه محلي خود، از بين مي‌برد.

آنچه در زير مي‌آيد خلاصه‌اي از روش عملكرد، شناسايي و نابودي اين كرم مزاحم است.

چگونه آلودگي را تشخيص دهيم؟

1- حجم ترافيك شبكه به خاطر وجود كامپيوتر‌هاي آلوده، به صورت فزاينده افزايش مي‌يابد.

2- آنتي ويروس‌هاي با قابليت تشخيص نفوذ، اعلام حمله از نوع Intrusion.Win.NETAPI.buffer-overflow.exploit مي‌كنند.

3- عدم دسترسي به وبسايت آنتي‌ويروس‌هاي بزرگي مانند avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky و ...
4-بسياري از آنتي‌ويروس‌ها اكتيو نمي‌شوند.

كرم كدو چه مي‌كند؟ (خلاصه)

1- فايلي با نام autorun.inf و RECYCLED\{SID}\RANDOM_NAME.vmx در درايوها و گاهي در اشتراك‌هاي شبكه مي‌سازد.

2-خود را در dllهاي سيستمي با نام متغير ذخيره مي‌كنند. به عنوان مثال c:\windows\system32\zorizr.dll

3 - خود را در سرويس‌هاي سيستمي با نام‌هاي متغير ثبت مي‌كند. به عنوان مثال knqdgsm

4- سعي مي‌كند از دسترسي به سايت‌هاي زير براي به دست‌آوردن IP قرباني استفاده ‌كند.
http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org

چگونه از بين مي‌رود؟
1- وصله‌هاي MS08-067, MS08-068, MS09-001 ويندوز را نصب كنيد. براي اين‌كار از وب سايت رسمي ميكروسافت استفاده كنيد (http://www.microsoft.com/technet/security/bulletin/MSxx-xx.mspx)

2- مطمئن شويد كه رمز عبور اصلي شبكه آسان نيست و به راحتي قابل هك نباشد.

3- اجراي autorun درايوهاي قابل جابجايي را غير فعال يا مسدود كنيد.

4-دسترسي به پورت‌هاي شماره 445 و 139 را مسدود كنيد.

5- فايل KK.exe را از طريق آدرس دانلود زير گرفته و اجرا كنيد. البته قبل از آن معمولا بهتر است آني ويروس‌ها و نرم‌افزارهاي حفاظتي خود را غير فعال كنيد.
http://support.kaspersky.com/downloads/utils/kk_v3.4.9.zip