Home 
Note tecniche
Note tecniche 
Mercoledì 15 Aprile 2009 00:00 Ultimo aggiornamento Giovedì 04 Febbraio 2010 16:25
Si applica alle versioni:
- Kaspersky Anti-Virus 6.0 per Windows Workstations (tutte le build)
- Kaspersky Anti-Virus 6.0 per Windows Server (tutte le build)
- Kaspersky Administration Kit 6.0 MP1/MP2
Informazioni su Kido
Kido (noto anche come Conficker o Downadup) è stato rilevato per la prima volta nel Novembre 2008 come worm che si diffonde in reti locale (LAN) e periferiche di archiviazione rimovibili. L'ultima versione di Kido non è in grado di replicarsi in modo autonomo, ma, come per le varianti precedenti, può aggiornarsi scaricando codice aggiuntivo.
Kido ha generato una vasta "botnet", cioè una rete di macchine infette. È stato programmato in modo da aggiornarsi il primo Aprile 2009, e l'ultima versione arriva a generare sino a 50.000 nomi di dominio in base ad un algoritmo casuale, scegliendone poi 500 che è potenzialmente in grado di contattare per aggiornarsi.
Kido utilizza una tecnologia estremamente sofisticata. Scarica gli aggiornamenti da risorse online che cambiano continuamente; sfrutta reti P2P come risorse addizionali di download; utilizza tecniche crittografiche per evitare interferenze con il proprio centro di controllo; impedisce agli antivirus di effettuare gli aggiornamenti.
Non è possibile ipotizzare al momento quali sono gli intenti dietro Kido e come verrà utilizzato in futuro.
Kido ha generato una vasta "botnet", cioè una rete di macchine infette. È stato programmato in modo da aggiornarsi il primo Aprile 2009, e l'ultima versione arriva a generare sino a 50.000 nomi di dominio in base ad un algoritmo casuale, scegliendone poi 500 che è potenzialmente in grado di contattare per aggiornarsi.
Kido utilizza una tecnologia estremamente sofisticata. Scarica gli aggiornamenti da risorse online che cambiano continuamente; sfrutta reti P2P come risorse addizionali di download; utilizza tecniche crittografiche per evitare interferenze con il proprio centro di controllo; impedisce agli antivirus di effettuare gli aggiornamenti.
Non è possibile ipotizzare al momento quali sono gli intenti dietro Kido e come verrà utilizzato in futuro.
Perchè Kido è una minaccia?
La rete di computer contagiati da Kido può essere utilizzata da cybercriminali per iniziare attacchi DDoS massivi verso qualunque risorsa Internet, per sottrarre dati confidenziali ai computer infetti e per distribuire contenuti non desiderati (p.e. messaggi spam). Si ipotizza che attualmente vi siano da 5 a 6 milioni di computer nel mondo infetti da Kido.
Kido si diffonde in rete locale (LAN) o tramite periferiche di archiviazione rimovibili. Nel dettaglio, sfrutta una vulnerabilità critica descritta nel bollettino MS08-067, che Microsoft ha corretto con una patch ad ottobre 2008. Si ritiene tuttavia che la patch non sia stata installata su un numero significativo di PC, come evidenziato dal picco di diffusione di Kido raggiunto a gennaio 2009.
Ulteriori informazioni sulle modlità di attacco e diffusione di Kido sono disponibili a questi indirizzi:
Kido si diffonde in rete locale (LAN) o tramite periferiche di archiviazione rimovibili. Nel dettaglio, sfrutta una vulnerabilità critica descritta nel bollettino MS08-067, che Microsoft ha corretto con una patch ad ottobre 2008. Si ritiene tuttavia che la patch non sia stata installata su un numero significativo di PC, come evidenziato dal picco di diffusione di Kido raggiunto a gennaio 2009.
Ulteriori informazioni sulle modlità di attacco e diffusione di Kido sono disponibili a questi indirizzi:
Come si può evitare l'infezione di Kido?
I prodotti di Kaspersky Lab sono in grado di proteggere i sistemi dalle infezioni di tutte le varianti di Kido. È importante verificare che gli aggiornamenti automatici del prodotto siano abilitati (è l'impostazione predefinita) ed eseguire una scansione completa del sistema. Anche se Kaspersky Internet Security è in grado di proteggere i computer dall'infezione, si dovrebbe comunque verificare di avere installato tutti gli ultimi aggiornamenti di sicurezza di Windows (in particolare l'aggiornamento relativo al bollettino MS08-067).
Come verificare se il PC è infetto?
Se vi sono computer infetti nella LAN, il traffico di rete aumenta a causa degli attacchi generati da tali computer. Le applicazioni antivirus complete di firewall riportano un attacco Intrusion.Win.NETAPI.buffer-overflow.exploit.
Se si sospetta che il computer sia infetto, aprire il browser e provare a richiamare la pagina del vostro motore di ricerca. Se si apre, provare gli indirizzi www.kaspersky.com o www.microsoft.com – se non sono raggiungibili, sono probabilmente bloccati da un programma nocivo. L'elenco completo delle risorse bloccate da Kido è disponibile qui.
Se si sospetta che il computer sia infetto, aprire il browser e provare a richiamare la pagina del vostro motore di ricerca. Se si apre, provare gli indirizzi www.kaspersky.com o www.microsoft.com – se non sono raggiungibili, sono probabilmente bloccati da un programma nocivo. L'elenco completo delle risorse bloccate da Kido è disponibile qui.
Sono amministratore della rete interna. Come posso limitare ed eliminare l'infezione di Kido?
È possibile eliminare Kido con un'utility dedicata, KKiller.exe (v. seguito). Per impedire l'infezione di workstation e server di rete si dovrebbero seguire questi passi:
- Installare le patch per le vulnerabilità MS08-067, MS08-068 e MS09-001.
- Impostare una password di amministrazione sicura – dovrebbe avere una lunghezza minima di 8 caratteri, con combinazioni di lettere maiuscole, minuscole, numeri e caratteri non alfanumerici
- Disabilitare l'esecuzione automatica per le periferiche di archiviazione rimovibili
- Disabilitare l'Utilità di Pianificazione
Sono un utente finale. Come posso eliminare Kido?
Scaricare l'ultima versione di Kido Killer da questa pagina. Decomprimere l'eseguibile in una cartella sul PC infetto. Eseguire KKiller.exe. Al termine della scansione, potrebbe essere ancora aperta una finestra della console comandi; premere un tasto per chiuderla.
Se nel sistema dove si lancia l'utility KidoKiller.exe è installato il firewall Agnitum Outpost, è necessario riavviare il PC al termine dell'operazione.
Istruzioni per la rimozione di Kido sono disponibili anche sul sito di supporto tecnico di Kaspersky Lab.
Se nel sistema dove si lancia l'utility KidoKiller.exe è installato il firewall Agnitum Outpost, è necessario riavviare il PC al termine dell'operazione.
Istruzioni per la rimozione di Kido sono disponibili anche sul sito di supporto tecnico di Kaspersky Lab.
