Kido (aka Conficker, Downadup) S.S.S.

Kido nedir?

İlk kez Kasım 2008’de tespit edilen Kido, yerel ağlarda ve taşınılabilir depolama araçlarında yayılan bir solucan türü olarak tanımlanıyor. Kido, solucanın en son nesli kendi başına yayılamıyor olsa da daha önceki versiyonları gibi internet üzerinden kendini güncelleyebiliyor.

Kido solucanı bulaştığı makineler ile çok güçlü bir botnet ağı oluşturuyor. Kido kendisini 1 Nisan’da güncellemek üzere programlamıştı. Bu güncellemeyle son versiyona yükselecek olan solucan, rastgele bir algoritmaya göre 50.000 alan adı üreterek bu alan adları arasından 500 tanesini kendisini güncelleyebileceği potansiyel bağlantı noktaları olarak seçiyor. Kido solucanı çok karmaşık bir teknoloji kullanıyor. Sürekli değişen online kaynaklardan güncellemeler indiriyor; P2P paylaşım ağlarını güncellemelerin indirilebileceği ek bir kaynak olarak kullanıyor; komuta ve kontrol merkezi ile bağlantısına sızmaları önlemek için güçlü bir şifreleme tekniği kullanıyor ve anti virus programlarının güncelleme yapmalarına engel oluyor.

Kido botnet ağının neden oluşturulduğu ve gelecekte hangi amaç için kullanılabileceği hala belirsizliğini koruyor.

Kido neden tehlikeli bir tehdittir?

Kido’nun bulaştığı bilgisayarlardan oluşan devasa botnet ağı siber suçlulara herhangi bir internet kaynağına kitlesel DDoS saldırıları düzenlemeleri, enfekte olan bilgisayarlardaki gizli bilgilere erişmeleri ve istenmeyen içerik dağıtımı (ör: toplu spam eposta gönderimi) imkanlarını sağlıyor. Dünya çapında 5 ila 6 milyon bilgisayara Kido zararlı yazılımının bulaştığına inanılıyor.
Kido başlangıç evresinde yerel ağlar ve taşınabilir depolama araçları ile yayılımını gerçekleştirdi. Solucanın özellikle Microsoft tarafından Ekim 2008’de yaması yayınlanan MS08-067 kritik güvenlik açığından yararlandığı biliniyor. Yine de Ocak 2009’da Kido yayılımının en hızlı evresini yaşarken önemli sayıdaki bilgisayarın ilgili yamayı yüklememiş olduğuna inanılıyor.

Kido’nun bilgisayarlara nasıl bulaştığı hakkındaki daha detaylı bilgilere aşağıdaki linklerden ulaşılabilir:

Kido’dan nasıl korunuruz?

Kaspersky Lab ürünleri Kido’nun tüm versiyonlarına karşı tam koruma sağlamaktadır. Kullanıcıların otomatik ürün güncellemelerini etkin halde bulundurmaları (varsayılan ayarlarda etkin durumdadır) ve tam sistem taraması yapmaları tavsiye edilmektedir. Kaspersky Internet Security, ilgili güvenlik yaması yüklenmemiş bilgisayarları dahi etkin şekilde korusa da kullanıcıların en son Windows güvenlik güncellemelerinin (özellikle MS08-067) yüklendiğinden emin olmaları gerekmektedir.

Kido’nun bilgisayarıma bulaşıp bulaşmadığını nasıl bilebilirim?

Eğer yerel ağ içerisinde enfekte olmuş bilgisayarlar bulunuyorsa, bu cihazların gerçekleştirdiği ağ saldırıları nedeniyle yerel ağ trafiği artacaktır. Güvenlik duvarı etkin halde bulunan antivirüs uygulamaları güvenlik ihlali uyarısında bulunacaktır. “Win.NETAPI.buffer-overflow.exploit attack”

Eğer bilgisayarınızın enfekte olduğundan şüpheleniyorsanız tarayıcınızla bir arama motoru sayfası açmaya çalışın. Sayfa sorunsuz açılıyorsa www.kaspersky.com veya www.microsoft.com adreslerine ulaşmaya çalışın. Eğer web sayfası açılmıyorsa web sitesi muhtemelen zararlı yazılım tarafından engellenmektedir. Kido tarafından engellenen web kaynaklarının tam listesine aşağıdaki adresten ulaşılabilir : http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782725

Yerel ağ yöneticisiyim. Kido’yu sistemden nasıl temizleyebilirim?

Kido’yu bu zararlı yazılımı kaldırmak üzere özel olarak oluşturulan KKiller.exe adlı uygulamanın yardımı ile silebilirsiniz. Bütün iş istasyonlarını ve ağ sunucularını Kido’ya karşı korumak için: MS08-067, MS08-068 ve MS09-001 güvenlik açıkları için yayınlanan yamaları yükleyin. Kuvvetli bir yönetici şifresine (büyük-küçük harflerden, rakam ve sembollerden oluşan en az 6 haneli) sahip olduğunuzdan emin olun. Tüm taşınabilir ortamlar için otomatik çalışma işlevini ve Görev Programlayıcıyı (Task Scheduler) durdurun.
Eğer Kido’yu sistemden temizlemek için KKiller.exe uygulamasını kullanıyorsanız bunu Kido’nun bulaştığı tüm bilgisayarlarda elle çalıştırmanız gerekir.

Kişisel bilgisayarımdan Kido’yu nasıl temizleyebilirim?

Kido’nun bulaştığı bilgisayara KKiller_v3.4.1.zip dosyasını indirin ve sıkıştırılmış dosyanın içeriğini ayrı bir klasöre aktarın. KKiller.exe uygulamasını çalıştırın. Tarama tamamlandığında komut satırı penceresi hala açık olabilir. Herhangi bir tuşa basarak pencereyi kapatın.

Kido’nun sistemden temizlenmesi ile ilgili önerileri Kaspersky Lab teknik destek sitesinde de bulabilirsiniz:

http://support.kaspersky.com/faq/?qid=208279973
 

Yeni : KIDO Killer ve KIDO hakkında detaylı bilgi TR    information EN