Служба технической поддержки уведомляет клиентов Лаборатории Касперского
о том, что в настоящий момент возросло количество обращений по факту
заражения рабочих станций и серверов под управлением операционных
систем Windows штаммами сетевого червя Net-Worm.Win32.Kido (другие названия: Conficker, Downadup).

Симптомы заражения

1. При наличии зараженных компьютеров в локальной сети повышается
   объем сетевого трафика, поскольку с этих компьютеров начинается сетевая
   атака.
   
   
2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
   
   
3. Невозможно получить доступ к сайтам большинства антивирусных
   компаний, например,  avira, avast, esafe, drweb, eset, nod32,
   f-secure, panda, kaspersky и т.д.
   
   
4. Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно и возникает одна из ошибок:
• Ошибка активации. Процедура активации завершилась с системной ошибкой 2.
• Ошибка активации. Невозможно соединиться с сервером.
• Ошибка активации. Имя сервера не может быть разрешено.

Краткое описание семейства Net-Worm.Win32.Kido

1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
3. Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
4. Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067

Способы удаления

Удаление сетевого червя производится с помощью специальной утилиты KK.exe ,