روش مقابله با قاتل کارت شبکه ، کرم conficker یا kido [1]
مقدمه : در یک شبکه با تعدادی ایستگاه کاری و سرور که ارتباطات روزانه زیادی با یگدیگر دارند ، عوامل متعددی ممکن است باعث قطعی شبکه شود . عواملی همچون قطعی کابل، قطعی برق سوییچ یا هاب، غیر فعال شدن کارت های شبکه، پیکربندی نرم افزاری اشتباه و غیره ... که مدیران محترم IT و همکاران گرامی با آن بیشتر دست و پنجه نرم کرده اند.
ولی اگر هیچ یک از این موارد علت قطعی شبکه نبود ، به احتمال خیلی زیاد گرفتار کرم یا به اصطلاح ویروس kido شده اید. البته آنتی ویروس قدرتمند کسپرسکی [2] به این نام شناساییش می کند. اگر تمایل دارید بدانید بقیه آنتی ویروسها آن را با چه نامی شناسایی می کنند اینجا [3] کلیک کنید.
قابل ذکر است، نوع حمله ای که کرم kido انجام می دهد، استفاده از آسیب پذیری Buffer overflow می باشد، که به اصطلاح به آن ( DOS(Denial Of Service یا انکار سرویس می گویند و کارت شبکه از دسترس خارج می شود و تصور می کنم به همین دلیل عنوان "قاتل کارت شبکه" در ذهنم تداعی شد.
در ادامه به روش شناسایی kido و پاکساری کامل آن می پردازیم. . . . . .
قبلا گفته شد که آنتی ویروس کسپرسکی کرم کیدو [1] را شناسایی و از بین می برد ، پس اگر در scan های دوره ای که انجام می دهید به این نام برخوردید مطمئن باشید که تمام شبکه به این کرم آلوده هستند.
نکته مهم : لازم است یادآور شوم که بنده به عنوان عضو کوچکی از فعالان حوزه امنیت ، موردی از فعالیت کرم Kido بر روی Windows 7 و windows server 2008 و همچنین ویندوز های 95،98 و ME مشاهده نکردم و نتیجه اینکه این کرم مخرب که تا بحال بارها آپدیت شده ، هنوز برای این سیستم عامل ها آپدیت نشده است.
اولین قدم در ریشه کن کردن کرم Kido [1] استفاده از ابزاری به نام "kidokiller" جهت اسکن نقاط حیاتی سیستم و نصب یک آنتی ویروس قوی با آخرین Update ها ، جهت اسکن کامل سیستم می باشد .(پیشنهاد من آنتی ویروس تحت شبکه کسپرسکی [2] است) که این آنتی ویروس باید روی تمام ایستگاههای کاری و سرور ها نصب شده باشد و چه بهتر که در یک زمان اسکن کامل آغاز شود.
تا به اینجای کار 50% کار انجام شده که همان از بردن ویروسهای داخل شبکه است.
ولی انجام دادن 50% بقیه هم ضروری می باشد و کوتاهی در انجام آن بخش اول را کم تاثیر جلوه می دهد.
جهت ایزوله کردن کل بستر شبکه در مقابل kido در قدم دوم ،مراحل زیر را انجام دهید:
1- kido از تعدادی آسیب پذبری بر روی ویندوز xp sp1,2,3 و windows server sp1,2 جهت انتشار استفاده می کند. شرکت Microsoft جهت پوشاندن این نقاط آسیب پذیر تعدادی وصله امنیتی ارائه داده است . شما می توانید بسته به نوع ویندوزی که استفاده می کنید این patch ها را از لینک زیر دانلود ونصب کنید :
MS08-067 [4], MS08-068 [5], MS09-001 [6]
نکته: ادارات، شرکتها و سازمانهایی که محصول "Open Space Security" کسپرسکی را تهیه کرده و کاربر این محصول می باشند ، می توانند مراحل ذکر شده را به صورت متمرکز و بدون اینکه حتی کاربران شبکه متوجه شوند ، از طریق کنسول قدرتمند Kaspersky Administration Kit انجام دهند و یا از ما بخواهند این کار را برایشان انجام دهیم.
2- kido همچنین از طریق دو پورت TCP 445 و TCP 139 منتشر می شود، پس مرحله آخر مسدود کردن موقت یا دائم این دو پورت است.
پس به روش زیر عمل کنید:
Control Panel>Firewall>exeption
تیک گزینه Flie and printer sharing را بزنید سپس بر روی آن دابل کلیک کنید.
از پنجره باز شده تیک دو گزینه TCP 445 و TCP 139 را بردارید ، ok را بزنید و خارج شوید.
در انتها یاد آور می شوم که حتما اجرای Autorun دستگاههای ذخیره سازی جانبی مانند usb و CD/DVD را غیر فعال کنید.
ضمنا از فایل ضمیمه زیر نیز میتوانید استفاده کنید. [7]
| ضمیمه | اندازه |
|---|---|
| qhremkido.rar [8] | 63.82 کیلو بایت |