روش مقابله با قاتل کارت شبکه ، کرم conficker یا kido

 

مقدمه : در یک شبکه با تعدادی ایستگاه کاری و سرور که ارتباطات روزانه زیادی با یگدیگر دارند ، عوامل متعددی ممکن است باعث قطعی شبکه شود . عواملی همچون قطعی کابل، قطعی برق سوییچ یا هاب، غیر فعال شدن کارت های شبکه، پیکربندی نرم افزاری اشتباه و غیره ... که مدیران محترم IT و همکاران گرامی با آن بیشتر دست و پنجه نرم کرده اند.

ولی اگر هیچ یک از این موارد علت قطعی شبکه نبود ، به احتمال خیلی زیاد گرفتار کرم یا به اصطلاح ویروس kido شده اید. البته آنتی ویروس قدرتمند کسپرسکی به این نام شناساییش می کند. اگر تمایل دارید بدانید بقیه آنتی ویروسها آن را با چه نامی شناسایی می کنند اینجا کلیک کنید

قابل ذکر است، نوع حمله ای که کرم kido انجام می دهد، استفاده از آسیب پذیری    Buffer overflow می باشد، که به اصطلاح به آن ( DOS(Denial Of Service یا انکار سرویس می گویند و کارت شبکه از دسترس خارج می شود و تصور می کنم به همین دلیل عنوان  "قاتل کارت شبکه" در ذهنم تداعی شد.

در ادامه به روش شناسایی kido و پاکساری کامل آن می پردازیم. . . . . .

 

 

 قبلا گفته شد که آنتی ویروس کسپرسکی کرم کیدو را شناسایی و از بین می برد ، پس اگر در scan های دوره ای که انجام می دهید به این نام برخوردید مطمئن باشید که تمام شبکه به این کرم آلوده هستند.

نکته مهم : لازم است یادآور شوم که بنده به عنوان عضو کوچکی از فعالان حوزه امنیت ، موردی از فعالیت کرم Kido بر روی Windows 7 و windows server 2008 و همچنین ویندوز های 95،98 و ME مشاهده نکردم و نتیجه اینکه این کرم مخرب که تا بحال بارها آپدیت شده ، هنوز برای این سیستم عامل ها آپدیت نشده است.

 

اولین قدم در ریشه کن کردن کرم Kido استفاده از ابزاری به نام  "kidokiller" جهت اسکن نقاط حیاتی سیستم و نصب یک آنتی ویروس قوی با آخرین Update ها ، جهت اسکن کامل سیستم می باشد .(پیشنهاد من آنتی ویروس تحت شبکه کسپرسکی است)   که این آنتی ویروس باید روی تمام ایستگاههای کاری و سرور ها نصب شده باشد و چه بهتر که در یک زمان اسکن کامل آغاز شود.

تا به اینجای کار 50% کار انجام شده که همان از بردن ویروسهای داخل شبکه است.

ولی انجام دادن 50% بقیه هم ضروری می باشد و کوتاهی در انجام آن بخش اول را کم تاثیر جلوه می دهد.

جهت ایزوله کردن کل بستر شبکه در مقابل kido در قدم دوم ،مراحل زیر را انجام دهید:

1- kido از تعدادی آسیب پذبری بر روی ویندوز xp sp1,2,3  و windows server sp1,2 جهت انتشار استفاده می کند. شرکت Microsoft جهت پوشاندن این نقاط آسیب پذیر تعدادی وصله امنیتی ارائه داده است . شما می توانید بسته به نوع ویندوزی که استفاده می کنید این  patch ها را از لینک زیر دانلود ونصب کنید :

 

                               MS08-067, MS08-068, MS09-001

 

نکته: ادارات، شرکتها و سازمانهایی که محصول  "Open Space Security" کسپرسکی را تهیه کرده و کاربر این محصول می باشند ، می توانند مراحل ذکر شده را به صورت متمرکز و بدون اینکه حتی کاربران شبکه متوجه شوند ، از طریق کنسول قدرتمند   Kaspersky Administration Kit انجام دهند و یا از ما بخواهند این کار را برایشان انجام دهیم.

2- kido همچنین از طریق دو پورت  TCP 445 و TCP 139 منتشر می شود، پس مرحله آخر مسدود کردن موقت یا دائم این دو پورت است.

پس به روش زیر عمل کنید:

Control Panel>Firewall>exeption

تیک گزینه  Flie and printer sharing  را بزنید سپس بر روی آن دابل کلیک کنید.

از پنجره باز شده تیک دو گزینه TCP 445 و TCP 139 را بردارید ، ok را بزنید و خارج شوید.

در انتها یاد آور می شوم که حتما اجرای  Autorun دستگاههای ذخیره سازی جانبی مانند usb و CD/DVD  را غیر فعال کنید.

ضمنا از فایل ضمیمه زیر نیز میتوانید استفاده کنید.

 

ضمیمهاندازه
qhremkido.rar63.82 کیلو بایت
تعداد امتیازدهندگان: 6768
مسیر کوتاه: rangine.ir/node/37