Virus Net-Worm.Win32.Kido.ih [Résolu]

-
Bonjour,

Je suis sur un serveur Windows 2016, il est protégé par un Kaspersky en version 11.0.0.6499
Kaspersky me détecte un virus Net-Worm.Win32.Kido.ih impossible de le supprimer.

Voici ce que j'ai fais :
- Analyse Kaspersky
- Analyse Malwarebytes
- Analyse Kidokiller via l'outil de Kaspersky http://support.kaspersky.com/downloads/utils/kk.zip
- Vérification des processus et des logiciels au démarrage

Module : Protection contre les fichiers malicieux
Résultat : Détecté : Net-Worm.Win32.Kido.ih
Objet : C:\Windows\System32\arkwowe.i
Raison : Analyse des experts
Date de publication des bases : 27/12/2018 20:58:00
Hash : a8aaf7a150eb1778f21cb9f41ac0ed55914bb134221e3f0b0342e3ecdb2d58ca

Pouvez-vous m'aider svp ?


Configuration: Windows / Chrome 71.0.3578.98
Afficher la suite 

3 réponses

Messages postés
171081
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 octobre 2019
17648
0
Merci
Salut,

Kido = Conficker.
Voir la fiche : https://forum.malekal.com/viewtopic.php?t=18758&start=

Ca va par disques amovibles ou des services réseaux vulnérables.
Certains variantes sont aussi capables de récupérer le mot de passe administrateur du domaine.

Avant de désinfecter.
Toutes les mises à jour de Windows ont été installées ?
Car il suffit qu'un poste sur le réseau soit infecté pour réinfecter les ordinateurs vulnérables (non à jour).
Donc ça va revenir et revenir.

~~

Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

Un autre serveur sur le réseau avec un Kaspersky installé se met en alerte...
Il détecte et supprime un fichier au même endroit mais avec un nom différent : C:\Windows\System32\qjxvrp.qq
Malekal_morte-
Messages postés
171081
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 octobre 2019
17648 > spedy34 -
Pareil ce serveur est à jour ?
Je pense que tu dis avoir un ou plusieurs postes touchées qui tentent d'infecter les serveurs.
Faudrait isoler ces postes t les désinfecter ou les réinstaller.

Tu n'as pas d'autres alertes Kaspersky sur d'autres postes ?

Je pense que le mieux est de contacter Kaspersky.
Vous devez jouir d'un support, ils doivent avoir des outils pour les réseaux touchés par Conficker.
Effectivement je compte contacter Kaspersky si le problème persiste...
Les postes clients ne semble pas être touchés. Seulement les serveurs et pourtant ils ont les dernières mises à jour.
Malekal_morte-
Messages postés
171081
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 octobre 2019
17648 > spedy34 -
ok bon courage, tiens nous au courant !
Merci Malekal pour ton aide, je ne manquerai pas de tenir au courant !
Commenter la réponse de Malekal_morte-
Messages postés
10608
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
17 octobre 2019
594
0
Merci
Bonjour à tous,

Pour "conficker" et Kaspersky, voici de la documentation

https://www.kaspersky.fr/about/press-releases/2009_kaspersky-lab-analyse-la-nouvelle-variante-du-programme-malicieux-kido--conficker

https://www.kaspersky.fr/small-to-medium-business-security/virtualization-light-agent

Tout ça, pour connaître et être tenu informé des suites entamées par spedy34

Merci .
Vœux de bonne santé à chacun.
Albert


Commenter la réponse de afideg
Messages postés
55
Date d'inscription
dimanche 23 janvier 2011
Statut
Membre
Dernière intervention
23 août 2019
0
Merci
Bonjour, je vous remercie tous pour vos réponses.

Nous avons lancé une tâche depuis la console Kaspersky afin d'exécuter le programme Kido Killer sur chacun des postes. Après une longue analyse, le virus a été éradiqué sur les serveurs et sur les postes.

Par contre, étant donné que la tâche s'est effectuée à distance avec le Kido Killer en arrière plan pour ne pas déranger les utilisateurs, il nous est impossible de savoir d'où a débuté l'attaque.

Je vous souhaite une bonne année 2019 !

Cordialement,
Malekal_morte-
Messages postés
171081
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 octobre 2019
17648 -
Il suffit qu'un utilisateur ait branché un ordinateur portable infecté sur le réseau, il a pu ensuite attaquer des ordinateurs vulnérables.
A partir de là, il reste en place tant qu'un seul ordinateur est infecté.
Il faut mettre à jour tous les postes.

Du coup, les serveurs ne sont plus touchés ?
spedy34
Messages postés
55
Date d'inscription
dimanche 23 janvier 2011
Statut
Membre
Dernière intervention
23 août 2019
-
Les serveurs ne sont plus touchés et tout le monde est à jour :)
Malekal_morte-
Messages postés
171081
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 octobre 2019
17648 > spedy34
Messages postés
55
Date d'inscription
dimanche 23 janvier 2011
Statut
Membre
Dernière intervention
23 août 2019
-
Super, peut-être qu'il faudrait changer les mots de passe du domaine, par sécurité =)
Commenter la réponse de spedy34