Virus Net-Worm.Win32.Kido.ih

Résolu
spedy34 -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Je suis sur un serveur Windows 2016, il est protégé par un Kaspersky en version 11.0.0.6499
Kaspersky me détecte un virus Net-Worm.Win32.Kido.ih impossible de le supprimer.

Voici ce que j'ai fais :
- Analyse Kaspersky
- Analyse Malwarebytes
- Analyse Kidokiller via l'outil de Kaspersky http://support.kaspersky.com/downloads/utils/kk.zip
- Vérification des processus et des logiciels au démarrage

Module : Protection contre les fichiers malicieux
Résultat : Détecté : Net-Worm.Win32.Kido.ih
Objet : C:\Windows\System32\arkwowe.i
Raison : Analyse des experts
Date de publication des bases : 27/12/2018 20:58:00
Hash : a8aaf7a150eb1778f21cb9f41ac0ed55914bb134221e3f0b0342e3ecdb2d58ca

Pouvez-vous m'aider svp ?

Configuration: Windows / Chrome 71.0.3578.98

3 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Kido = Conficker.
    Voir la fiche : https://forum.malekal.com/viewtopic.php?t=18758&start=

    Ca va par disques amovibles ou des services réseaux vulnérables.
    Certains variantes sont aussi capables de récupérer le mot de passe administrateur du domaine.

    Avant de désinfecter.
    Toutes les mises à jour de Windows ont été installées ?
    Car il suffit qu'un poste sur le réseau soit infecté pour réinfecter les ordinateurs vulnérables (non à jour).
    Donc ça va revenir et revenir.

    ~~

    Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

    Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST,
    Attendre la fin du scan, un message indique que l'analyse est terminée.

    Trois rapports FRST seront générés :
    • FRST.txt
    • Shortcut.
    • Additionnal.txt


    Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    (Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

    1
    1. spedy34
       
      Bonjour et merci pour votre réponse !

      Je vous joins les liens :
      addition : https://pjjoint.malekal.com/files.php?id=20181228_j14l11l7v9p15
      FRST : https://pjjoint.malekal.com/files.php?id=FRST_20181228_b11h11g5q6x13
      Shortcut : https://pjjoint.malekal.com/files.php?id=20181228_u14r9u12n14h15
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > spedy34
       
      Rien d'anormal sur les rapports.
      Soit il n'est ps actif, soit FRST ne l'affiche pas.

      Tu n'as pas répondu pour les mises à jour, toutes les mises à jour sont bien installées ?
      0
    3. spedy34
       
      Bonjour, oui les dernières mises à jour Windows sont bien installées.
      Le virus n'est pas actif puisque Kaspersky le bloque constamment.
      En fait un fichier malicieux se crée perpétuellement dans : C:\Windows\System32\arkwowe.i
      Il y a forcément un processus qui recrée ce fichier ?
      0
    4. spedy34
       
      Un autre serveur sur le réseau avec un Kaspersky installé se met en alerte...
      Il détecte et supprime un fichier au même endroit mais avec un nom différent : C:\Windows\System32\qjxvrp.qq
      0
    5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > spedy34
       
      Pareil ce serveur est à jour ?
      Je pense que tu dis avoir un ou plusieurs postes touchées qui tentent d'infecter les serveurs.
      Faudrait isoler ces postes t les désinfecter ou les réinstaller.

      Tu n'as pas d'autres alertes Kaspersky sur d'autres postes ?

      Je pense que le mieux est de contacter Kaspersky.
      Vous devez jouir d'un support, ils doivent avoir des outils pour les réseaux touchés par Conficker.
      0
  2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour à tous,

    Pour "conficker" et Kaspersky, voici de la documentation

    https://www.kaspersky.fr/about/press-releases/2009_kaspersky-lab-analyse-la-nouvelle-variante-du-programme-malicieux-kido--conficker

    https://www.kaspersky.fr/small-to-medium-business-security/virtualization-light-agent

    Tout ça, pour connaître et être tenu informé des suites entamées par spedy34

    Merci .
    Vœux de bonne santé à chacun.
    Albert

    0
  3. spedy34 Messages postés 95 Statut Membre 3
     
    Bonjour, je vous remercie tous pour vos réponses.

    Nous avons lancé une tâche depuis la console Kaspersky afin d'exécuter le programme Kido Killer sur chacun des postes. Après une longue analyse, le virus a été éradiqué sur les serveurs et sur les postes.

    Par contre, étant donné que la tâche s'est effectuée à distance avec le Kido Killer en arrière plan pour ne pas déranger les utilisateurs, il nous est impossible de savoir d'où a débuté l'attaque.

    Je vous souhaite une bonne année 2019 !

    Cordialement,
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Il suffit qu'un utilisateur ait branché un ordinateur portable infecté sur le réseau, il a pu ensuite attaquer des ordinateurs vulnérables.
      A partir de là, il reste en place tant qu'un seul ordinateur est infecté.
      Il faut mettre à jour tous les postes.

      Du coup, les serveurs ne sont plus touchés ?
      0
    2. spedy34 Messages postés 95 Statut Membre 3
       
      Les serveurs ne sont plus touchés et tout le monde est à jour :)
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > spedy34 Messages postés 95 Statut Membre
         
        Super, peut-être qu'il faudrait changer les mots de passe du domaine, par sécurité =)
        0