» Эпидемия червя Kido, Conficker, Downadup

KidoKiller v.3.4.5
http://data2.kaspersky.com:8080/special/KK_v3.4.5.zip

Предлагаю добавить эту программку:
(чистит всевозможные кеши/темпы и т.п.)



http://www.atribune.org/ccount/click.php?id=1

от этого вируса есть и огромная польза
он подтолкнул и меня и юзверей к мысли о том что пора кончать с демократией в сети и наводить порядок

трудно конечно когда ты один на 30 компов и программист, и админ, и руководитель отдела, и снабженец, и электронщик ......

так что вирус стал тем самым кнутом, а пряником стал инет в сетке
в итоге все согласны на ограничения

to anpsoft

Тебе трудно? Да у тебя просто РАЙ!

У меня в подчинении 4 Домена... Два с количеством пользователей по 60 шт., в ещё в одном - 20, и ещё в одном - 20... Да, и заметь, тоже на меня одног...

anpsoft
Tempter
Чесслово - чуть не расплакался...
Я знаю — город будет, Я знаю — саду цвесть, когда такие люди в стране советской есть! (с) Маяковский

теперь заметь что именно админом я не был лет 17 как работаю на этом месте
и желания мало
просто этот вирус этой зимой вынудил что то менять
в ущерб любимому делу - программированию

Бог в помощь и батник в SFX архиве))

Всем известный VRT (virus removal tool) сделал sfx архивом, с командной строкой.

1. Распаковываеться по пути @:\Program Files\www.admindays.ru\Virus Removal Tools 14.04.09.
2. Создаёт два ярлыка на рабочий стол Virus Removal Tool (cmd) и Virus Removal Tool (gui).
3. Стартует батник с параметрами is-BPI3U.exe SCAN -e:10 -es:100 /memory /startup /fixdrives /remdrives /i3 /fa /iChecker=on /iSwift=on
-----------------------------------------------------------------------------------
3.1 -e:10 (проверка файла не более 10 сек)
3.2 -es:100 (проверяемый файл не более 100 мб)
3.3 /memory /startup /fixdrives /remdrives (скан память, область загрузки, hdd, removable)
3.4 /i3 (Если найден, лечить, не лечиться, удалить)
3.5 /fa (проверка всех файлов)
3.6 /iChecker /iSwift (включение спец. фильтров проверки)
-----------------------------------------------------------------------------------

Кому нужно или хочет глянуть скачка тут http://www.admindays.1gb.ru/uploads/files/VRT[14.04.09].exe

P.S: Базы от 14.04.09, перепакуйте для себя сами ))

Цитата:

У меня так службы на серверах так и не поднялись, помогла переустановка, востановление системы не дало никаких результатов.

Как я тебя понимаю у меня после лечения куреит и установки пачей, была таже проблема помогла переустановка

Ещё вопрос kido пытается отправить спам, но почтовый сервак их блокирует, через что он пытается отправить и как?

gbi1
Логи есть? как определил что кидо?

Точно кидо только он тут гуляет и спам рассылает, создает такую очередь сообщений что сервак уходит в мир иной, не могу отследить как он это делает. сообщение просто появляется из не откуда в очереди.
вот лог mail.

[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowpoke5@ipa.net>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowraising@surfree.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cows34@hotmail.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cows4@bellatlantic.net>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cows4uus@juno.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowsgomoo094@hotmail.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowsillfan@aol.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowsillfan@gmail.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowsillmarathons-unsubscribe@yahoogroups.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowsrus@cam-walnet.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowthief@juno.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowwhip@hotmail.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cox.339@osu.edu>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue

Всем добрый день.
Хочу поделиться как мы воевали с КИДО.
1. отключаем сетевой кабель от компа.
2. меняем пароли на устойчивые к подбору, то бишь буквы в верхнем и нижнем регистре + цифры + знаки различные. Особенно касается смена паролей админских записей.
3. устанавливаем заплатки от MS KB958687, KB958644, KB957097.
4. используем утилиту от Касперского, KidoKiller.exe, она бесплатна и найти её можно на оф. сайте, которая сканирует систему на предмет наличия живого или мёртвого вируса, с последующим его уничтожением.
5. используя специальный РЕГ. файлик, отключаем автозапуск с CD и Flash носителе. Вот его содержимое для Win XP:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

6. Устанавливаем антивирусную программу. У нас использовался НОД32 которому после установки скармливали свежие, локальные антивирусные базы.

После этого перегружаемся и подключаемся к сети.

P.S. Мы ипользовали локальные антивирусные базы, так как пока не будет обновлён антивирус до актуального состояния, толку от него будет мало. Вот. Для НОДа такие бызы можно сделать с помощью программы n32upgen.exe, на компьютере где антивирус обновлён, а для Касперского базы можно скачать с их сайта. Другие антивирусы не рассматривались, ввиду своей несостоятельности справиться с КИДО.

а как насчет w2000 , подвергаются уязвимости или нет ?

vovanj7
Да, подвергаются. Причем даже с SP3.

Product: Антивирус Касперского 6.0 для Windows Servers
версия 6.0.3.830
Operation system: Microsoft Windows 2000 Standart Server Service Pack 4 (build 2195)
Computer: *****
Domain: ***

Notifications:
    Критическое событие:25.03.2009 11:53:35    Файл c:\winnt\system32\uspphezr.dll, обнаружено: вирус 'Net-Worm.Win32.Kido.ih'.

ага, пасиб

У KK есть ключи. Используйте их и не понадобятся лишние действия с реестром, по крайней мере их будет меньше.

А у нас в организации он смог проникнуть только на 2000. На XP не пролез даже без известных патчей. Да и на 2000 не на все смог. Почему, не ясно.

gbi1
похоже, конфикер тебе подсунул "Waledac spambot" , который и рассылает спам. просканируй этим или этим

Это что? https://dl.getdropbox.com/u/930700/sshot-2.png
Антивирус рабочий обновляется каждый день.Проверено KidoKiller 3.4.6 Все ОК

konungster

Самое интересное что на выходные активности нет как только рабочий день все включают компы и рассылка пойдет, только хз с какого компа он это делает.

Добавлено:
Ещё лично на моем компе, установлены все заплатки, ну весь набор, всем чем можно проверял, отключает диспетчер очереди печати. как.

gbi1
напиши что у тебя за сервера (почтовый какой)? ISA есть?
надо попробовать снифер сети например (Microsoft Network Monitor) , и глянуть сетевую активность портов (110,25) , и выяснить откуда лезет зараза.

Есть одна сетка - тот еще рассадник нечисти (занятся ею пока некому). К инету не подключена никак.
В сетке есть Server 2003. В Феврале на нем стали появляться rundll.
Поставил 3 заплатки 958644, 957097 и еще какую-то. Обновил Spider. Все прекратилось. Левые rundll перестали появляться. И всё забылось...

На прошлой неделе на сервер было не залезть
Обнаружил истекший ключ спайдера. Обновил ключ, запустил KidoKiller - он нашел потоков 5 заразы и файл.dll.
Поставил SP2, заплатки 942288, 958690, 959426, 961063, перегрузил вроде ОК. На след. день KidoKiller нашел 2 потока и файл.dll
Сегодня после выходных KidoKiller нашел 132 Job, а Spider убил за это время 135 файлов.

На сервер доступ только по RDP,SQL,SharedFolders. Из расшареных папок на сервере ничего не пускается, да и FileExecute из них запрещен.

Не могу понять почему на Этом сервере Заплатки Не Действуют ?

(PS. LiveCD - будте только как крайняя мера.)

Funtik_Vintik
пароли смени учеток всех, в безопасном сканировал? попробуй еще проверить с windows-kb890830-v2.9
,по началу быструю проверку,а потом полностью
ну и сеть проверь вот батник

@echo off
\\comp1\Pc\psexec.exe @\\comp1\Pc\comp.txt -u домен\учетка -p пароль -c -d -s -n 10 \\comp1\Pc\MRT\windows-kb890830-v2.9.exe /q copy
где
comp.txt это список имен либо ip обычный в столбик.

VEnZ0ja
890830 качну, проверю.
В сети домена нет. А на клиентских компах kido точно есть. А при таких юзерах лечить - время тратить.

Цитата:

пароли смени учеток всех

то что Kido подбирает из списка слышал, но он ведь их не взламывает вроде ? А там всего 2 админских учетки. Хм...должно быть.... надо бы проверить....

вот интересная статейка в PDF ОТ Symantec
http://www.anti-malware.ru/files/Downadup(aka_Conficker).pdf
3/5 мегабайта
так же видео о Kido ) и не только)
http://www.cbsnews.com/video/watch/?id=4908267n

Цитата:

Сегодня после выходных KidoKiller нашел 132 Job, а Spider убил за это время 135 файлов.

Может стоит поменять антивирь на серваке?


Добавлено:

Цитата:

Сегодня после выходных KidoKiller нашел 132 Job, а Spider убил за это время 135 файлов.

Может стоит поменять антивирь на серваке?

StasKarabas

Цитата:

Может стоит поменять антивирь на серваке?

А может просто настроить... Например, НОД с настройками поумолчанию только радостно орет и ничего не делает...

Хочу поделится. Повелся на новость: "BitDefender представил утилиту для обезвреживания вируса Conficker", попался комп с симптомами Kido-Conficker, вышеупомянутая утиль отработав сообщила об отсутствии заражения, после неё прошелся kidokiller-ом от каспера - результат: несколько зараженных процессов в памяти и еще много чего-начались открываться сайты ранее не открывавшиеся но не все. После установки обновления от MS вытер из hosts еще с десяток привязок yandex-a, в контакте и т.п. к левому айпишнику.
На машине накануне была переустановлена операционка - поставили "Зверя" судя по надписям с SP3. NOD ESET 3й поставили ч-з час после установки ОС. Так что выходит и SP3 заражается, хотя при установке обновления должно же было сказать что не надо его? Вот такие наблюдения.

Предлагаю вариант укрепления защиты от Кидо.
Глобальные политики (локальные политики) – конфигурация компьютера – конфигурация виндовс – параметры безопасности – локальные политики – назначения прав пользователя –
1.Отказывать во входе в качестве пакетного задания – добавить идентификатор Сеть(S-1-5-2)
2.Отказывать во входе в качестве службы - добавить идентификатор Сеть(S-1-5-2)
(все пользователи входящие через сетевое подключение включая администраторов не смогут добавить и запустить задание в шедулер и службы, в интерактивном режиме – консоль и терминальный вход можно.)
3. Глобальные политики (локальные политики)– конфигурация компьютера – конфигурация виндовс – параметры безопасности – файловая система –
%SystemRoot% и %SystemRoot%\sysytem32 (так как не наследуются права) –
Добавить права доступа NTFS идентификаторы
Сеть(S-1-5-2) разрешения все снять, запрет на запись.
Пакетные файлы(S-1-5-3)(Группа, в которую входят все пользователи, вошедшие в систему с использованием средства пакетной очереди. Пример планировщик задач.) разрешения все снять, запрет на запись.

(невозможность записи по сети и запущенными в планировщике задачами в системной папки, в интерактивном режиме – консоль и терминальный вход можно.)
4. Глобальные политики (локальные политики)– конфигурация компьютера – конфигурация виндовс – параметры безопасности – реестр –
MACHINE\SYSTEM\CurrentControlSet\Services – добавить идентификатор Сеть(S-1-5-2) разрешение пусто, запрет всех изменений в реестре.
Ваше мнение, какие могут быть негативные последствия?

userrus
Остановите распространение вируса-червя Conficker с помощью групповой политики
http://support.microsoft.com/kb/962007/ru


Добавлено:
userrus
Остановите распространение вируса-червя Conficker с помощью групповой политики

http://support.microsoft.com/kb/962007/ru