» Эпидемия червя Kido, Conficker, Downadup

Добрый день -есть очень большая проблема-не знаю выхода:

вирус kido гуляет по сети
в сети используется Антивирус Касперского 6 - корпоративный (управляемый с сервера)

что у меня происходит

при перестановке ОС Windows раб станция с Windows XP вначале подключается к сети и входит в Домен -затем с сервера идет установка клиента Касперского

пока идет установка kido уже проникает

как поставить клиента не по сети я не знаю - и не хотел бы использовать др способо

в результате все компьютеры которые я форматирую и устанавливаю все заново - так же возвращаются с вирусом( ((

как решить вопрос -не знаю

очевидно -надо найти что то чтобы мешало до установки клиента Касперского проникновению kido на раб станцию

возможно например использовать 2 антивируса временно -но вопрос -какой антивирус более менее нормально сосуществует вместе с Касперским хотя бы полчасика

Как решить эту задачу

не знаю как отформатировать компьютер и поставить без вируса(

короче -совсем нет мыслей

Добавлено:
буду благодарен за любые дельные советы

Добавлено:
да -ОС Windows XP SP3

вопрос знатокам - точно после SP3 нет заплаток или патчей против kido?

100_let
Цитата:

вопрос знатокам - точно после SP3 нет заплаток или патчей против kido?

Против кидо должны быть поставлены 3 заплатки
MS08-067 (KB958644)
MS08-068 (KB957097)
MS09-001 (KB958687)
Они ставятся уже после SP3. Т.е. наличия SP3 недостаточно.

Цитата:

вирус kido гуляет по сети

сеть большая? На скольких компьютерах планируется переустанавливать Windows XP?

Цитата:

как поставить клиента не по сети я не знаю - и не хотел бы использовать др способо

можно локально и обновиться с флешки (правильно подготовленной) или из копии сетевой директории. Насчет второго способа точно не уверен.

Mushroomer
Спасибо за ответ -еще интересует мнения по поводу патчей - на SP3 -то есть после SP3 -а то у меня этот SP3 точно никаких путей не закрывает
Mushroomer
я очень доверяю -просто хотел бы услышать еще мнения

Добавлено:
Все время на сайте microsoft читаю примерно следующее


Цитата:

Operating System Maximum Security Impact Aggregate Severity Rating Bulletins Replaced by this Update
Microsoft Windows 2000 Service Pack 4
Remote Code Execution
Important
MS06-063

Windows XP Service Pack 2
Remote Code Execution
Important
MS06-063

Windows XP Service Pack 3
Remote Code Execution
Important
None

то есть получается , что официально нет заплатки после SP3?

100_let
http://support.microsoft.com/kb/962007/

я же логично рассуждаю -если все необходимые заплатки закрывают возомжность проникать kido а при XP SP3 проникает моментально -это означает, что XP SP3 не содержит необходимых заплаток

хотелось бы как можно подробнее в этом разобраться

100_let
http://forum.kaspersky.com/index.php?showtopic=101154

Цитата:

1) Обязательно установите все 3 патча от MS:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
http://www.microsoft.com/technet/security/Bulletin/MS08-068.mspx
http://www.microsoft.com/technet/security/Bulletin/MS09-001.mspx

Во всех 3 статьях в пункте Affected Software указаны
Windows XP Service Pack 2    
Windows XP Service Pack 3
Из всего вышеперечисленного следует однозначный вывод: в самом SP3 заплаток против кидо НЕТ

Цитата:

я же логично рассуждаю -если все необходимые заплатки закрывают возомжность проникать kido а при XP SP3 проникает моментально -это означает, что XP SP3 не содержит необходимых заплаток

хотелось бы как можно подробнее в этом разобраться

Нет в SP3 эти заплаток. Сначало надо отключить или полечить заражённые машины - сканируем http://www.mcafee.com/us/enterprise/confickertest.html, поставить заплатки (можно ставить через psexec, подробно написано на первых страницах - смотрим версию для печати) и прогнать kidokiller-om "Удаление сетевого червя утилитой KK.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit." http://support.kaspersky.ru/viruses/solutions?qid=208636215. А так ставь не ставь антивирус, без заплаток не поможет.

Mushroomer
XINSIDE
Спасибо больше за содержательные ответы

Вопрос:

какой способ могли бы порекомендовать чтобы вычислить откуда еще идут атаки kido -с какого компьютера?

потому что вроде как охватил всю сеть - сегодня закончил последние компьютеры -хочу теперь понять идут ли атаки и если идут знать откуда

100_let
В доменной сети это элементарно. В логах секьюрити доменных контроллеров постоянный неудачный логон несколько раз в секунду. Смотрим источник и видим зараженную машину.

Добавлено:
Да, ставим идеал админ, и делаем инвентаризацию на предмет таск шедулеров. На зараженных или бывших зараженных присутствуют таски с названиями At1, At2 и так далее. Таски удалить, машины проверить.

Добавлено:

Цитата:

Удаление сетевого червя утилитой KK.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit

Не надо ничего разворачивать, особенно, если используется другой антивирь. Делаем батник типа

Цитата:

@ECHO OFF
psexec.exe \\* -u domain\admin -p password \\shara\kk.exe -y -s -j -t -a -z -r
exit

Ключи могли измениться, не суть.

100_let


Цитата:

какой способ могли бы порекомендовать чтобы вычислить откуда еще идут атаки kido -с какого компьютера?

mcafee conficker detection tool __http://www.mcafee.com/us/enterprise/confickertest.html
очень помогла )) (до это использовали nNmap - тоже не плохая вещь)

удобно показывать на каких машинах завелся кидо, в нормальной графической оболочке

icea
можно ссылку другую для
Цитата:

mcafee conficker detection tool

ofj
Цитата:

можно ссылку другую для

яндакс - найдется все. В самом низу страницы http://darkwood.in.ua/data/vir/#start
Правда уверенности, что версия этого mcafee conficker detection tool совпадет с версией с официального сайта - нет

ofj
вот держи http://rghost.ru/642870

Mushroomer
как узнать в каком компе очаг? в сети около 200 машин

можно попробовать nmap просканить сеть
nmap.exe -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 192.168.1.0/24 >>report.txt

garbals

Цитата:

nmap.exe

откуда взять?

ofj
У тебя домен? Забиваешь нужные IP адреса и сканишь

Вилечить сеть из 100 машин XP+сервер2003 от этой гадости смог только Symantec Antivirus Corporate Edition 10.1.9.

Цитата:

ofj

http://www.mcafee.com/us/enterprise/confickertest.html

правда тут нуно зарегится (думаю не проблема)

freeman440
Цитата:

вот держи http://rghost.ru/642870

По твоей ссылке версия 1.04
а
Цитата:

http://darkwood.in.ua/data/vir/#start

и http://www.foundstone.com/us/resources/freetools/conficker_detection_tool_v108.zip версия 1.08

Mushroomer
icea
freeman440
Огромное СПС!

estornino

То что нортон не видит остатков кидо - не значит что их нет,
кроме того раз уж ваши 100 машин заразились - профилактикой вы так и не озаботились?

В общем такая ситуация. Организация (4 подсети, где то 200 компов), доменная структура сети, у всех стоит НОД32 v3.0 обновления вроде есть(Пишет что обновляется), у всех стоят пачи KB957097, KB958644, KB958687. В свое время гулял Конфикер, админ который отвечал за это дело утверждал что его побороли, однако у мну сомнения есть (Новые компы, если не ставить пачи заражались, знач кто то все таки заразу по сети слал). Где то дня 3 назад компы начали массово вываливатся из домена начали разбиратся. Оказалось что останавливаются службы (Не всегда все, временами только какая нить одна. Никакого порядка в остановке не заметил):

Локатор удаленного вызова процедур RPC
Сетевой вход в систему
Служба обеспечения сети

Поведение очень похоже на конфикер, но не те службы (Раньше тухли Сервер и Рабочая станция). Один из предположительно больных был забран проверены пачи (Оказалось стоят), прогнан 3м НОДом и 10м Каспером (Базы обновлялись сразу перед сканированием) оба сказали что чисто. На всякий случай скачал с каспера последний КК и прогнал им - ЧИСТО.

Уверен на 90% что это вирь, но немогу ни поймать ни как то убедится. Поставил Оутпост Ничего явно критичного невижу Разве что много обращений по 137/138 порту тогда как служба "Обозреватель компютеров" выключена. Оставил "Предположительно больного" у себя включеным стоит Аутпост поглядую.

У "Предположительно больного" была попытка стукнутся на igmp.mcast.net (однократная за часса так 3-5)служба Н/А.

Так же было 2 попытки что то отослать на мой комп (поставил на свем Аутпост тоже слежу за пакетиками на 2х компах) на порты 4195, 4196. Интересно то, что пришли пакеты с интерфейсов неиспользуемой ВМВари на одном из серверов. Ща рою что нить в этом направлении.

Вроде все касающееся проблемы описал.

phantomua
Рекомендую сетевую утилиту
_http://www.mcafee.com/us/enterprise/confickertest.html

плюс залочить ветку svchost, ссылки на свою инструкцию я давал выше..

Камрады, у кого проблема с указанными вирусами или ещё с чем - добро пожаловать в эту тему. Обращайте внимание на правила, они пока в первом посте, но вскорости оформятся в виде шапки. будем рады Вам помочь!

Никто не сталкивался, что после лечения от Kido к управлению службами нет доступа?
Лечил несколько зараженных компьютеров в сетке, пробовал и kk от Kaspersky, и CureIT, и Ad-Aware - все успешно убивают, но при запуске возникают следующие проблемы:
- windows desktop search ругается и предлагает переустановиться
- Catalyst Control Center не запускается, говоря, что не достаточно прав
- под локальным администратором нельзя подключиться к службе управления дисками и посмотреть зависимости служб (недостаточно прав)
- под локальным пользователем не открывается explorer.exe, точнее он запускается, но через полминуты процесс завершается без ошибок и записей в журнале. Повторный запуск приводит к тем же результатам.

Kukuev
странно, возможно ещё какая-нибудь дрянь кроме кидо сидит?
попробуй также выполнить
Цитата:

kk.exe -z -j

попробуй также по этой проблеме обратиться сюда

Нет, никого больше замечено не было
С параметром -z запускал - не помогло. С -j попробую завтра, но надежды мало, т.к. это восстановление SafeMode. Я уже в avz запускал "восстановление системы".

Kukuev
попробуйте вот это genericrepairreg

народ, когда то скачал отсюда пакет "лечения" КИДО. там был скрипт, при запуске автоматом установил заплатки (kb)..
может подскажите откуда скачать, а то лень каждую по отдельностю ставить на компы.