» Эпидемия червя Kido, Conficker, Downadup

dmention
Была у меня такая ситуация, помогло - заново перенастроил сервер (DHCP, DNS настроил заново), судя по всему Вы удалили не только зловред, но и необходимые библиотеки (возможно и что-то из реестра).

Adek
Насчет портов, у меня домен (100 машин), где проводилось лечение заодно и блокировались порты, пока никак проблем нету..

sumchanin_Yuri
Я удалил только Касперским файл из Docs&Sets и KidsKiller'ом вылечил файл в System32 и он же поправил 2 или 3 ключа в реестре.

Скорее всего либо вирус прописал себя в какой то файл, например в explorer.exe или он сидел в том процессе, который я остановил (SVCHOST), а он был нужен. Может так?

Еще у меня служба Manager Network не запускается. Нужна ли она и что это за служба?

dmention

Цитата:

KidsKiller'ом

это что?

Цитата:

Еще у меня служба Manager Network не запускается. Нужна ли она и что это за служба?

У меня такой службы вообще на сервере нет (у меня 2003 R2) Попробуй в коммандной строке набрать sc query получишь гораздо больше информации...

Цитата:

KidsKiller'ом

это наверно KidoKiller от Лаборатории Каперского
Цитата:

Manager Network

обозреватель компьютеров ?)

TokImota
Вот-вот и я об этом - Manager Network ни в Windows XP, ни в WindowsServer 2003 в упор не видать, может речь шла о Netman (Network Connections или Сетевые соединения)?! Так тогда надо смотреть, что там в событиях пишется...

Странно многие пишут, о том, что kidokiller ничего не находил у них, правда не уточняли какую версию использовали (1, 2 или 3), а dmention вообще не написал какой версией он пользовался

sumchanin_Yuri
у меня kidokiller находил (версия 2, 3-й пока не успел посмотреть зараженные машинки) разновидность kido.fa , но проблема в том что убьет.. но потом снова появляется если расшарены административные ресурсы..т.к. пароли локальных админов на всех рабочих станциях одинаковы..и он видать зацепил у кого то его (хотя пароль далеко не стандартный) и вот после этого хоть ставь патчики и апдейты и все возможное, имея доступ к админским шарам сложно побороть(начинает распространяться совершенно легальным способом ) когда сеть в 300 пк , поэтому пока закрываем админские шары и душим уже локально с апдейтами от микрософта и антивируса.
кстати, на что может повлиять закрытие 445 порта в домене? как на раб станциях так и на серверах, включая КД ?

Был вирь - небольшая сетка. Сейчас долечиваю, ибо выключить все компы одновременно не удается.
Мое имхо:
- после массового наката 3 патчей от MS распространение виря и заражение
компов прекратилось ( либо у виря просто наступил период спячки и он свернул
активность, чтоб потом вернуться );
- надо сразу поменять все простые пароли, неважно на доменных или локальных учетках.
Серьезное заражение происходило как раз на таких компах, на остальных отделались
легким испугом.
- ботов(зараженные компы) в сетке выявлял так: создал шару для everyone, в netview
монитором подключений определял кто туда пишет файлики khs и <какойнибудь>.exe
(момент записи оперделялся по логу антивируса).
Потом пробежался по компам поудалял вручную файлы и полная проверка cureit
при отключенной сетке .
Но есть опасения что это только затишье перед новой вспышкой активности виря

sumchanin_Yuri

Я вчера отправлял сообщение, оно почему-то не сохранилось...


Цитата:

Цитата:KidsKiller'ом
это что?

Это я заработался. Конечно же Kidokiller.exe утилитка от Касперского. Версия 2.

У меня в "управление компьютером -> службы" есть служба "Manager Network". Описания у нее нет. Есть только гиперссылка запустить. При нажатии выдается сообщение об ошибке. В свойства тоже заглянуть не удается, пишет что-то типа "не найден соответствующий раздел реестра или в реестр внесены некорректные данные".

Поэтому что это за служба сказать не могу. Может кто знает?

В сети 50 машин. Атаки зафиксированы где-то с 20 (включая сервер). Почистили машины KidoKiller'ом, поставили обновления c рабочих станций атаки прекратились.

С сервера продолжались пока я не вырубил вышеописанный процесс SVCHOST. После этого атак не было. Но на сервере при попытке выйти в "сетевое окружение" и далее во "вся сеть" выдается сообщение, что "сеть не запущена или отсутствует". Хотя с рабочих станций сервер доступен.

Мужики выложите пожалуйста все нужные обновления на зеркале каком нибудь? (Для русской винды ХП СП2)
А то меня майкрософт на скачку не пускает...

Если не трудно конечно )))

Мой комплект для борьбы с "кидо":
http://narod.ru/disk/5344991000/!!Anti-Kido!!.rar.html

ingvar1972

Спасибо друк, скачал!

А какая последовательность? И насколько это тебе помогло? )

У меня парк машин около 200 вместе с серваками...

Texnar_POLITEX
Там cmd-файлы с номерами. Два под номерами "1" различаются только под сервера и рабочие станции.

Цитата:

А какая последовательность? И насколько это тебе помогло? )

Лучше предохраниться, чем лечить! Я следил за этим действительно выдающимся достижением в вирусописании практически с самого начала и поэтому сумел "предохраниться". Теперь система (180 машин) довольно-таки защищена - за последнюю неделю отбито 8 внешних попыток заражения системы.

Texnar_POLITEX
Все обновления для XP в соседнем топике вот они . Для полного комплекта ещё предлагаю использовать скриптик anti_kido тутечки очень интересное идет обсуждение. Texnar_POLITEX советую прочитать, кроме того утилиту anti-downadup (от Bitdеfender) там же и описание есть правда на английском.

dmention

Цитата:

У меня в "управление компьютером -> службы" есть служба "Manager Network". Описания у нее нет. Есть только гиперссылка запустить. При нажатии выдается сообщение об ошибке. В свойства тоже заглянуть не удается, пишет что-то типа "не найден соответствующий раздел реестра или в реестр внесены некорректные данные".

судя по всему это и был сам вирус, с диска ты его удалил, а в реестре он остался. Я же приводил методику по очистке реестра смотри на предудущей странице... У меня сейчас на работе пока инет отключен , а то я бы мог по аське или ещё как то попытаться помочь, пишу пока из дома...

Цитата:

exnar_POLITEX советую прочитать, кроме того утилиту anti-downadup (от Bitdеfender) там же и описание есть правда на английском.

Firefox кричит на эту ссылку "Имеется информация, что этот сайт атакует компьютеры!"
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=ru&site=http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html

ingvar1972

В чем заключается предохранение? поконкретнее плз...

sumchanin_Yuri

Как удостовериться, что вирус очищен окончательно?


Не бросьте коллегу ))))

Цитата:

Firefox кричит на эту ссылку "Имеется информация, что этот сайт атакует компьютеры!"
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=ru&site=http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html

это сайт разработчика антивирусных программ

Texnar_POLITEX
На предыдущей странице попытался более подробно дать методику нахождения и удаления вируса (или проверки, что вирус вычищен).

Тоже поимели проблем по полной...

Чего только не делали... Все проблемы начались с того, что был блокирован WSUS...
1. Установили на все р/станции SP3 для Windows XP.
2. Потом рекомендованные обновления (вручную):
MS08-067 http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx
MS08-068 http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
MS09-001 http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx
3. Остальные - с WSUS'а.
4. Запретили автозапуск.
5. Удалили все задания из шедулера. Остановили его.
6. Из Recycler'а удалили все файлы.
7. Прошлись всеми возможными сканерами (от Eset'a, DrWeb'a, Kasper'a, Symantec...). Eset'овская находит крайне редко, KidoKiller - на большинстве машин. Симантековская и ДрВеб - ни разу... M$'ская - тоже ничего не находит...
8. На всех машинах включили брандмауэр.

Накал борьбы спал, но эпизодически всплывают отдельные проблемы...

Кой какие ссылки:
http://bishop3000.livejournal.com/105424.html?thread=2020304#t2020304
http://download.eset.com/special/EConfickerRemover.exe
http://www.myantispyware.com/2009/01/08/flash-disinfector-free-autoruninf-trojans-removal-tool/
http://support.kaspersky.ru/faq/?qid=208636215
http://support.microsoft.com/kb/962007
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml
Обсуждения:
http://forum.isuct.ru/cgi-bin/yabb/YaBB.cgi?num=1231756042
http://sysadmins.ru/topic221033-120.html

PS Кстати, KidoKiller обновился до 3.1.

В одной из контор установка KB 958644,958687,957097 на W2003 как позже выяснилось, похоже не помогла !
Недавно удаленные задания в планировщике появились вновь, под svchost'ом обнаружились запущенными десяток rundll.
Поставленный туда (одновременно с KB) DrwSpider отловил и удалил вновь появившиеся файлы, но как они туда опять по сетке залезли если патчи стоят ???? Непонятно

Цитата:

но как они туда опять по сетке залезли если патчи стоят ???? Непонятно

админские шары открыты? под администратором не мог попасть?

http://slil.ru/26620928 - утилиты от ESET и BitDefender, на данный момент помогли без перезагрузки

Доброе время суток. Хочу поедлиться своей историей) Выйдя в понедельник 2 февраля обнаружил странную вещь, на серверах были отключены парочка служб, таких как "Сервер", "Вторичный вход в систему", и еще какие-то, не помню). Начались обильные звонки юзверей, о том что у них не было доступа к расшаренным ресурсам. и то, что учетные записи блокируются. Далее KIS 8.0.0.454 начал выдавать сообщение Intrusion.Win.NETAPI.buffer-overflow.exploit (атака с определенного айпи адреса по 445 порту). Выяснилось, что это проделки вируса Net-Worm.Win32.Kido.fj. Вычитали статьи в интернете, и начали ставить заплатки KB958644, KB957097, KB958687, KB921883 и антивирь, где он не стоял, KIS 8.0.0.506. Дополнительно прибивали вирь утилиткой от касперского Kidokiller в безопасном режиме, далее опять прогон касперским. В принципе вирь убивался (c:\windows\system32\[произвольные символы].dll, c:\Document and settings\Юзверь\Local Settings\Temporary Internet Files\[произвольные символы].bmp или .jpg, c:\Recycler\....\[произвольные символы].vmx), но почему то на следующий день атаки с вылеченного компа возобновлялись. но не со всех. Помогала повторная проверка. А на сервере по началу вылетал процесс svchost, также в "Назначенных заданиях" появлялись и до сих пор поялвяются задачи At1, At2,.... (причем если посмотреть в свойства задачи, было видно запланированный запуск rundll32.exe [произвольные символы].dll каждый день и в определенное время). На сервере в журнале событий в Безопасности постоянно генерируются сообщения об отказе аутентификации, то есть как я понел вирь с зараженного компа пытается подобрать пароли с разными учетными записями в домене, причем по подсчету где-то 11 попыток в секунду. Короче борьба продолжается, и похоже займет еще не одну неделю... Может найдется какой-то универсальный метод

ZAnuX
Я привел как мне кажется именно универсальную методику вот тут дополнив ее методикой от самой Microsoft, согласно её рекомендацией...

можно на время сделать при логоне чтобы у пользователей запускался кидокиллер. только таким образом прекратили эпидемию + все методы с заплатками и антивирусами

sumchanin_Yuri
В принципе на счет рабочих станций мы разобрались, вот единственное это в связи с атакой возникшие косячки устранить осталось, во-первых, эти At1....10.job,которые после удаления все равно через какое-то время появляются, потом остановка некоторых служб, и невозможность их запуска в ручную...хотя на серваке вирусы были и они были удалены успешно, но как будто где-то что-то сидит еще.
А по поводу останова планировщика, ведь у мя там делаются бэкапы. и то, что порты перекрывать, наверное в доменной инфраструктуре будет некорректно, а может и корректно))

Добавлено:
TokImota
А по поводу того, чтобы при логоне у пользователей запускался кидокиллер, это хорошая идея, но тут не всегда кидокиллер помогает, тут лучше сочетание прогона кидокиллером и кисом и лучше в безопасном режиме...

ZAnuX
С этим трудно не согласиться
Цитата:

во-первых, эти At1....10.job,которые после удаления все равно через какое-то время появляются, потом остановка некоторых служб, и невозможность их запуска в ручную...хотя на серваке вирусы были и они были удалены успешно, но как будто где-то что-то сидит еще.

так имеет то же самое, лично у меня при первом обнаружении вируса 5 января (когда ещё не было ни описание толкового как его обнаруживать и уничтожать, почему и были использованы команды досовские) ничего не находилось приведенном в пункте 7 по рекомендациям MS, планировщик тоже пустовал (на рабочих станциях он не используется), потом через время смотрю появились задания в планировщике и то не на всех машинах...

Насчет планировщика - существуют куча куда лучших аналогов, с гораздо большими возможностями, может стоит их применять (nncron, xStarter)

У меня такое ощущение, что действия вируса не до конца изучены, где то он ещё закладывает "временные бомбы".

не подскажите, етот зверёк модифицирует исполняемые файлы на диске?

sumchanin_Yuri
Спасибо за совет!

В каком-то из обсуждений наткнулся на такой пост, что "на машинах, где установлен Avast, пользователи оказались лишены прелести лицезреть Kido и его последствия... " Поставил (для эксперимента) на свою рабочую машину в дополнение к NOD'у - после запуска сканера нашел в RECYCLER две копии вируса! И это после всех танцев с KidoKiller'ом и т.п....
Удалил не содержимое корзины, а саму корзину - задач в шедулере за полдня не появилось, посмотрим что будет дальше.

И еще, кого напрягают _само_ наличие задач - at /delete /yes. Можно рабочий день начинать с этого...

Доброе время суток господа. Дела такие, вроде бы думали что активность вируса понизилась, но не тут то было, теперь уже в C:\WINDOWS\System32\ появились файлы совсем с левыми расширениями, такими как .viv, .bm, также имя файла состоит из различного набора латинских букв. Все это было обнаружено KIS-ом 8.0.0.506. Не у кого не встречалось ли такое?