» Эпидемия червя Kido, Conficker, Downadup

pasha
А что такое: at /delete /yes.

VovaII
Это удаление всех запланированных заданий в планировщике.

ZAnuX

Цитата:

C:\WINDOWS\System32\ появились файлы совсем с левыми расширениями, такими как .viv, .bm

Такое может быть - у меня тоже было, методика посмотри приведенную комманду dir, к тому эту самую методику дополнил инструментарием, который позволит в дальнейшем избежать заражений... Я так надеюсь .

Часть компьютеров перестали обновляться после заражения Kido. Windows Update пишет Код ошибки: 0x8024D007. Служба BITS и Авто обновления запущены. Вручную обновить пробовал, рисует ошибку мол прав не достаточно. Кто нибудь сталкивался с такой проблемой?

Nezumiiro
Чтобы знать, что Вам посоветовать, надо знать, что Вы делали (как лечили). Судя по всему "недолечение". Проверьте по методике, ничего ли не осталось в реестре и не дай бог на диске.

Привет, пробежались ручками, не помогло... Пару серверов не долечили, по ходу они и разрушили труды наши....


Можно ли как нибудь централизованно, например через групповые политики, ПРИ ВКЛЮЧЕННОЙ СЕТИ, вылечить зараженную сеть?

Цитата:

Можно ли как нибудь централизованно, например через групповые политики, ПРИ ВКЛЮЧЕННОЙ СЕТИ, вылечить зараженную сеть?

можно, создать логон скрипт который будет запускать кидокиллер например , и всем ребутнуть компы , ну и соответсвенно пользователям указание ничего не закрывать при логоне.

Texnar_POLITEX
Цитата:

Можно ли как нибудь централизованно, например через групповые политики, ПРИ ВКЛЮЧЕННОЙ СЕТИ, вылечить зараженную сеть?

Я бы попытался средствами Админкита от Касперского
http://support.kaspersky.ru/wks6mp3/error?qid=208636215
1) ставится MSDE
2) ставится Админкит
4) делается пакет kidokiller и он накатывается на все компьютеры сети.

Не уверен надо ли на всех компьютерах ставить агент администрирования. Если нужно, то это будет пункт 3.

Mushroomer
Совершенно верно. Нужно поставить админ кит (я ставил по крайне мере у себя), предварительно поставив либо MSDE, либо SQL сервер..., либо выбрать имеющийся сервер в сети. Скачать кидокиллер 3.1 и в админ ките создать инсталляционный пакет, далее через админ кит инициировать установку на всех пк в сети. Подробная инструкция: http://support.kaspersky.ru/wks6mp3/error?qid=208636215

Добавлено:
сорри за дубляж)))

а если на локальных машинах вместо каспера стоит НОД32?

установка админкита на каком нибудь сервере поможет?

на одном из форумов проскользнула мысль, чтобы поставили расладку украинскую и провели все профилактические мероприятия ))))))))

Цитата:

на одном из форумов проскользнула мысль, чтобы поставили расладку украинскую

Да неужто помогает ?!!
А если серьезно, то развертывание админкита в сети совместно с последующей установкой на рабочих станциях агента администрирования во-первых безвредно для твоего Нода, а во-вторых действительно позволит тебе запускать удаленно задачи практически любого направления, в том числе и лечение сетки кидокиллером, на клиентских компьютерах.
И еще "весточка с фронта":

Цитата:

Корпорация Microsoft предложила вознаграждение в 250 тысяч долларов за информацию, которая поможет в поимке автора или авторов червя Downadup, известного также как Conficker и Kido. Об этом пишет Information Week.

Microsoft также договорилась о партнерстве с несколькими организациями, целью которого станет уничтожение червя. В этом корпорации помогут ICANN, Neustar, VeriSign, CNNIC, Afilia, Public Internet Registry, а также AOL, F-Secure, Symantec и академические исследователи.

Червю Downadup понадобилось всего несколько дней, чтобы заразить десять миллионов компьютеров. За последние пять дней, по данным компании Symantec, червь W32.Downadup.A в среднем заражал по 500 тысяч компьютеров в день, а W32.Downadup.B - по 1,7 миллиона.

Ботнет, образованный зараженными компьютерам, является одним из крупнейших в мире. Его размер во много раз превосходит одну из самых известных сетей такого рода - Storm. Его сложно остановить, в частности, из-за того, что ежедневно он псевдослучайным образом генерирует список доменов, которые могут быть использованы в качестве площадки для распространения и обновления.

Ну, и напоследок.
В январе, в самый "разгар боев" словил я этого зверя диковинного живым и поселил в старенький комп для проведения над ним всяческих опытов и экпериментов...

ingvar1972
Цитата:

развертывание админкита в сети совместно с последующей установкой на рабочих станциях агента администрирования

Так все-таки, агент администрирования надо ставить на локальные компьютера или достаточно будет одного Админкита? Ведь, если я правильно понял, инсталляционный пакет kidokiller создается от имени Админкита.

Подцепили эту заразу. Никак не побороть в сети около 100 машин. 10 серверов.
Что сделано в данный момент: на все сервера установлены заплатки, заменены пароли локальных администраторов. В домене отключены все пользователи с правами больше чем PowerUsers. ежечасно проверяем сервера различными средствами типа Kidokiller, итог один - вирус опять обнаруживается. Вопрос как он попадает в пропатченные машины?

Не получается вылечить как минимум 4 машины с XP
заплатки поставил, поставил сложные пароли на учетки, отключил от сети..
проверял: кидокиллером, др вебом, нодом, Microsoft Conficker removal tool, f-secure, спец утилитой от касперского
для профилактики отключил автозапуск и планировщик заданий
Все впустую - регулярно загружается на 100% процессор и др Веб сигнализирует об обнаружении kido..

Цитата:

Вопрос как он попадает в пропатченные машины?

закройте на период лечения админские шары admin$, с$

Я 3 дня боролся с этой гадостю, попогло только после переустановки оси установка всех обновлений безопасности с мелкософта. По одному не помогало. Ну и плюс нод но только после обновлений.

Снес AVAST! ( http://forum.ru-board.com/topic.cgi?forum=8&topic=30669&start=40#19 ), поставил Avira (+ NOD) - теперь этот антивирус нашел 2 копии вируса в System Volume Information... и это после всего...

mantopterabogomol
3 дня это ерунда, у мя уже две недели борьба идет, "спасибо" автару вируса, так как в сети 200 машин... К тому же переустановка оси конечно хорошо, но это не один два компьютера же, тут уже нужно более глобально думать)) а тем более на серверах что то мне не хочется переустанавливать оси... Пока что лучшее решение вижу для себя, это установка заплаток в ручную, потом уже в действие вступает админ кит с кидокиллером и кав6 фор воркстейшен с последними обновлениями... вроде пока помогает, атак стало меньше. Но заметил интересную вещь, сам вирус хоть и сидит на рабочих станциях (до установок заплаток и лечение антивирусом и кидокиллером), но не атакуют все разом, а с какой то переодичностью, причем изборочно, может один день с одной машины атаковать, там прибьешь его, на другой день с другой) во такие дела... ничего скоро мы его выживем с локалки, надеюсь

Некоторые факты из лечения kido: kidokiller v 3.1 антивирус каcперский (kav 7), активный, т.е работает:
Цитата:

completed
Infected files: 1
Infected threads: 2
Splices functions: 3
Cured files: 1
Fixed registry keys: 3

Второй случай - условия те же (вирус тот же), но установлен drweb 5, то же активный:
Цитата:

completed
Infected files: 1
Infected threads: 0
Splices functions: 0
Cured files: 1
Fixed registry keys: 0

Отсюда вывод - при лечении необходимо отключать все конкурирующие продукты (для kidokiller все антивирусы, кроме касперского), возможно для других утилит излечения kido это что-то другое и поведение будет другое.

Единственное, что печально, kidokiller v 3.1 из реестра удаление записей проводит не совсем коректно, по-крайнем мере для svchost - согласно рекомендаций MS после последней записи в параметре netsvcs должна быть пустая строке, а после лечения пустой последней строки нету. К чему это может привести одной MS известно

sumchanin_Yuri
Добро время суток. По поводу параметра в реестре, сколько я не смотрел, у меня не было параметра вообще netsvcs, причем смотрел на нескольких рабочих станция, с чем это может быть связано интересно...

sumchanin_Yuri
Хм.. забавно, сегодня попробую проверить

ZAnuX
Такое не может быть, поскольку не может быть никогда... Может ты не туда смотрел?! Эти записи будут по любому Проверь ещё раз, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost в нем же (т.е. никуда дальше не идешь) netsvcs (у меня 9 сверху).

Бороться нету больше сил... Редкостная пакость. Касперский его практически не ловит, вернее не успевает за появляющимися модификациями. Вирус чрезвычайно хитроумен, а все кто рапортует об успешных излечениях средствами типа kidokiller и пр. чудо утилитами - запустите на контроллере домена netstat -n -b и увидите количество svchost и lsass которые активно долбятся по всем возможным портам. Перекрытие портов тоже не решение, поскольку нужно закрывать ВСЕ (минут за 40 находит любой свободный порт и долбит дальше). Из решений (помимо форматирования диска) - установка бесплатного аваста и сканирование системы после перезагрузки (до старта большинства виндовых сервисов) и использование интеллектуальных механизмов свичей реагирующих на сетевые штормы (у меня зараженные машины лочаться на уровне свичей и не имеют сетевого подключения). После излечения неплохо помогает симантек с максимальным bloodhound и отключения доверия между компьютерами с установленным клиентом. Но если эта хрень пробилась - вылечить тяжко. А рапорт kidokiller о полном благополучии - всего лишь самоуспокоение (как и симантек antidowndup). Последние модификации сильно удивляют, поскольку помимо известных механизмов заражения через кэш IE и файл со случайным именем, обнаружил, что в system32 создается скрытый файл с именем системного (может быть .dll, .sys) и через svchost цепляется ко всем службам. Обнаружил с помощью gmer - указывающего на целый ряд зараженных процессов, которые объединяла одна зависимость с неким драйвером cryptopro (который в принципе живет в папке Program Files\RuToken). Судя по механизму запуска вируса, Касперскому видимо придется переписать полностью движок своей антивирусной защиты, прекратить проплачивать рекламные статьи и заняться делом. А то вчера плакался на изощренных вирусописателей. Тем, у кого NOD стоит - искренне сочувствую. Из всех корпоративных пакетов эту атаку более менее отработали только Симантек и Макафи (по поводу trend Micro не знаю, не попадался). Из домашних - эту чухню легко ловит и пришибает бесплатный аваст (коим уже лет пять пользуюсь).

dvdm
Прямо крик души..
В принципе согласен
Не знаю, упоминалось или нет, но эта дрянь помимо всего прочего может заражать графические файлы. Позавчера полная проверка др.вебом нашла на одном компе зараженный jpeg файл с вполне осмысленным именем..

Цитата:

Хм.. забавно, сегодня попробую проверить

Проверил на трех компах, различий не увидел..

Цитата:

но эта дрянь помимо всего прочего может заражать графические файлы

Что-то странное. Это действительно jpeg или только расширение?

Цитата:

Что-то странное. Это действительно jpeg или только расширение?

поторопился с выводом. Сигнатуру не проверял - антивирус настроен на автоматическое удаление
раньше не встречал информации, что вирус создает файлы с осмысленным расширением..

sumchanin_Yuri
Прошу прощения...А тут то я проверял HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, я просто еще где-то еще проверял, как было описано в каком-то топике форума) Но все равно хоть и были вирусы, но в конце небыло незнакомых служб( команд, или символов))

Добавлено:
dvdm
Фиг знает, фиг знает, я вот тоже устал уже бороться, 3-я неделя борьбы, а у меня только половину машин наверное из двухсот обезврежено...Хотя на которых и стоят заплатки и антивирусник, один фиг кидо лезет, и каспер его прибивает, в соновном он поселяется в System Volume Information... и Temporary Internet Files... (это после установок заплаток и лечение с помощью кидокиллер и каспера 6 фор воркстейшен). Но вердик один, заплатки и антивирусник с последними базами должны стоять на всех машинах)

Добавлено:
Жесть, новые симптомы обнаружились... вирус уже вышибает драйвера на USB. Если зайти в диспетчер устройств, то на всх USB будет стоять желтый восклицательный знак) во такие дела

ZAnuX
Система имеет выход в инет ? Если да, то сочуствую. У меня пока не подтвержденные подозрения, что особую изобретательность зверь проявляет в сетках, подключенных к инету. В "закрытых" же системах он не такой уж и "шалунишка"...
А вообще-то лечить рабочие станции надо только отключив от сети. И запускать в работу всю систему можно только тогда, когда проверена последняя рабочая станция.
Поэтому кидокиллер - забавка для ленивых админов. Да, при лечении рабочих станций под виндой надо обязательно отключать восстановление системы и вручную шерстить корзину.
dvdm
Хватит плакать! Ни один, повторяю, ни один антивирус не отработал нормально на начальном, и даже среднем этапе эпидемии! В том числе и макака, и семантек. Макака и доктор вэб в начале, середине и даже в конце января даже не видели зверя! Семантек и Касперский более или менее начали отрабатывать по внешнему периметру защиты системы, если она еще не заражена, с числа 12-го января. По Ноду сказать особо ничего не могу - мало статистики - отзывы были разные. Но про авиру и аваст лучше не надо! Из более чем 30-ти компьютеров, вылеченных (без форматирования винта ) мной после нового года (помимо основной работы), более половины были "защищены" бесплатным авастом. Думаю, комментариев по их поводу больше не надо. Проблемы с лечением внутреннего заражения есть у всех, ибо еще до конца не поняты алгоритм поведения и реальные способности и возможности зверя - недаром мелкософт вываливает 250 тонн зелени за инфу об авторах. Ну, и в завершение, еще раз повторю, что антивирус при защите системы - только малая часть необходимых действий.
Пока все
ЗЫ. Касперский, похоже, тебя услышал - уже более недели нет бэт корпоративной 8-ки. До этого выкладывали почти каждый день...

ingvar1972
Конечно это хорошо отключать все рабочие станции от сети и лечить их этим способом, а вообще лучше конечно всех сразу формат с:\ и зер гуд) но есть большое НО)) в сети у нас машин 200, да и я один админ, а ну и 3-4 сотрудника тех.поддержки, в любом случае одновременно не получиться 200 машин отключть от сетки)))было бы нас человек 150-200 да к тому же есть такие рабочие станции, которых врядли можно отключить, т.к. на них ведутся важные работы...то есть практически с утра до часу ночи...вот соотвественно и вывод, приходиться таким способом и заниматься борьбой


Добавлено:
ingvar1972
Это конечно хорошо в тех случаях, когда компьютеров мало, но когда их в сети 200штук, то наврядли прокатит такой подход, поэтому вот и изощераемся по другому) да к тому же на некоторых машинах ведуться производственные задачи, от которых зависит грубо говоря отгрузка товара и прочее... вот.

ZAnuX
1. Не надо мне припысывать "формат с:\"! Это очень дурной тон для хорошего системщика - "формат с:\"! Я поднимаю людям упавшие форточки так, что внешне они не замечают разницы. А "формат с:\" - это прерогатива сервис-центров компьютерных фирм.
2. И у меня в сетке около 200 машин, да еще и в двух зданиях. Если хочешь иметь гемор, возись и дальше. Когда нас прошибла "тенга" с деструктивным потенциалом несоизмеримо выше, чем у "кидо", мы с напарником (!) за ночь вычистили систему. А выйти тебе в воскресенье, к примеру, и "3-4 сотрудника тех.поддержки" - за полдня система вычищается, разумеется с подготовительными мероприятиями, далее пьете пиво в знак победы над врагом. Руководство, думаю, пойдет вам навстречу и даст отгул за этот день. А иначе будете учиться налаживать симбиоз с зверем...

ingvar1972
Ну простите уж, я не хотел обидеть вас) А сказал образно

Добавлено:
ingvar1972
у мя кстати к тому же не только в двух зданиях, да еще раскиданы по заводу. Я по крайне мере стараюсь все делать удаленно, на то есть админ кит, который позволяет запускать и кидокиллер, удалять антивирусники других производителей и устанавливать сам каф 6 фор воркстейшен. К сожаления, WSUS не заработал, а так и заплатки централизованно можно было бы поставить (поэтому приходится в ручную ставить сейчас), видимо кидошник и там покапался. Вычитывал на форуме, что вирус и автоматическое обновление отрубал и не только...