» Эпидемия червя Kido, Conficker, Downadup

Есть более удобный способ очистки от это дряни, не пробегая по всем компам, тем более точно не зная пока, на каких он есть?

Ситуация. С понедельника работаем без инет-сервера, инет идет напрямую через шлюз (шкаф с железом циско, коммутатор и роутер) с "последней милей" до Москвы (из Омска), контроллировать это железо я никак не могу, у нас тупо под сеть 10.х.х.х (тоже в понедельник переводил со 192.168.0.0), централизованно закрыть порты соотв. тоже.

из Антивирей стоят Симантек (старый, удалить не могу, старый админ не дал пароль, надо сносить систему, как обычно было не до этого), и Нод 32, где то вообще ничего не стоит.

Поднят домен, DHCP, DNS. Контроллер домена также заражён. Там где стоит Нод, он постоянно ругается, что надоперегрузиться для очистки. перегружается, всё работает первые минут *дцать, потом опять ругается, опять просит.

Как максимально просто и надёжно (возможно функциями AD, тут я не силен...) поставить на все машины заплатки, Ноды, чистильщики и т.д.? Вроде есть такая возможность, но я так и не смог с ней разобраться до конца.

Kentvovan
Для обновления (заплатки) винды существует WSUS, ну или скриптами через групповую политику) Правда у мя че то не поднялся, вернее он на серваке работает, но компы не цепляются этим займусь когда вирусню излечим. kidokiller у меня запускается через Kaspersky Administrator Kit, и Kaspersky Antivirus 6 for Workstation ставиться также через kit. Ну вот, а с Symantec-ом дело не имел, вроде там тоже можно централизованно через админскую часть манипуляции проводить...)

ingvar1972
Цитата:

Поэтому кидокиллер - забавка для ленивых админов.

Т.е. совсем бесполезен или польза от него все же есть?

Mushroomer
Польза, разумеется, есть! Но применять его надо локально и в комплексе с другими "препаратами", не рассчитывая на волшебное исцеление всей сетки одночасно. Это не панацея. Ибо, как я уже ранее говорил, сетевого червя, особенно такого с до конца не раскрытым функционалом и такой сильной мутагенностью, лечить без отключения рабочих станций от сетки есть не самый оптимальный вариант. Слишком велика вероятность рецидивов. Мои коллеги не послушались меня (разовое ударное лечение с отключением ПК от сети) еще более месяца назад и до сих пор с ним сражаются в своей системе. Конечно, результат есть, но можно было достигнуть и большего.

ЗЫ. Прошу прощения за обилие медицинских терминов.

Цитата:

поставить на все машины заплатки,

Нужные, например KB958644 можно сразу поставить везде psexec'ом.. а потом уже настроить wsus
Час от часу не легче.. вчера обнаружен, что заразился "сервер" 1с. Отвалились сетевые службы, прибежал, а там.. ба! семь заданий в планировщике. А антивирус главное молчит, хоть бы что ему.. kidokiller ничего не находит (
Проводить полную проверку боюсь.. три компа после нее сдохли. Придется снчала сделать образ жесткого, а потом уж лечить

после автоапдейта AD сервера и его ребута, вообще сначала была картина "Вход в систему не возможен. Недостаточно памяти". у меня всё ушло куда только можно. ребутнул, зашло, однако часть служб стоящих "Авто" запущены не были. доступа к серверу нет. запустил службы, доступ так и не появился, на клиентских машинах пишет "Указанный тип входа в систему не поддерживается"... как восстановить работоспособность AD я не понимаю вообще...

gbcfkf, Kentvovan, backup - как много в этом слове... Не панацея, но иные случаи и не предполагают какого-либо альтернативного решения. Что мешало сделать обычный system state? Это 5-10 минут от силы (и ~1Gb на винте). Пока будет подобное отношение к своему же труду - такие будут и проблемы, уж простите за откровенность.
Просто иногда дело вовсе не в уязвимости п/о.

Kentvovan
Доброе время суток господа. Кстати у меня с этого и началось атаки, вернее мы даже не знали что это проделки вируса, по началу пользователи начали звонить, что у них нет доступа к ресурсам на сервере, и то, что их учетные записи заблокированы. Далее на контроллере домена было обнаружено то, что службы которые должны быть запущены автоматом не стартовали. Я взял их и ручками запустил) Думал все нормально, но потом ояпть звонять пользователи и опять у них нет доступа. Смотрю службы опять вырублены ("Сервер", "Вторичный вход в систему" и еще парочка), так сидел запускал пол дня, пока не начали уже ставить заплатки и пробовать различные средства лечения вируса (kidokiller, drwebc, f-downadup). Потом вроде успокоилось, службы больше не отрубались, но там обнаружились другие косячки. Журнал событий просто переполнялся от сообщений типа Отказано в аутентификации (зараженная машина примерно в 1 секунду 10 раз переберала пароль юзверя) пытаясь то ли залогиниться, то ли попасть на другую машину и уже там делать свои черные деяния)

sarti
А никто и не спорит
В данной конторе я приходящий программист, а админа там никогда не было. Вот меня и попросили излечить сеть от вируса
Бэкап никто настраивать там не будет - некому, а мне это не надо, я за это деньги не получаю
ps пардон за оффтоп. Просто замечание о необходимости бэкапа задело за живое

никто не спорит о необходимости бэкапа, порой просто не хватает знаний и времени на всё, я тоже не так давно работаю здесь, и до меня этим никто не занимался, а я пока просто не успеваю... как сейчас восстановить работоспособность AD? какие службы отвечают за авторизацию? куда стоит заглянуть, что проверить, что пофиксить?

// на данный момент отключил полностью всю локальную сеть путём выключения свитчей, хожу лечу и фиксю каждый комп. муторное дело, машинки слабые, да ещё и захламлённые, еле шевеляться, по часу на кабинет =\ 45 машин... умру...

Kentvovan, первое, что ты обязан был сделать сразу же после официального оформления тебя на твоё же новое рабочее место - забэкапить то, что ты получил в наследство. Это, считай, по сути закон. Все здесь умные - никто со мной, старым пердуном, не спорит, и это гуд, но банально позаботиться о своей ж**е тоже никто, тем не менее, без пинка со стороны не в силах, хотя огрызаться научились

Раз у тебя такая патовая ситуация - ищи знакомых, проставляйся, и в ночь или на выходных по-быстрому поднимай с ними резервный контроллер (при отсутствии оного), изолируй, бэкапь и лечи рабочие станции, или связывайся с предыдущим админом (при наличии таковой возможности) - если он не такой же лентяй и более-менее ответственный чел, то может и помочь. Хочешь верь, хочешь нет, но в этой эпидемии целиком и полностью твоя вина. Обидно такое о себе слышать, понимаю, но пенять на авторов вирусов/антивирусов конкретно тебе - нельзя, ибо для тебя это табу


Поэтому, если ты новичёк в этом деле, побереги нервы, и для начала попробуй разобраться, что с твоим контроллером. Про рабочие станции пока забудь, твоя задача - оживить AD. Если не равнодушен к сотрудникам, то собери планёрку, популярно объясни всем сложившуюся ситуацию, заверь всех, что ты всё сможешь, но тебе нужно на это некоторое время, и после этого спокойно займись восстановлением. Создай, наконец, отдельный топик, подробно опиши все интересующие тебя ньюансы, и не стесняйся задавать вопросы - кто может, тот всегда ответит, здесь у всех одна цель.

Добрый день! У меня тоже началось с DC вся петрушка , я вылечил все спокойно ...

Во первых тебе надо поставить заплатки на сервера!

WindowsServer2003-KB894391-x86-rus.exe
WindowsServer2003-KB921883-v2-x86-RUS.exe
WindowsServer2003-KB923414-x86-RUS.exe
WindowsServer2003-KB957097-x86-RUS.exe
WindowsServer2003-KB958644-x86-RUS.exe

Закрыть порты с помощью программы wwdc.exe и вылечить каким нить антивирусом

Атаки я предотвратил с помощью AVZ и срипт в нем запустил

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\weatt.dll','');
DelCLSID('BBCA9F81-8F4F-11D2-90FF-0080C83D3571');
DeleteFile('C:\WINDOWS\wc98pp.dll');
DeleteFile('C:\WINDOWS\system32\weatt.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

И контролер домена живой! ......

А у кого нибуть dns отваливался с вот такой записью



Тип события:    Ошибка
Источник события:    DNS
Категория события:    Отсутствует
Код события:    4015
Дата:        18.02.2009
Время:        22:50:33
Пользователь:        Н/Д
Компьютер:    **********
Описание:
DNS-серверу обнаружил критическую ошибку Active Directory. Убедитесь, что Active Directory работает правильно. Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 51 00 00 00 Q...



и ещё с вот такими

Тип события:    Ошибка
Источник события:    Application Error
Категория события:    (100)
Код события:    1000
Дата:        19.02.2009
Время:        8:58:52
Пользователь:        Н/Д
Компьютер:    *************
Описание:
Ошибка приложения dns.exe, версия 5.2.3790.3959, модуль dns.exe, версия 5.2.3790.3959, адрес 0x0003d88e.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 64 6e 73 ure dns
0018: 2e 65 78 65 20 35 2e 32 .exe 5.2
0020: 2e 33 37 39 30 2e 33 39 .3790.39
0028: 35 39 20 69 6e 20 64 6e 59 in dn
0030: 73 2e 65 78 65 20 35 2e s.exe 5.
0038: 32 2e 33 37 39 30 2e 33 2.3790.3
0040: 39 35 39 20 61 74 20 6f 959 at o
0048: 66 66 73 65 74 20 30 30 ffset 00
0050: 30 33 64 38 38 65 03d88e


и ещё с вот такими


Тип события:    Ошибка
Источник события:    Service Control Manager
Категория события:    Отсутствует
Код события:    7034
Дата:        19.02.2009
Время:        9:19:53
Пользователь:        Н/Д
Компьютер:    ***********
Описание:
Служба "DNS Server" неожиданно прервана. Это произошло (раз): 1.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".


ПАМАГИТЕ постоянно отваливается!!!!!!!!!!!!!

Мне вот интересно, отваливание сетевых служб это симптом новой модификации вируса?
Просто не помню проблем со службами в первой половине января..
И еще, чего-то антивирусописатели как воды в рот набрали. Выдали описания вируса с месяц назад и все, никаких новостей
ps а может это паранойя..

у меня DNS отваливался.
болезненно.
В итоге потерял контроллер дрмена до того, как вычистил вирус

KidoKiller 3.2


Цитата:

- Детектирование и завершение зловредных потоков, оставшихся после инжекта длл-ки
- Снятие перехвата с функций:
NetpwPathCanonicalize (netapi32.dll)
NtQueryInformationProcess (ntdll.dll)
DnsQuery_A (dnsapi.dll)
DnsQuery_UTF8 (dnsapi.dll)
DnsQuery_W (dnsapi.dll)
Query_Main (dnsapi.dll)
- Детектирование и удаление зловредных длл-ок, в т.ч. при полном отсутствии прав доступа
- Удаление зловредных ключей реестра в ...\Services, ...SvcHost\netsvcs, ...\CurrentVersion\Run, в т.ч. при полном отсутствии прав доступа.

При запуске без параметров утилита сканирует стандартные места расположения зловреда:
...\WINDOWS\system32\
...\Program Files\Internet Explorer\
...\Program Files\Movie Maker\
...\Application Data\
%TEMP%

В версии 3.2 добавлено удаление запланированных заданий, оставшихся после kido.

http://narod.ru/disk/5883143000/KidoKiller_v3_2.rar.html

Проверил kidokiller 3.1 на нескольких машинах, баг с удалением пустой строки после последний строки в параметре netsvcs повторяется . ingvar1972 с версией 3.2 не ясно, пока не проверял, возможно и она имеет такой жучок?!

Проверил kidokiller 3.1 и nod32 (3 версия, корпоративная, базы от 16.02.2009, не отключал принципиально) как и в случаи с DrWeb, происходит "неполное" излечение вируса (не чистятся реестр). Кроме того понять в чем дело, можно только после изучение журнала (протокола, не помню, как он там называется) самого Нода, он начинает видеть вирус и удаляет его.

procesha

Цитата:

QuarantineFile('C:\WINDOWS\system32\weatt.dll','');
DelCLSID('BBCA9F81-8F4F-11D2-90FF-0080C83D3571');
DeleteFile('C:\WINDOWS\wc98pp.dll');

Не понятно откуда получены эти данные, на другой машине они будут другие....

здравствуйте!
Вот нам тоже эту гадость подкинули... в моей части сети узеры в основном сидят в группе )пользователи(
поставили обновления от $M - моя часть сети ожила*. Частично посмотрел реестры - в ветке
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ нету службы виря [random name]
cureIT зверька определяет как win32.hllw.shadow.based
До установки обновлений, во многих случаях зврёк валил службы server, workstation, network connections (и\или процесс svchost в котором они выполняются)
.
*ЗЫ: однако, на некоторых компах, периодически svchost.exe грузит проц по полной.
.
PPS если не влом, выложите список нормальных злачений ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs !для доменной рабочей станции; может я скриптик рожу для автоматизации удаления

дайте, пожалуйста, прямые ссылки на заплатки закрывающие дырки используемые этим вирусом.
для х86 и х64 версий w2k3sp2
для х86 wXPsp3
и для x86 w2ksp4
а то никак не разберусь в этих дебрях майкрософтовских сайтов

заранее благодарен!

adSka
[more=Тут смотри...]6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
ERSvc
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Messenger
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
SRService
Tapisrv
Themes
TrkWks
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
wscsvc
xmlprov
napagent
hkmsvc
BITS
wuauserv
ShellHWDetection
helpsvc
WmdmPmSN

[/more] Судя по всему, он почти у всех одиннаков, если только кто-то службы не "корректировал" вручную, или через оптимизаторы. Возможно, только внутри списка будет другой порядок.

Добавлено:
q111111
Посмотри "Версию для печати" тут все ссылки в то числе и прямые по-моему были. А я пошел спать, выдохся уже

q111111
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

ingvar1972
Цитата:

KidoKiller 3.2

Ссылку на первоисточник можно?

pasha


Цитата:

Ссылку на первоисточник можно?

http://forum.kaspersky.com/index.php?act=attach&type=post&id=92105

быть может это?

pasha

Цитата:

KidoKiller 3.2
Ссылку на первоисточник можно?

http://forum.kaspersky.com/index.php?showtopic=103171&view=findpost&p=885913

новая разновидность "kido"
http://lenta.ru/news/2009/02/20/conficker/

Texnar_POLITEX
ingvar1972
Что и странно что на офсайте нет.

pasha

Цитата:

Что и странно что на офсайте нет.

Там сейчас не только это странно...

Для общего развития и более тонкого понимания механизма работы вируса

An Analysis of Conficker's Logic and Rendezvous Points
В статье детально разбирается работа Conficker'a A, B и B++ - способы распростарнения, обратной связи с авторами и т.д.

ingvar1972
А как впечатления по версии 3.2 кидокиллер? Я кстати зарегистрировался на форуме касперского, дал там в одной из веток описание ошибки, что-то никто не интересуется?!.
gbcfkf
Очень познавательная статья.

sumchanin_Yuri
Цитата:

что-то никто не интересуется?!.

Имхо т.к. выходные.