Mushroomer и Все мужчины с праздником День защитника отечества
» Эпидемия червя Kido, Conficker, Downadup
не-не, в армию не хоцца ))
Народ, подскажите что лучше сделать. С утра начались сообщения об онлайн-атаках в KIS2009. Уже 11 рабстанций в списке заблокированных. Что можно срочно сделать чтобы предотвратить расползание виря?? В сетке машин около 300.
зараженные машины из сети
На предыдущей странице была интересная статья про вирь. Возникла мысль - определять боты в своей сетке. В статье авторы смогли определять бот машины. Вот бы кто-то из умельцев выложил кусок кода. Кстати новая модификация B++ комуто попадалась?
И еще одна мысль - вариант А самоуничтожался, если раскладка укровская мож поставить основной язык укр и не париться Правда в В этот функционал почищен
И еще одна мысль - вариант А самоуничтожался, если раскладка укровская мож поставить основной язык укр и не париться Правда в В этот функционал почищен
slay1212
Цитата:
вряд ли поможет я сразу с толкнулся с В, ибо шло активное заражение сменных носителей
Цитата:
её попробуй выяви..
nakonectozaregilsya
Цитата:
Срочно установить везде нужные обновления, отключить автозапуск с флешек, отключить админские шары, планировщик заданий, поставить на все учетки нетривиальные пароли и обновить антивирусы. А потом уж разбираться с зараженными машинами..
Только дело в том, что если в сети появились зараженные машины они очень быстро заразят все что можно. Боюсь что поздно пить боржоми..
Цитата:
И еще одна мысль - вариант А самоуничтожался, если раскладка укровская мож поставить основной язык укр и не париться
вряд ли поможет я сразу с толкнулся с В, ибо шло активное заражение сменных носителей
Цитата:
Кстати новая модификация B++ комуто попадалась?
её попробуй выяви..
nakonectozaregilsya
Цитата:
Что можно срочно сделать чтобы предотвратить расползание виря??
Срочно установить везде нужные обновления, отключить автозапуск с флешек, отключить админские шары, планировщик заданий, поставить на все учетки нетривиальные пароли и обновить антивирусы. А потом уж разбираться с зараженными машинами..
Только дело в том, что если в сети появились зараженные машины они очень быстро заразят все что можно. Боюсь что поздно пить боржоми..
Боремся с заразой.
Пока помогает psexec с удаленной установкой заплатки от микрософта и проги от каспера kidokiller
Пока помогает psexec с удаленной установкой заплатки от микрософта и проги от каспера kidokiller
Скачал кидокиллер 3.1 с каспера проверил на зараженной машине -результат ноль ничего не нашел . На машинке - зараженный csrcs.exe в процессах и два авторана (расширение it и еще какое-то в систем32) . Натравляю удаленно кидокиллер - ничего не нашел. Грохнул ручками как обычно Так что не знаю что он там лечит.
slay1212
хех,в вашем слушае6 совершенно другой паразит,так что не надо ля-ля,устролили блин...ручками они грохнули,ну-ну...
про эту заразу что обсуждается здесь - сразу любой пять копеек скажет - ручками ток-мо через безопасный - и то сам файл лишь
Добавлено:
народ,дело такое получается,я было обрадовался,что хоть какую-то часть компов (самых главных)под защиту поставил...
ну вот сегодня день был,и эти компы по новой сканить...
ток-мо сегодня решил уделить внимание на планировщик заданий!!!!
не проходите мимо,загляните убейте задачу,а потом ее из корзины...он гад все равно даже на запатченой машине (wsus стоит,обновляет машины) впихивается,на одной более 80-ти задач насоздавал...
хех,в вашем слушае6 совершенно другой паразит,так что не надо ля-ля,устролили блин...ручками они грохнули,ну-ну...
про эту заразу что обсуждается здесь - сразу любой пять копеек скажет - ручками ток-мо через безопасный - и то сам файл лишь
Добавлено:
народ,дело такое получается,я было обрадовался,что хоть какую-то часть компов (самых главных)под защиту поставил...
ну вот сегодня день был,и эти компы по новой сканить...
ток-мо сегодня решил уделить внимание на планировщик заданий!!!!
не проходите мимо,загляните убейте задачу,а потом ее из корзины...он гад все равно даже на запатченой машине (wsus стоит,обновляет машины) впихивается,на одной более 80-ти задач насоздавал...
bahtey
У тебя он взломал пароль админа ?
У тебя он взломал пароль админа ?
bahtey
Не у меня одного kidokiller не срабатывает
Цитата с вируслиста
У меня рабочих станций более 2000 (((
win32.Kido.bm,как КТУЛХУ, любезно съел мозг мне, коллегам и юзверям.
Кто-нибудь центролизованно,с K.I.T'a запускал KidoKiller'a #3 на машинах с заплатками от Microsoft'a?
И как результаты?
30.01.2009 18:24 sl_ap ответить
Я запускал, но не изпод kit, и у меня вобще нет касперского в домене.. есть только старый симантек.. killkido пихал в GPO с ключом -y
судя по всему - нихрена не помогает..
А у меня да,возможно уже не сам кидо(он грохнулся) а троянец его спутник - создает в шарах и на дисках маркерные файлы khs и ексешники со случайным именем.
И еще. Модификаций его уже почти с десяток и то что помогает с одной модификацией, не сработает с другой.
Не у меня одного kidokiller не срабатывает
Цитата с вируслиста
У меня рабочих станций более 2000 (((
win32.Kido.bm,как КТУЛХУ, любезно съел мозг мне, коллегам и юзверям.
Кто-нибудь центролизованно,с K.I.T'a запускал KidoKiller'a #3 на машинах с заплатками от Microsoft'a?
И как результаты?
30.01.2009 18:24 sl_ap ответить
Я запускал, но не изпод kit, и у меня вобще нет касперского в домене.. есть только старый симантек.. killkido пихал в GPO с ключом -y
судя по всему - нихрена не помогает..
А у меня да,возможно уже не сам кидо(он грохнулся) а троянец его спутник - создает в шарах и на дисках маркерные файлы khs и ексешники со случайным именем.
И еще. Модификаций его уже почти с десяток и то что помогает с одной модификацией, не сработает с другой.
А что глянуть эту тему в режиме для печати, так тяжело?! Здесь уже не однократно приводились советы, контретные указания что и как сделать. К тому же если на рабочих станциях не используються задания, отключите вообще запуск планировщика.
Ведь с самого начала тут как раз речь и шла о том, что доверять полностю утилитам лечения даже от антивирусных вендоров не стоит, кроме того практика потверждает, что не все так гладко
Ведь с самого начала тут как раз речь и шла о том, что доверять полностю утилитам лечения даже от антивирусных вендоров не стоит, кроме того практика потверждает, что не все так гладко
Цитата:
Только дело в том, что если в сети появились зараженные машины они очень быстро заразят все что можно. Боюсь что поздно пить боржоми..
В точку увы Пока помогает такая метода. Не знаю уж на 100% или нет.
1. Изоляция рабстанции от сети
2. Запуск последней версии кидокиллера.
3. Заплатки
4. Сканирование Avast-ом до загрузки системы, находятся как правило еще следы жизнедеятельности виря в TemporaryInternetFiles и корзине.
Еще заметил, что на машины где были установлены Workstation-ы от Каспера виря не замечалось. Правда таких мало в сети, около 5%. Может еще очередь не дошла
nakonectozaregilsya
К сожалению, тут уже неоднократно подтверждалось, что после лечения (установок всех заплаток), закрытия портов, через какое-то время возможно заражение кидо (другая модификация или даже повторно). То ли он где-то "часовые бомбы" ставит, то ли ещё какие-то известные только ему методы заражения он использует, но факт остается фактом - он может появиться в системе опять.
Что говорит только об одном - все антивирусы лечать только последствия заражения, а не причины. Поэтому защиты от новых модификаций вируса (которые не знают антивирусы) нет или она неэффективна.
Выход - использование связки антивирусных средст взаимодополняющих друг-друга, и не конфликтующих между собой.
К сожалению, тут уже неоднократно подтверждалось, что после лечения (установок всех заплаток), закрытия портов, через какое-то время возможно заражение кидо (другая модификация или даже повторно). То ли он где-то "часовые бомбы" ставит, то ли ещё какие-то известные только ему методы заражения он использует, но факт остается фактом - он может появиться в системе опять.
Что говорит только об одном - все антивирусы лечать только последствия заражения, а не причины. Поэтому защиты от новых модификаций вируса (которые не знают антивирусы) нет или она неэффективна.
Выход - использование связки антивирусных средст взаимодополняющих друг-друга, и не конфликтующих между собой.
Заплатка - это отрезка пути заражения.
А вот если он заразил... то нужно поставить последние обновления и последний антивирь...
Кстати у меня такое подозрение, что все-таки это микросовтовский вирус, направленный на уничтожение сетей с пиратскими компами... на тех компах где стоят последние обновы и FF в моем случае... заражения небыло... А вот где антивирь не обновлялся и сам комп тоже не обновлялся.
Все равно гад лезет...
А вот если он заразил... то нужно поставить последние обновления и последний антивирь...
Кстати у меня такое подозрение, что все-таки это микросовтовский вирус, направленный на уничтожение сетей с пиратскими компами... на тех компах где стоят последние обновы и FF в моем случае... заражения небыло... А вот где антивирь не обновлялся и сам комп тоже не обновлялся.
Все равно гад лезет...
KidoKiller_v3.3.zip
http://support.kaspersky.ru/wks6mp3/error?qid=208636215
Люди, извините что не в тему, но как удаленно "установить обновления, отключить автозапуск с флешек, отключить админские шары, планировщик заданий"? Если это вообще возможно?
http://support.kaspersky.ru/wks6mp3/error?qid=208636215
Люди, извините что не в тему, но как удаленно "установить обновления, отключить автозапуск с флешек, отключить админские шары, планировщик заданий"? Если это вообще возможно?
KidoKiller_v3.3.zip нихера не лечит. Точнее лечит, но старые модификации. У кого какие мысли еще есть?
Практически изничтожил заразу из сети. Предприятие режим работы 24\7. Установил на все машины каспер 6й под управлением кита, добавил всем в логон скрипт кидо киллера. Закрыл авторан групповой политикой и .reg файлом. В ГП отключил службу Tasks. В логон скрипт прописал комманду at /delete /yes затем массовая перезагрузка..... В итоге количество атак сократилось с 12000 в день до 5-15 сейчас добиваю по всем фронтам.
Adek
Отлично, а как пример привести
Цитата:
Jimmy81 Странно - в версии 3.3 добавили ещё восстановления служб автообновления и других служб, которые обычно отключает зловред, т.е наоборот лечить он должен лучше . А какая модификация вируса у Вас (размер, дата, контрольная сумма).
Отлично, а как пример привести
Цитата:
Закрыл авторан групповой политикой и .reg файлом..
Jimmy81 Странно - в версии 3.3 добавили ещё восстановления служб автообновления и других служб, которые обычно отключает зловред, т.е наоборот лечить он должен лучше . А какая модификация вируса у Вас (размер, дата, контрольная сумма).
VovaII
в домене групповыми политиками..
если нет домена, то, например, с помощью psexec и запуск соответствующих скриптов
т.е. берем список компов в текстовом файле, запускаем батник, который запускает для каждого кома из списка psexec, который в свою очередь выполняет на удаленной машине нужный скрипт\батник\применяет reg файл
батник установки обновления(берет с шары в сети обновление и ставит в фоновом режиме)
Код: @echo off
\\xxx.xxx.xxx.xx\shara\WindowsXP-KB958644-x86-RUS.exe /u /q /z /n
в домене групповыми политиками..
если нет домена, то, например, с помощью psexec и запуск соответствующих скриптов
т.е. берем список компов в текстовом файле, запускаем батник, который запускает для каждого кома из списка psexec, который в свою очередь выполняет на удаленной машине нужный скрипт\батник\применяет reg файл
батник установки обновления(берет с шары в сети обновление и ставит в фоновом режиме)
Код: @echo off
\\xxx.xxx.xxx.xx\shara\WindowsXP-KB958644-x86-RUS.exe /u /q /z /n
gbcfkf
В psexec есть параметр -d (не ждать завершения задачи)
и будет счастье...
А так пока решение такое
psexec \\* -c -d Название обновления(их 3 штуки ms09-0001, ms08-067, ms08-65) -/passive
Обновления для всех опер систем... (если система не подходит, обновление не установится, поэтому его можно кидать на все компы в сети... само разберется устанавливаться ему или нет)
затем psexec \\* -c -d kidokiller.exe -f -n -r -y
затем или паралельно проги от www.securitylab.ru (их там немерянно) по поиску уязвимостей...
Ну и обновление всех антивирусов до последноего... можно средствами psexec развернуть если проблемы с инетом на компах... ну и на последок собственное творчество(а это на свой вкус)
В psexec есть параметр -d (не ждать завершения задачи)
и будет счастье...
А так пока решение такое
psexec \\* -c -d Название обновления(их 3 штуки ms09-0001, ms08-067, ms08-65) -/passive
Обновления для всех опер систем... (если система не подходит, обновление не установится, поэтому его можно кидать на все компы в сети... само разберется устанавливаться ему или нет)
затем psexec \\* -c -d kidokiller.exe -f -n -r -y
затем или паралельно проги от www.securitylab.ru (их там немерянно) по поиску уязвимостей...
Ну и обновление всех антивирусов до последноего... можно средствами psexec развернуть если проблемы с инетом на компах... ну и на последок собственное творчество(а это на свой вкус)
А в домене, групповыми политиками, это как?
Хоть один пример как это делать? Например как отключить планировщик заданий у всех или автозапуск с флешек?
Хоть один пример как это делать? Например как отключить планировщик заданий у всех или автозапуск с флешек?
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000000
"NoWelcomeScreen"=dword:00000001
Добавлено:
в политике Security Settings ---> System Services найди службу и выключи.....
"NoDriveTypeAutoRun"=dword:00000000
"NoWelcomeScreen"=dword:00000001
Добавлено:
в политике Security Settings ---> System Services найди службу и выключи.....
Adek
Т.е. универсального способа таки нету. Каждый случай по своему бороть.
Спасибо!
Пошел "Security Settings ---> System Services" искать.
Запускал у пользователя KidoKiller_v3.3.zip.
Он написал, что восстановил и запустил сервисы: BITS и wuauserv. Названия какие то подозрительные??
Т.е. универсального способа таки нету. Каждый случай по своему бороть.
Спасибо!
Пошел "Security Settings ---> System Services" искать.
Запускал у пользователя KidoKiller_v3.3.zip.
Он написал, что восстановил и запустил сервисы: BITS и wuauserv. Названия какие то подозрительные??
BITS - это передача данных между клиентом и сервером, а вторая автоматическое обновление. Ничего странного. С точки зрения виря как раз то, что надо "загасить"
Adek
Цитата:
А это где искать? в Пуск->Прораммы->Администрирование? А то у меня винда русская.
nakonectozaregilsya
Ага. Понял.
Только на серваке, сколько раз запускаю кидокиллера, каждый раз пишет что их опять восстановил и запустил...
Цитата:
в политике Security Settings ---> System Services найди службу и выключи.....
А это где искать? в Пуск->Прораммы->Администрирование? А то у меня винда русская.
nakonectozaregilsya
Ага. Понял.
Только на серваке, сколько раз запускаю кидокиллера, каждый раз пишет что их опять восстановил и запустил...
VovaII
Это он их просто рестартит. Это нормально.
Добавлено:
VovaII
Цитата:
Это он их просте рестартит. Это нормально.
Это он их просто рестартит. Это нормально.
Добавлено:
VovaII
Цитата:
Только на серваке, сколько раз запускаю кидокиллера, каждый раз пишет что их опять восстановил и запустил...
Это он их просте рестартит. Это нормально.
Можно ли централизованно (удаленно), через групповые политики или через касперски админ кит, запустить windows-kb890830-v2.7.exe??...
Если не трудно, ткните носом куда смотреть..
Если не трудно, ткните носом куда смотреть..
Texnar_POLITEX
запусти через psexec писал уже.... чуть повыше посмотри
запусти через psexec писал уже.... чуть повыше посмотри
Цитата:
Заплатка - это отрезка пути заражения.
А вот если он заразил... то нужно поставить последние обновления и последний антивирь...
Кстати у меня такое подозрение, что все-таки это микросовтовский вирус, направленный на уничтожение сетей с пиратскими компами... на тех компах где стоят последние обновы и FF в моем случае... заражения небыло... А вот где антивирь не обновлялся и сам комп тоже не обновлялся.
Все равно гад лезет...
У меня лиценз на большинстве жизненно важных машинах - сервера и корпоративный ключ на касперского на WWS 5 и 6 версий. Стоит WSUS - обновления все тягаются. один черт Net-Worm.Win32.Kido.ih уложил весь домен. Сначала основной контроллер, потом вторичный, потом SQL сервер, ну а на закуску мою тачку. Причом на мою тачку даже у меня доступа из сети нету, ваапще никакого доступа - только локально. тоесть все было закрыто, как казалось... Будем бороться с ним всеми средствами - у меня около 150 тачек и я всего однин
Страницы: 123456789101112131415
Предыдущая тема: Запрет выдачи адреса через DHCP
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.