» Эпидемия червя Kido, Conficker, Downadup

Texnar_POLITEX
Для отслеживания откуда идут атаки нужен сетевой сниффер, можно также увидить кое-что:
"net statistics server" - статистика работы рабочей станции как сервера (сеансы, время отклика и т.д.)

"net statistics workstation" - Статистика рабочей станции - (сколько чего получено и т.д.)

"netstat -n -b -a " - Активные подключения.

Можно ещё использовать бесплатную программу Tcpview

подскажите пожалуйста легкий софт на домен контроллер, утилитку, чтобы отследить зараженные машины в домене которые ломятся на него

Добавлено:
извиняюсь, не обновил страницу

KKiller_v3.4.1
http://data2.kaspersky-labs.com:8080/special/KKiller_v3.4.1.zip

Вообщем поставлены патчи (sp3 + все апдейты с выхода сп3), касперский с обновляемыми базами 3 раза в сутки, прогнал куреит от ДрВеба, новым КК. Анивирусы рапортуют о чистоте машины.... НО

почти каждый час (всегда разное время, может и раз в 2 часа), появляются джобы от SYSTEM с запуском через rundll.exe зараженных файлов из system32, причем в этот момент касперский видит их и удаляет... Внимание вопрос: как вирусяга умудряется пролезть из сети через полностью пропатченную винду и добавить себя в джобы? Единственное что могу предположить, что она где-то затаилась на компе и просто напросто еще не ловиться антивирусом.

xxxspawnxxx
Прочитайте в тему в режиме для печати - кнопка "Версия для печати" и многие вопросы уйдут сами собой.

Сеть на 70 машин. На одной машине недограмотные юзера зашли на флешку через проводник. Словили заразу. Зараза ломанула непропатченный основной сервер (не успел) и одну XP (чужая). Остальную сеть либо не успел, либо обломался. Когда осматривал заражённый сервер (2000sp4) случайно нашёл третий параметр в списке TMP путей. Параметр имел сложный каталог и указывал на dll. Когда лечил - эта dll'ка не была в списке заразы. Естественно, из параметров сервера я её удалил. Уже больше двух недель сетевая наживка в виде незащищённой XP чистая.

а вот это зря.... лучше пропатчи машинку пока не поздно, а то влетит будет потом по сетке сканить народ будет напрягаться звонить лишний раз... а так всё запретил и спи спи спокойно.

2 Adek

Зараза появится неизбежно. Поэтому главной задачей является диагностика заразы. Извещение о факте заражения.

Помните червя Downadup (Konficker, Kido)? Думаете это уже дела давно минувших дней и про него можно забыть? Вы ошибаетесь..........
http://bishop-it.ru/?p=377#more-377

Предлагаю создать шапку по Kido:

Обновления Microsoft
Утилиты
Новая информация..

Цитата:

Предлагаю создать шапку по Kido

Думаю, не лишне! Это чудо еще долго будеть нас радовать...

Пытаюсь вычистить сетку, солкнулся вот с чем.
21-е число, сервер w2k3 sp2 R2, был переустановлен с нуля и поднят домен со второго сервера, сразу были установлены патчи:
WindowsServer2003-KB958687-x86-RUS.exe
WindowsServer2003-KB958644-x86-RUS.exe
WindowsServer2003-KB957097-x86-RUS.exe
антивирус НОД32
кидокилер тоже ничего не находил.
21-22 число все нормально, с 23-го начинает нод ловить и прибивать, а в назначеных заданиях появляться атхх
помогает только отключение службы.
То что в сети еще есть комп зараженный понимаю, но почему пробивает сервер и добавляет задания не понимаю
Есть мысли?

я так понимаю заплатки ставить даже не стоит, не помогают?

Вчера цепанули, лечился по статье от каспера (вчера же появилась): http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215
Исправил сеть за сутки (15 2003-х и 2000-х сервакав)

EngineerYuri
Статья была и раньше версия кидокиллера меняется

Цитата:

я так понимаю заплатки ставить даже не стоит, не помогают?

заплатки надо ставить обязательно!
если без них, то кидокилер будет постоянно длл-ку находить

для sp3 получается эта заплатка?
http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03&displaylang=en


Цитата:

будет постоянно длл-ку находить

что будет если он ее не будет находить?

Сетка 120 машин.
Получилась вычистить Conficker.AA. Сразу запуска на всех машинах Kidokiller 3.3.2
заплатка KB958644-x86-RUS.exe
Стоит NOD32 и кстати он у меня всегда обнаруживал вирь но не всегда успевал изолировать.

Атаки снизились до 0, а было в час 2 шт на каждый ком. а в отчёте всего 690000


Добавлено:

Цитата:

я так понимаю заплатки ставить даже не стоит, не помогают?

я думаю заплата для того чтоб с твоего компа эта зараза не лезла. а к тебе может

Вылечил только так.
Отключал ВСЕ компы от сети , и каждый комп каспер+kidokiller или nod+kidokiller
Еще конечно хорошо определить где вирь это можно сделать мониторив какой-нить фаерволл.
вирь оч неприятный так что всем удачи.

novi4okk

Цитата:

можно сделать мониторив какой-нить фаерволл

а ты чем мониторил

Вопрос.
Вирус удалил. Но файлы авторан остались и никакими силами не могу их удалить даже в сейф моде.
вот скрин:
Volume in drive D has no label.
Volume Serial Number is DC74-CCD4

Directory of D:\Share

31.03.2009 17:07 0 auto
30.03.2009 12:02 <DIR> AUTORUN.INF
19.06.2003 13:05 95 034 autorun.V00inf
19.06.2003 13:05 95 034 autorun.V01inf
19.06.2003 13:05 95 034 autorun.V02inf
19.06.2003 13:05 95 034 autorun.V03inf
19.06.2003 13:05 95 034 autorun.V04inf
03.03.2009 13:00 95 034 autorun.V05inf
04.03.2009 10:17 95 034 autorun.V06inf
19.06.2003 13:05 95 034 autorun.V07inf
19.06.2003 13:05 95 034 autorun.V08inf
19.06.2003 13:05 95 034 autorun.V09inf
19.06.2003 13:05 95 034 autorun.V10inf
19.06.2003 13:05 95 034 autorun.V11inf
05.03.2009 10:20 95 034 autorun.V12inf
19.06.2003 13:05 95 034 autorun.V13inf
19.06.2003 13:05 95 034 autorun.V14inf
06.03.2009 09:54 95 034 autorun.V15inf
19.06.2003 13:05 95 034 autorun.V16inf
06.03.2009 10:09 95 034 autorun.V17inf
06.03.2009 10:25 95 034 autorun.V18inf
06.03.2009 10:33 95 034 autorun.V19inf
19.06.2003 13:05 95 034 autorun.V20inf
19.06.2003 13:05 95 034 autorun.V21inf
10.03.2009 10:01 95 034 autorun.V22inf
19.06.2003 13:05 95 034 autorun.V23inf
19.06.2003 13:05 95 034 autorun.V24inf
10.03.2009 10:18 95 034 autorun.V25inf
10.03.2009 10:19 95 034 autorun.V26inf
10.03.2009 17:57 95 034 autorun.V27inf
11.03.2009 10:14 95 034 autorun.V28inf
11.03.2009 10:16 95 034 autorun.V29inf
19.06.2003 13:05 95 034 autorun.V30inf
11.03.2009 10:25 95 034 autorun.V31inf
11.03.2009 10:58 95 034 autorun.V32inf
12.03.2009 10:02 95 034 autorun.V33inf
19.06.2003 13:05 95 034 autorun.V34inf
12.03.2009 10:16 95 034 autorun.V35inf
19.06.2003 13:05 95 034 autorun.V36inf
19.06.2003 13:05 95 034 autorun.V37inf
19.06.2003 13:05 95 034 autorun.V38inf
19.06.2003 13:05 95 034 autorun.V39inf
13.03.2009 09:59 95 034 autorun.V40inf
19.06.2003 13:05 95 034 autorun.V41inf
13.03.2009 10:17 95 034 autorun.V42inf
19.06.2003 13:05 95 034 autorun.V43inf
19.06.2003 13:05 95 034 autorun.V44inf
19.06.2003 13:05 95 034 autorun.V45inf
16.03.2009 10:17 95 034 autorun.V46inf
19.06.2003 13:05 95 034 autorun.V47inf
19.06.2003 13:05 95 034 autorun.V48inf
19.06.2003 13:05 95 034 autorun.V49inf
19.06.2003 13:05 95 034 autorun.V50inf
19.06.2003 13:05 95 034 autorun.V51inf
19.06.2003 13:05 95 034 autorun.V52inf
17.03.2009 10:04 95 034 autorun.V53inf
17.03.2009 10:23 95 034 autorun.V54inf
19.06.2003 13:05 95 034 autorun.V55inf
19.06.2003 13:05 95 034 autorun.V56inf
19.06.2003 13:05 95 034 autorun.V57inf
19.06.2003 13:05 95 034 autorun.V58inf
19.06.2003 13:05 95 034 autorun.V59inf
19.06.2003 13:05 95 034 autorun.V60inf
18.03.2009 10:08 95 034 autorun.V61inf
19.06.2003 13:05 95 034 autorun.V62inf
19.06.2003 13:05 95 034 autorun.V63inf
19.03.2009 10:22 95 034 autorun.V64inf
19.03.2009 16:15 95 034 autorun.V65inf
20.03.2009 10:22 95 034 autorun.V66inf
23.03.2009 10:11 95 034 autorun.V67inf
23.03.2009 10:16 95 034 autorun.V68inf
24.03.2009 09:52 95 034 autorun.V69inf
24.03.2009 10:19 95 034 autorun.V70inf
25.03.2009 10:02 95 034 autorun.V71inf
25.03.2009 10:16 95 034 autorun.V72inf
26.03.2009 09:50 95 034 autorun.V73inf
26.03.2009 10:17 95 034 autorun.V74inf
27.03.2009 10:24 95 034 autorun.V75inf
19.06.2003 13:05 95 034 autorun.Vinf

Directory of D:\Share

78 File(s) 7 317 618 bytes

FMD
Попробуй скачать DrWeb CureIt и загрузившись с какого либо XPE диска полностью просканировать еще раз комп, трабл с удалением быть не должно.

Для отслеживания откуда идут атаки нужен сетевой сниффер, можно также увидить кое-что:
"net statistics server" - статистика работы рабочей станции как сервера (сеансы, время отклика и т.д.)

Зачем так извращаться ????
Заходишь в лог событий, там в безопасность и видишь ключики.. закрытые ключики...
это кто то не прошел проверку безопасности. кликаем туда и показан злостный нарушитель..... Buh-01 например... вот и наша цель.....

FMD
файловая система ntfs? если да, то стань владельцем этих файлов и добавь себе полный доступ к ним.
Этот вирус обычно создает автораны с правами только одного пользователя, от которого пошло заражение. Я так определяю кого лечить без файрволла.

Со вчерашнего дня начались случаи детектирование антивирями виря kido.ih. Случаев всё больше. С месяц назад была эпидемия в сетке, вроде вылечили, во всяком случае сетевых атак не было. И вот опять. Сценарий везде один, детектируется вирь в system32, антивирь его удаляет. Кидокиллер последней версии при запуске ничего не находит. Тем не менее вирь расползается по сетке. Чесслово достало уже всё это

nakonectozaregilsya, такая же ситуация.
В принципе пока он не пакостит - пусть живет, тем более что других вариантов просто нет!! До сих пор его никто толком не лечит!!

теперь при помощи сканера nmap можно определить какие компьютеры в сети вероятнее всего заражены конфикером и не имеют установленного фикса MS08-067 в сети
http://www.skullsecurity.org/blog/?p=209

nakonectozaregilsya А последний это какой? 3.4.3 ? KKiller.exe 172808 01.04.09 08:32

ipmanyak
да, на оф сайте он последний

А Kido может пролезть на ПК посредством удачной сетевой атаки? Например, на домашний компьютер подключенный к DSL и не являющийся частью локальной сети?