» Эпидемия червя Kido, Conficker, Downadup

всех приветсвую

писал в отдельной теме:

Цитата:

Уже несколько дней происходит странные вещи с моим домашним сервером.
Во первых, скажу сразу о себе - я не могу считать себя админом с образованием в области сетей, но и не "домохозяйка", так что принимаю любые советы - от чисто технических до общи-философских :).

Сервер домашний для выхода LAN-пользователей в инет, пенёк старый с Windows XP Pro SP1 (знаю что не лучший выбор, но в *никсах не очень разбераюсь и не было время для экспериментов).
2 сетевые карты Realtek 8139/810x. Выход в мир по Ethernet-у (оптика). IP получаю по DHCP, реальный и статический (всегда один и тот же IP).
Программное обеспечение для межсетевого управления: Lan2net 1.4.067, содержит в себе файрвол + NAT + eщё разные полезные функции. Только это и содержит: чистый WinXP + Lan2net, больше ничего.

До сих пор (больше 2 лет, около года на ADSL-е и ещё год уже по Ethernet-у) всё было нормально, со своей задачей справлялся.
Но уже несколько дней (где-то 5-8 дней) начал очень сильно тормозить, процессор почти всегда на 100% .. тут я заметил что он создаёт очень много соединений: раньше было от 300 до 800 (очень редко до 2000 доходило), сейчас же 10.000-12.000. Соединения создаёт сервер к произвольно разным IP и ко всем хочет послать 124 байта по 445 порту. Соединения в состоянии SYN_SENT (будто сервер инициирует DoS акати по произвольным адрессам).

Сформатировал диск, поставил свежий WinXPSP1 + Lan2net. Всё это сделал в изолированном состоянии (сетевых кабелей небыло подключено). В файрволе закрыл всё что приходит из вне и всё что посылается в инет, потом подключил инет-кабель и сразу после этого начались те же проблемы.

То же самое началось после того как подключил инет-кабель сразу к моему компютеру. У меня он так же начал каждую секунду создавать соединения. И это уже сквозь Comodo Firewall Pro 3.0.25.

И на сервере и на моём компе после подключения кабеля один из процессов svchost.exe создаёт себе много thread-ов (до: ~50 thread-ов, после: ~170 thread-ов), он и создают эти соединения постоянно.

Ещё интересный симптом: сайты microsoft.com, eset.com, kaspersky.com и др. связанные с врусами не грузятся, сразу выдёт сообщение будто нет инета. Все остальные загружаются нормально.

мне подсказали что это kido

есть несколько вопросов:
1. этот вирус/червь kido проходит сквозь файрвол?
2. он заражает другие файлы? (.exe, .dll, и.т.д.)
3. от него невозможно избавиься? можно только устранить его вредные действия?
4. если не стоит Win XP SP3 + самые свежие обновления, то зря стараться что-то сделать? особенно на SP1

стоят все заплатки, стоит симантек корпорэйт, обновляемый, но все равно, периодически, на некоторых машинах, вываливается сообщение о том, что generic host process for win32 services обнаружена ошибка приложение будет закрыто. После этого, спустя некоторое время, отрубается сетка и машина виснет наглухо! А также симантек рапортует о том, что средствами автоматической защиты был отловлен вирусяка Downladup.B. При запуске KidoKiller ничего не видит. Прогонял утилиткой от симантека - та что то находила, вроде как удаляла, но через некоторое время те же симптомы. На одной машине не могу поставить 3-й сервис пак, говорит, что отказано в доступе в середине установки(запускаю с админскими правами). CureIT тоже ничего не нашла, как и утилита от Касперского для сканирования. В общем, тварь эта расползлась, Сегодня снова утром нашел ее на серваках, прибил KidoKillerom, чего ждать дальше - не знаю, какие меры еще можно принять!?

smartiom, если это - kido, то первое что надо - поставить SP3! и заплатки:
KB957097
KB958644
KB958687
иначе kido через теже дыры будет приходить к те снова и снова.

Если SP3 ставить не хочешь - то обязательно KB921883! В SP3 она уже есть.

Кстати, по этому

Цитата:

Ещё интересный симптом: сайты microsoft.com, eset.com, kaspersky.com и др. связанные с врусами не грузятся, сразу выдёт сообщение будто нет инета. Все остальные загружаются нормально.

скорее всего что kido.

1. этот вирус/червь kido проходит сквозь файрвол?
не знаю, не проверял
2. он заражает другие файлы? (.exe, .dll, и.т.д.)
нет. сам кучу создает - rnd.exe,jpg,bmp,gig,png - короче под картинки маскируется.
еще создает в recycled rnd.vmx и запускает autorun.inf его.
3. от него невозможно избавиься? можно только устранить его вредные действия?
уже можно.
4. если не стоит Win XP SP3 + самые свежие обновления, то зря стараться что-то сделать? особенно на SP1
типа того.

http://www.viruslist.com/ru/alerts?alertid=203698715 - про kido и модификации, как бороться и че качать.

Удачи.

Цитата:

http://www.viruslist.com/ru/alerts?alertid=203698715 - про kido и модификации, как бороться и че качать.

Удачи.

Статья старая, ничего толкового нет... проблема остается актуальной!

Учитывая, какие вопросы задает smartiom, что у него до сих пор ХРень с SP1, то ему она - в самый раз.

dimasikl
Внимательно прочитайте всю эту страницу в режиме для печати, изучите все приведенные здесь рекомендации, и многое станет ясно... Добавил ссылку для проверки зараженности компьютера.

у меня результаты борьбы с Kido тоже довольно печальны. Сеть из около 200 ПК. Эта зараза расползлась буквально за считаные минуты.
- поставил всем SP3 + заплатки
- на серверах тоже заплатки поставил
- благо флешки у всех забанены, так что с этим проще
- посканил у всех утилитами(AGENTCLN , f-downadup , SysClean-WORM_DOWNAD, Anti-Downadup, EConfickerRemover, FixDownadup, stinger10000482 , KidoKiller ) Они то все находят, но через некоторое время опять появляется. Антивырусы у всех NOD32 Avast. обнаруживают угрозу, типа удаляют ее, но толку мало.
вот сегодня еще просканил, жду завтра
Может кто еще подскажет, как побороть эту гадость

Подскажите, как эту дырочку замазать на прокси?
FreeBSD 7.1 + Squid

vovanj7
на счет моего примера избавления, я обходился не таким количеством утилит, вообщем у нас сетка состоит из трех в деревьев в лесу, одно дерево находиться под моей ответственностью, но к моему дереву подключены еще с десяток пользователей, который аутентифицируются в глобальном каталоге и просто физически ко мне подключены и используют динамические адресса, полученные от моего dhcp, когда он появился еще в январе, я отключил роутер и свитчи во все направления, прогнал по отдельности касперской утилиткой и курлитом вебовским в безопаснике, потом стал подключать обратно в сеть все машины по одной проверенной, да заплатки естесственно тоже ставил...в результате пока не подключился обратно в остальным деревьям, у меня ни чего обратно не появлялось, после перед тем как подключиться к лесу, постваил на всех машинах нод с фаирволом, после конфикер пытался зайти как свхост с тех машин в сети, которые ко мне не относяться.....насегодня он обратно вернулся, но пока появляется изредка на разных машин и ничего не происходит, его появление связанно с разрешением пользователей у которых стоял фаирвол, и которые всегда тыкали разрешить на его предложение, на тех машинах, которые пользователи послушные такого не было. Сейчас хоть он и появляется но пока ничего не проявляется в работе сети. Кроме на части машин в процессах висит от 5 до 10 запущенных rundll32.exe --весь гугл советует проверять на вирусы, но именно упоминания пр итаком количестве рандлл именно на конфике, кайдо не упоминается....вообщем через msconfig удалил из автозагрузки все приложения , которые мною не известны процессов /
rundll32.exe стало висеть на 4 процесса меньше , а вот остальные имено за что отвечают не скажу
Да кстати у меня в сети на машинах этот вирус появляется только на тех, кто пользователи самостоятельно тыкали на разрешение тех или иных сетевых служба, когда полностью настраивал сам фаир то на этих машинах уже пару месяцев данный вирус не появляется

Тоже была такая проблема, порядка 5 десятков компов, и 8 серваков, червь жил 1 день, после чего почитав сделал такую вот тему http://admindays.1gb.ru/index.php?newsid=4 ,внизу можно скачать решение всех ваших проблем а именно что входит:

Состав:
SFX архив с автоматическим извлечение во временную папку и запуском CMD файла.

@echo off
REGEDIT /S noautorun.reg
KidoKiller.exe -r -f -y -a
KidoKiller.exe -z -y
WinXPKB958687RUS.exe /quiet /norestart
WinXPKB958644RUS.exe /quiet /norestart
WinXPKB957097RUS.exe /quiet /norestart
shutdown -f -t 0 -r

1. Отключение обработки autorun.inf файлов на переносных устройствах
2. Запуск проверки -r (переносные устройства), -f (фиксированые устройсва), -y (пропускаем нажатие клавиши), -a (отключаем автораны).
3. -z (восстановление служб), -y (пропускаем нажатие клавиши)
4-6. Установка заплаток
7. Перезагрузка ПК.

Удачи.

Добавлено:

Цитата:

у меня результаты борьбы с Kido тоже довольно печальны. Сеть из около 200 ПК. Эта зараза расползлась буквально за считаные минуты.
- поставил всем SP3 + заплатки
- на серверах тоже заплатки поставил
- благо флешки у всех забанены, так что с этим проще
- посканил у всех утилитами(AGENTCLN , f-downadup , SysClean-WORM_DOWNAD, Anti-Downadup, EConfickerRemover, FixDownadup, stinger10000482 , KidoKiller ) Они то все находят, но через некоторое время опять появляется. Антивырусы у всех NOD32 Avast. обнаруживают угрозу, типа удаляют ее, но толку мало.
вот сегодня еще просканил, жду завтра
Может кто еще подскажет, как побороть эту гадость

Ха, делаеться все просто, отрубаешь комп от сети и проверяешь и так каждый!!! не включая провереные в сеть пока все не провериться, так как комп заразиться в секунды!

обновился KKiller_v3.4.4.zip
с оф источников не удается скачать, если есть у кого поделитесь.

Цитата:

Ха, делаеться все просто, отрубаешь комп от сети и проверяешь и так каждый!!! не включая провереные в сеть пока все не провериться

именно это и делалось вырубил всех на cisco catalyst и пока всех не проверил, не запустил, ну окромя windows 98 . Эти машины он не задевает, так чо хоть какая-то польза от 98-й

сегодня вроде немного стихло, так изредка появляются, запускаю kidokiller(научил пользователей периодически его запускать ), кстати от версии 3.4.4 тоже бы не отказался

Цитата:

именно это и делалось вырубил всех на cisco catalyst и пока всех не проверил, не запустил, ну окромя windows 98 . Эти машины он не задевает, так чо хоть какая-то польза от 98-й

Кхм ну если без циски они друг друга не видят, то ладно, еще я пробовал последний Virus Removal Tool с базами от 3его месяца, он тоже находит и убивает его, так что проверить желательно все машины, а лучше конечно физически отрубить комп, надежней

Если у когото не качаеться (что странно) можите слить отсюда http://admindays.1gb.ru/index.php?newsid=4 , внизу kkiller_v3.4.4.zip [159.06 Kb].

StasKarabas

ага, пасиб, уже скачал, сейчас сканю им понемножку

вирус в сетке вроде затих моей
но от него на компах некоторых непонятки остались
все связанные с сетью
то она сама по себе отрубается вообще
то после некоторого времени гаснут службы
то просто не работают некоторые экзотические программы

кроме переустановки пока ничего не помогает
слава богу сам вирус все реже виден, обычно на флешках случайных посетителей

Вылечил это гавно в 4-х фирмах, и насоветовал алгоритм всем знакомым, предупреждаю, очень трудоемко!!

1)Все просто, качаем на флешку уже не раз озвученый набор заплаток, kidokiller, AVZ, корейт от веба, плюс каспер на всех машинах стоял.
2)подходишь к машине, фставляешь флешку.
3) выдераешь сеть из сетевухи!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
4) ставишь заплатки и запускаешь сканирование всеми утилитами что есть и отключаешь автораны
5) выдераешь флешку, и выбираешь новую жертву.
6) если еще есть необработаные компы, то на пункт 2, если таких больше нет, то выход

У меня только одна проблема, криворукие пользователи, которые не смотря на свежие антивири и отключеные автораны, умудряются снова затаскивать гадость в сеть...

Цитата:

1)Все просто, качаем на флешку уже не раз озвученый набор заплаток, kidokiller, AVZ, корейт от веба, плюс каспер на всех машинах стоял.
2)подходишь к машине, фставляешь флешку.
3) выдераешь сеть из сетевухи!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
4) ставишь заплатки и запускаешь сканирование всеми утилитами что есть и отключаешь автораны
5) выдераешь флешку, и выбираешь новую жертву.
6) если еще есть необработаные компы, то на пункт 2, если таких больше нет, то выход

Мдя, сначала тоже так делал с флешкой, но когда флешка здохла после 20 компа с ценной инфой, вот тогда я плюнул на все это, а не легче расшарить на компе или серваке, всеравно все заражено, стянул нужный софт с компа, отключился от сети, проверил. Насчет AVZ, он нихрена не видит, ну может со свежими базами, КурИТ тоже, чтото видит но удалить не может. Мой вам совет, Virus Removal Tool со свежими базами и желательно в безопасно режиме, или Kaspersky Internet Security 2009, поставил на большинство компов, отражает сетевые атаки Кидо, и находит и фиксит его. А так пока проблем не имею, но из за кидо службы на серваках поотваливались, и на некоторых машинах.

StasKarabas

Цитата:

или Kaspersky Internet Security 2009

это все конечно хорошо, но вот есть маленький "ОЙ" . Лицензионный каспер стоит денег немаленьких, к тому же еще и корпоративный. А закуплены были НОД и АВАСТ

Цитата:

это все конечно хорошо, но вот есть маленький "ОЙ" . Лицензионный каспер стоит денег немаленьких, к тому же еще и корпоративный. А закуплены были НОД и АВАСТ

Насчет Аваста, на личном ноуте стоит хом, полугодовой, с новой базой обезреживает вирусню, нод на работе на некоторых компах стоит, базы с января месяца, ничего не видит и бездействует вообще.

как я уже писал выше, НОД с базами апрельскими видит и пишет, что обезвредил, но наскаольно эффеткивно сложно сказать.
В сети вроде пока затихла эта эпидемия

По поводу АВАСТа тоже обнаруживает и пишет, что удалил
Avast! 4.8.1335 Professional Edition

в шапку,если нету - добавить надо:
http://support.microsoft.com/kb/962007

Сам AVZ не видит, но лечит последствия, им же я блокирую автозапуски, заодно нашел последствия вирусов, что были на компах, но тихо вылечелись, а косяки пооставались
КурИТ обычно лечит, но когда все килял была такая проблема, что ничем удалить не мог, но после того как КурИТ его нашел, он легко убился любым антивирем или тупо в фаре.... потому я при лечении использовал 3 антивиря и 2 утилиты от KIDO сделаные семантеком и каспером.

http://www.secureblog.info/articles/453.html
Сегодня ночью ботнет Kido начал работать. Событие, ожидавшееся экспертами, еще с 1 апреля – произошло....

Да, гиганский ботнет зашевелился...немного страшновато. Я сегодня читал, этот ботнет зараженный Кидо может дохадить до 15 000 000 компьютеров!

Добавлено:
Свежая инфа тут: http://virusinfo.info/

Да, в список утилит по обнаружению червя - еще один детектор, Simple Conficker Scanner (SCS)
http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Написан на pyton, требует impacket (ports/net/py-impacket).
Под виндой не проверял (хотя там есть бинарник), а под фряхой пошло милое дело (ну и само собой, под линь)

./scs.py 10.0.0.1 10.0.38.0 > scan.log

FMD
Цитата:

Вопрос.
Вирус удалил. Но файлы авторан остались и никакими силами не могу их удалить даже в сейф моде.

Попробуй Унлокер:
http://ccollomb.free.fr/unlocker/

Про шапку.
Ссылка на Removal tools от AhhLab неправильная, должна быть:
http://global.ahnlab.com/global/file_removeal_down.jsp?filename=12383994028721&down_filename=v3conficker.zip
Т.к. версия KidoKiller'а все время обновляется, то лучше дать ссылку на страничку "Утилиты для борьбы с вирусами".
Еще Conficker Online Check от Informatik IV:
http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Цитата:

Но файлы авторан остались и никакими силами не могу их удалить даже в сейф моде.

Так с LiveCD загружайся и сноси все защищенное. System Volume Information заодно, корзины и все темпорари-темпы.

Господа, помогите решить проблему. После эпидемии KIDO началась такая проблема - при запуске компьютера не запускаются основные службы - Сервер, Рабочая станция, и т.д. Тип запуска стоит "Авто" и очень похоже, что они запускаются и тут же останавливаются, т.к. в системных логах есть записи "вход в процесс" и "выход из процесса". Естественно, не работает сеть.

Гадость оказалась на редкость живучей - при попытке восстановить систему с установочного диска ругается "указанная служба не может быть запущена". Установка системы в тот же раздел с удалением старой Windows тоже не помогает - только что установленная система также не запускает службы.

Антивирусы и сторонние утилиты ничего не нашли. Такое ощущение, что где-то лежит зверек, который цепляется в автозагрузку и останавливает службы. Помогите найти.

Цитата:

Господа, помогите решить проблему. После эпидемии KIDO началась такая проблема - при запуске компьютера не запускаются основные службы - Сервер, Рабочая станция, и т.д. Тип запуска стоит "Авто" и очень похоже, что они запускаются и тут же останавливаются, т.к. в системных логах есть записи "вход в процесс" и "выход из процесса".

У меня так службы на серверах так и не поднялись, помогла переустановка, востановление системы не дало никаких результатов.

AlexVlg
Для того чтобы, понять в чем контретно проблема, Вам надо просмотреть события системы, какие там события и с каким кодом фиксируються при запуске необходимых служб... И кстати какие-либо порты Вы не отключали, через wwdc?!