Пятница, 28.07.2017, 01:38
УзкоеМесто
Главная | Мои написания | Регистрация | Вход
Меню сайта
Категории каталога
Мои статьи [3]
ВМЕМОРИЗ [12]
Жизнь Сисадмина [18]
Полезные (на мой взгляд) сведения для сисадминов
Оченно рекомендую! [8]
Материалы и работы, с которыми я рекомендую ознакомиться
Поэзия [3]
Ссылки, строки. Поэтическое - не только стихотворное...
Наш опрос
Что мешает Вам стать "законным" пользователем программ?
Всего ответов: 71
Главная » Статьи » Жизнь Сисадмина

Kido, он же 5555, он же Conficker, он же HLLW.Shadow.based
Способы распространения kido по сети:
1. autorun.inf + файл .\RECYCLER\...\*.vmx на сменном носителе
2. Зараженные файлы jpeg, png, gif, bmp (часто находятся в кеше IE профайла пользователей).
3. Вытекающий из п.2 способ - вэб-страницы, содержащие зараженные файлы изображений.
4. Зараженные вложения в э-мэйл.
5. Распространение в локальной сети, используя уязвимость MS08-067
6. Распространение в сети, используя "HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры".
7. Неизвестно ещё как...

Признаки заражения:
1. В списке заданий шедулера появляются задания типа Alt1, Alt2....
2. В папке %SYSTEM%\system32 появляются "скрытые, системные" "левые" библиотеки или другие файлы, которые не удаляются, так как на них установлены либо "левые" права, либо они заняты процессами..
3. "Левые" права на чтение ветки реестра
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
(можно в стартапные скрипты вставить:
=======================================
set EvtFld=\\srv\kido$

title --- anti kido ---
Echo looking for KIDO
reg query HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
IF %ERRORLEVEL% == 0 (
  echo %computername% [%date%] has been infected by KIDO>> %EvtFld%\viruslist.txt
) ELSE (
  echo %computername% [%date%] has NOT been infected by KIDO>> %EvtFld%\CleanKidoViruslist.txt
)
=======================================
тогда в папочке, расшареной с сервера \\srv под именем \\srv\kido$ появятся файлики с сообщениями на которых компах это произошло

Затруднение жизни вирусяке:
0. Нормальный FireWall, открывающий в www только необходимые порты
1. Ставить апдейты:
Для серверов 2003:
WindowsServer2003-KB957097-x86-RUS.exe
WindowsServer2003-KB958644-x86-RUS.exe
WindowsServer2003-KB958687-x86-RUS.exe
Для XP:
WindowsXP-KB957097-x86-ENU.exe
WindowsXP-KB957097-x86-RUS.exe
WindowsXP-KB958644-x86-ENU.exe
WindowsXP-KB958644-x86-RUS.exe
WindowsXP-KB958687-x86-ENU.exe
WindowsXP-KB958687-x86-RUS.exe
2. На время борьбы:
===========================
В домене для облегчения симптомов на время лечения можно использовать http://joeware.net/freetools/tools/unlock/index.htm
Удобная утилитка для обнаружения заблокированных учётных записей и их разлочивания.
Вот пакетный файл для примера (запускается фоном и разлочивает учётки в заданном контейнере каждые 2 минуты с ведением лога):

@echo off
:BEGIN
echo %TIME% >> c:\unlock.log
Unlock.exe . * -b OU=users,DC=office,DC=company >> c:\unlock.log
ping 127.0.0.1 -n 120 > nul
GOTO BEGIN
============================

3. Очистить на всех машинках в сети список заданий:
#at \\host /delete /yes
4. Политиками остановить шедулеры, автораны, Поставить "readonly" на ветку "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost "
(http://support.microsoft.com/kb/962007/ru)

5. На контроллере домена восстановить политики, запустив батничек:
========================
@echo off
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
gpupdate /force
========================

6. Прогнать антивирусником все машинки.
Я гонял DrWEB-ом, при этом нужно иметь в виду, что DrWEB-овская GUI-утилита находит и лечит, а вот сканер ES - не находит вирус... :(.
Впрочем, SpiderGuard не даёт заразить машинку.

Вроде как всё...
Ещё "шлифануть" http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356 - она, похоже, ещё что-то правит в системе.


После этого можно спокойно и методично обойти все компы в домене и вычистить их от инфекции. Заодно настроить сервер обновлений, централизованый антивирусник и вдумчиво настроить политики...

(не закончено)
Категория: Жизнь Сисадмина | Добавил: Capitoshka (13.03.2009)
Просмотров: 6041 | Комментарии: 6 | Рейтинг: 5.0/1 |
Всего комментариев: 6
4  
Wheel, на серверах у вас тогда точно не Conficker был. Его уже многие АВ-вендоры по косточкам разобрали, и никто не нашел ничего вредящего политикам. Имхо, нужно сканить серверы дополнительно, это уже моя паранойя начинает грызть )
Утилита MRT - как же, знаком с ней. Как и все майкрософтовское - оно правит реестр. Те самые ключи, которые редмодские обитатели описывают в своей статье по ручному удалению Conficker.B )
Кстати, если интересен мой сценарий лечения сети от этой заразы - ознакомиться с ним можно вот тут: http://www.diary.ru/~hikedaya/p66127966.htm
P.S. Прошу прощения, что отвечаю не директивно на ваш комментарий в ветке обсуждения, Укоз не позволяет этого гостям делать...

5  
(Я и Wheel - одно лицо)
Про политики - это, похоже, следы "давно минувших дней", я домен "принял с рук".

Про комментарии - так зарегистрируйся! smile Впрочем - меня, как хозяина сайта, это не напрягает. biggrin


2  
Ознакомился, сравнил со своей ситуацией по лечению этой заразы - в принципе, процедура та же самая, различия лишь в инструментах лечения. У себя применял KKiller 3.4.1 от доброго привидения ;)
Единственное, чего не смог понять - чем была вызвана необходимость восстановления групповых политик? У нас Kido их не трогал, бил только службы на клиентах, куда смог добраться.
И еще - фокус с фоновой разблокировкой учетных записей, имхо, прокатит только в небольших доменах. В нашем (количество пользователей 1000+) скрипт разблокировки отрабатывал минут 20 с лишним. А в результате за это время гадина успевала по новой блокировать акки. Пришлось отменить блокировку вообще :)

3  
>чем была вызвана необходимость восстановления групповых политик?

У меня на контроллере домена и на некоторых рабочих станциях какой-то штамм нехило повеселился... Пришлось пройтись...

Ещё прошелся Микрософтовой Лечилкой. Она, похоже, что-то ещё правит в системе... wacko


1  
В добавление к лечению могу добавить поставить указанные заплатки после этого запустить Autoruns v9.39 (это не реклама просто программа мне очень помогла ,адрес www.sysinternals.com) она позволяет "увидеть" все процессы которые запускаются на компьютере, у меня от этого вируса появлялся процесс service.exe и где то csrcs.exe (могет от другого вируса), и еще она показывает очень много полезного и ненужного что не нашлось в реестре но можно найти там. После чего нужно только перегрузить компьютер. Буду очень рад если кому нибудь был полезен в данном вопросе.

6  
Там, у Sysinternals, вообще много "вкусных" утилит...

Я себе прямо-таки весь Suite взял. Один только "расширенный менеджер процессов" чего стОит!!!

Вот только это всё "лазерные скальпели" smile Можно удачно прооперировать, а можно тестикулы нечаянно отсечь... Аккуратненько так и эффективно....


Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Форма входа
Поиск

Друзья сайта

Диаграмма вирусной активности в сети за последние 24 часа
Статистика
Copyright MyCorp © 2017