Kido, он же 5555, он же Conficker, он же HLLW.Shadow.based
Способы распространения kido по сети:
1. autorun.inf + файл .\RECYCLER\...\*.vmx на сменном носителе
2. Зараженные файлы jpeg, png, gif, bmp (часто находятся в кеше IE профайла пользователей).
3. Вытекающий из п.2 способ - вэб-страницы, содержащие зараженные файлы изображений.
4. Зараженные вложения в э-мэйл.
5. Распространение в локальной сети, используя уязвимость MS08-067
6. Распространение в сети, используя "HTTP сервер на случайном TCP
порту, который затем используется для загрузки исполняемого файла червя
на другие компьютеры". 7. Неизвестно ещё как...
Признаки заражения: 1. В списке заданий шедулера появляются задания типа Alt1, Alt2.... 2. В папке %SYSTEM%\system32 появляются "скрытые, системные" "левые" библиотеки или другие файлы, которые не удаляются, так как на них установлены либо "левые" права, либо они заняты процессами.. 3. "Левые" права на чтение ветки реестра HKLM\SYSTEM\CurrentControlSet\Services\netsvcs (можно в стартапные скрипты вставить: ======================================= set EvtFld=\\srv\kido$
title --- anti kido ---
Echo looking for KIDO
reg query HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
IF %ERRORLEVEL% == 0 (
echo %computername% [%date%] has been infected by KIDO>> %EvtFld%\viruslist.txt
) ELSE (
echo %computername% [%date%] has NOT been infected by KIDO>> %EvtFld%\CleanKidoViruslist.txt
) ======================================= тогда в папочке, расшареной с сервера \\srv под именем \\srv\kido$ появятся файлики с сообщениями на которых компах это произошло
Затруднение жизни вирусяке: 0. Нормальный FireWall, открывающий в www только необходимые порты 1. Ставить апдейты:
Для серверов 2003: WindowsServer2003-KB957097-x86-RUS.exe WindowsServer2003-KB958644-x86-RUS.exe WindowsServer2003-KB958687-x86-RUS.exe Для XP: WindowsXP-KB957097-x86-ENU.exe WindowsXP-KB957097-x86-RUS.exe WindowsXP-KB958644-x86-ENU.exe WindowsXP-KB958644-x86-RUS.exe WindowsXP-KB958687-x86-ENU.exe WindowsXP-KB958687-x86-RUS.exe
2. На время борьбы: =========================== В домене для облегчения симптомов на время лечения можно использовать http://joeware.net/freetools/tools/unlock/index.htm
Удобная утилитка для обнаружения заблокированных учётных записей и их разлочивания.
Вот пакетный файл для примера (запускается фоном и разлочивает учётки в заданном контейнере каждые 2 минуты с ведением лога):
3. Очистить на всех машинках в сети список заданий:
#at \\host /delete /yes
4. Политиками остановить шедулеры, автораны, Поставить "readonly" на ветку "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost " (http://support.microsoft.com/kb/962007/ru)
5. На контроллере домена восстановить политики, запустив батничек: ======================== @echo off secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose gpupdate /force ========================
6. Прогнать антивирусником все машинки. Я гонял DrWEB-ом, при этом нужно иметь в виду, что DrWEB-овская GUI-утилита находит и лечит, а вот сканер ES - не находит вирус... :(. Впрочем, SpiderGuard не даёт заразить машинку.
После этого можно спокойно и методично обойти все компы в домене и вычистить их от инфекции. Заодно настроить сервер обновлений, централизованый антивирусник и вдумчиво настроить политики...
Wheel, на серверах у вас тогда точно не Conficker был. Его уже многие АВ-вендоры по косточкам разобрали, и никто не нашел ничего вредящего политикам. Имхо, нужно сканить серверы дополнительно, это уже моя паранойя начинает грызть ) Утилита MRT - как же, знаком с ней. Как и все майкрософтовское - оно правит реестр. Те самые ключи, которые редмодские обитатели описывают в своей статье по ручному удалению Conficker.B ) Кстати, если интересен мой сценарий лечения сети от этой заразы - ознакомиться с ним можно вот тут: http://www.diary.ru/~hikedaya/p66127966.htm P.S. Прошу прощения, что отвечаю не директивно на ваш комментарий в ветке обсуждения, Укоз не позволяет этого гостям делать...
Ознакомился, сравнил со своей ситуацией по лечению этой заразы - в принципе, процедура та же самая, различия лишь в инструментах лечения. У себя применял KKiller 3.4.1 от доброго привидения ;) Единственное, чего не смог понять - чем была вызвана необходимость восстановления групповых политик? У нас Kido их не трогал, бил только службы на клиентах, куда смог добраться. И еще - фокус с фоновой разблокировкой учетных записей, имхо, прокатит только в небольших доменах. В нашем (количество пользователей 1000+) скрипт разблокировки отрабатывал минут 20 с лишним. А в результате за это время гадина успевала по новой блокировать акки. Пришлось отменить блокировку вообще :)
В добавление к лечению могу добавить поставить указанные заплатки после этого запустить Autoruns v9.39 (это не реклама просто программа мне очень помогла ,адрес www.sysinternals.com) она позволяет "увидеть" все процессы которые запускаются на компьютере, у меня от этого вируса появлялся процесс service.exe и где то csrcs.exe (могет от другого вируса), и еще она показывает очень много полезного и ненужного что не нашлось в реестре но можно найти там. После чего нужно только перегрузить компьютер. Буду очень рад если кому нибудь был полезен в данном вопросе.