-
Junior Member
- Вес репутации
- 56
Conficker.AE сеть с доменом вин2003
После попадания вируса Conficker.AE в сеть на работе она упала минут за 15.. компьютеры начали виснуть намертво. В сети 70 компьютеров и 2 сервера. В первый вечер вылечил порядка 15 компьютеров и 2 сервера и собственно проблем на них больше не наблюдалось. Было еще пару компьютеров которые не упали под натиском, видимо стояла заплатка. Что же творится дальше, те самые компьютеры которые не попали в первые две счастливые группы не могут зайти в учетку кроме админа пишет переполнение журнала событий, на самом деле вычищаешь первый раз пускает пользователя после перезагрузки нет, захожу смотрю в журнале по 15 записей на группу... чистку провожу утилитой CureIt!. Делаю полную проверку, находит вирусы шедов базед, что и есть конфикер по версии нода. Просит перезагрузку. Перезагружаю. И все выше описанное повторяется. Заплатка KB958644 ставил в 1 очередь.
Спасайте, мыслей на этот счет не находится.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
Гриша
Вроде помогло.
Переполнение журнала вызывали зараженные компьютеры. Решилось простым чтением журнала и лечением атакующих.
Но после кидокиллера утилита доктора вэба находит вирусняк.
Если пару дней и отпишусь что как.
С вистой 64 бита не могу понять как совладать, не ставится патч, лицензия обновлялась, возможно он там просто есть уже.
Стоит нод32 лицензия и постоянно выскакивает что нашел вирус
c:\windows\system32\ziffv.bhp размер 159140 win32/Conficker.AE червь
нашелся уже 396 раз
кидо киллер не нашел ничего
при запуске правда выдает строк 30
"program crashed in ScanThread"
Добавлено через 4 часа 43 минуты
и может кто посоветует программу снифер, что бы поставить ее на один из компьютеров и следить откуда идут запросы.
Последний раз редактировалось Same; 27.02.2009 в 17:01.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 56
Проблема не решается касперским и чисткой антивирусом после, файлы с вирусами после находятся с такими же именами и там же. Проблема осложняется тем что компьютеры находятся в локальной сети работу которой остановить не представляется возможным.
Подскажите решение, спасу нет уже.
-
Сообщение от
Same
Проблема не решается касперским и чисткой антивирусом после, файлы с вирусами после находятся с такими же именами и там же. Проблема осложняется тем что компьютеры находятся в локальной сети работу которой остановить не представляется возможным.
Подскажите решение, спасу нет уже.
Если все ПК в домене, то решение простое, а именно:
1. Проставить все заплатки на рабоче места и на сервер. В идеале - поднимаем на контроллере домена сервер WSUS, на всех ПК настраиваем обновление на него, для начала авторизуем к установке только критические заплатки, постепенно добавляем остальные ... В среднем дня через 2-3 без остановки работы все машины будут заапдейчены до упора (правда юзерам придется дать интрукцию перегружать ПК и стаить апдейты по каждому предложению системы, а иначе удовольствие может растянуться на неделю как минимум);
2. Если путь 1 неприемлем (или приемлем, но нужно побыстрее наладить защиту) можно через домен проставить 1-3 критические заплатки против червя, это очень просто - у заплаток есть режим бесшумного запуска, ключи можно посмотреть, запустив заплатку с параметром /?;
3. Всем юзерам поставить сложные пароли. Они конечно будут пищать, брыкаться - но это решаемо ... если уже совсем запищат, то руководству каркуляцию решения на базе USB токенов, смарт-карт или биометрических сканеров, цена вопроса в среднем от 500 руб до 3-5 т.р. на один ПК. Из практики биометрия хороша - палец себе юзер не откусит, в отличие от USB "свистка", который явно будет постоянно торчать в компьютере ... и это хороший задел на случай разборки - с биометрией совсем отлично, всякие бредни типа "я отошел на 15 минут в туалет, а в это время зеленые человечки с Марса захватили контроль над моим ПК и полезли порнуху смотреть" уже не проходят ;
4. Отключить админ-шары и неавторизованные подключения к расшаренным папкам (ключи реестра + блокировка учетки гостя). Это опять-же легко сделать через контроллер домена
Вот и все ... плюс:
5. Провести аудит всех ПК на предмет наличия сотовых модемов и подключенных мобильников. Если найдется - оторвать все (мобильники и модемы от ПК, юзеру руки или голову ... ). Ибо если у ЛВС есть точки выхода "в мир" напрямую, то собственно червяки сетевые будут забираться туда без проблем.
6. Организовать 1-2 компьютера ловушки (с уязвимой операционкой + сниффером, чтобы ловить источники атаки). Это несложно, ловушкой может быть операционка на виртуальном ПК - главное, включить ее в домен/рабочую группу и дать ей IP из своей подсети
7. Проверить правила на роутере/Firewall на границе сети - убедиться, что порты MS перекрыты .. . плюс в идеале всех юзеров запустить в Инет не напрямую через NAT, а через прокси-сервер (SQUID на xNIX машинке имхо почти идеален для этого - ресурсов почти не ест, и очень много что умеет в плане фильтрации трафика). Это не связано напрямуюс KIDO, но является отличной профилактической мерой
8. Поставить хороший корпоративный антивирус. Под термином "хороший" понимается то, что его центр управления должен давать оперативный контроль над обстановкой. У меня например сеть защищена KAV6 + используется "слегка доработанный напильником" админкит (админкит сам по себе удобен, но еще удобнее то, что база данных у него открытая и не защищена никак от любопытствующих - что дает знающему SQL админу/безопаснику неограниченные возможности в плане анализа, создания разных информеров и т.п. При этом в базе есть ряд view, которые резко упрощают задачу анализа, например запросик вида:
Код:
SELECT TOP 100 PERCENT dbo.ev_event.group_name,
dbo.ev_event.rise_time,
dbo.ev_param.par2 AS GNRL_EA_PARAM_2,
dbo.ev_param.par5 AS GNRL_EA_PARAM_5,
dbo.ev_param.par7 AS GNRL_EA_PARAM_7,
ISNULL(dbo.v_hosts_and_slaves.strDisplayName, dbo.ev_event.hostname) AS hostdn,
dbo.v_hosts_and_slaves.strWinHostName AS host_winhostname,
dbo.v_hosts_and_slaves.nIpAddress AS nHstIpAddress, dbo.v_hosts_and_slaves.nIpCon AS nHstIpCon
FROM dbo.ev_event LEFT OUTER JOIN
dbo.v_hosts_and_slaves ON dbo.ev_event.hostname = dbo.v_hosts_and_slaves.strName LEFT OUTER JOIN
dbo.ev_param ON dbo.ev_event.event_id = dbo.ev_param.event_id
WHERE (dbo.ev_event.event_type = 'GNRL_EV_VIRUS_FOUND')
AND (dbo.ev_param.par5 like '%.Kido.%')
AND (UPPER(dbo.ev_param.par2) like UPPER('%RECY%'))
ORDER BY dbo.ev_event.rise_time DESC
даст нам инциденты с KIDO, занесенным с флешки ... это в принципе и через его генератор отчетов можно делать, но напрямую сидя в базе интереснее
PS: вообще защита сети - хорошая тема для книги или цикла статей ... надо будет заняться
Последний раз редактировалось Зайцев Олег; 01.03.2009 в 11:48.
-
-
Сообщение от
Зайцев Олег
...
что дает знающему SQL админу/безопаснику неограниченные возможности в плане анализа, создания разных информеров и т.п. При этом в базе есть ряд view, которые резко упрощают задачу анализа, например запросик вида:
Код:
SELECT TOP 100 PERCENT dbo.ev_event.group_name,
dbo.ev_event.rise_time,
dbo.ev_param.par2 AS GNRL_EA_PARAM_2,
dbo.ev_param.par5 AS GNRL_EA_PARAM_5,
dbo.ev_param.par7 AS GNRL_EA_PARAM_7,
ISNULL(dbo.v_hosts_and_slaves.strDisplayName, dbo.ev_event.hostname) AS hostdn,
dbo.v_hosts_and_slaves.strWinHostName AS host_winhostname,
dbo.v_hosts_and_slaves.nIpAddress AS nHstIpAddress, dbo.v_hosts_and_slaves.nIpCon AS nHstIpCon
FROM dbo.ev_event LEFT OUTER JOIN
dbo.v_hosts_and_slaves ON dbo.ev_event.hostname = dbo.v_hosts_and_slaves.strName LEFT OUTER JOIN
dbo.ev_param ON dbo.ev_event.event_id = dbo.ev_param.event_id
WHERE (dbo.ev_event.event_type = 'GNRL_EV_VIRUS_FOUND')
AND (dbo.ev_param.par5 like '%.Kido.%')
AND (UPPER(dbo.ev_param.par2) like UPPER('%RECY%'))
ORDER BY dbo.ev_event.rise_time DESC
даст нам инциденты с KIDO, занесенным с флешки ... это в принципе и через его генератор отчетов можно делать, но напрямую сидя в базе интереснее
PS: вообще защита сети - хорошая тема для книги
или цикла статей ... надо будет заняться
Запрос явно не человеком написан (видать, машинный разум вмешался, типа КиберХелпера)...
Разве гуманоид может написать:
Код:
SELECT TOP 100 PERCENT dbo.ev_event.group_name,
или:
Код:
AND (UPPER(dbo.ev_param.par2) like UPPER('%RECY%'))
=)
-
-
Сообщение от
aintrust
Запрос явно не человеком написан (видать, машинный разум вмешался, типа КиберХелпера)...
Разве гуманоид может написать:
явно не человеком - это кусок кода из родного view админкита, только доработанный фильтрами
-
-
Junior Member
- Вес репутации
- 56
to Зайцев Олег
Заплатки ручками поставлены, но вирус там появляется снова и снова. Более того компьютеры пропатчены совершенно все может не везде вычищены хорошо.
Дело в том что я не могу в рабочее время отключить сеть. А если вылеченный компьютер пропатченый компьютер попадает в сеть он опять заражается или я не уловил какой мелочевки.
По поводу интернета он и так через прокси классическую даже не прозрачную.
-
Junior Member
- Вес репутации
- 56
Приложил логи одного из компьютеров.
Последний раз редактировалось Same; 16.10.2009 в 20:25.
-
-
-
Junior Member
- Вес репутации
- 56
to Гриша
Вы уже писали, не помогает, после перезагрузки запускаю лечилку от касперского находит тот же вирус в том же месте. Заплатки стоит 3 KB957097 KB958644 KB958687.
Самое забавное что после лечилки каспера CureIt опять его находит.
-
Сообщение от
Same
to Гриша
Вы уже писали, не помогает, после перезагрузки запускаю лечилку от касперского находит тот же вирус в том же месте. Заплатки стоит 3 KB957097 KB958644 KB958687.
Самое забавное что после лечилки каспера CureIt опять его находит.
Заплатки - это мало. Нужно еще пароли поставить сложные, отключить админшары и т.п. - т.е. перекрыть все возможные пути. А иначе я видел ситуации, ПК пропатчен до упора, но там админ без пароля
-
-
Junior Member
- Вес репутации
- 56
to Зайцев Олег
Ситуация такая, у пользователя нет админских прав, пароль слабый.
нет шары как таковой, только принтер расшарен.
В выходные вычистил компьютер при отключенной сетке. Утилиты CureIT и KillKido3.1 не находили после полной проверки.
Сейчас по сети у этого человека и других есть папка планировщика задач, которую мы точно не создавали и раньше ее небыло
Так же появился в процессах rundll32.exe
Данный компьютер сегодня опять занимается расстрелом сети.
Заплатки там стоят, операционка win XP SP3. Могу прислать тело вируса если нужно. Поставить Антивирусы на все компьютеры не представляется возможным с материальной точки зрения, кризис же.
-
Сообщение от
Same
to Зайцев Олег
Ситуация такая, у пользователя нет админских прав, пароль слабый.
нет шары как таковой, только принтер расшарен.
Вот в том то и беда, что пароль слабый ... плюс флешки наверное применяются активно и бесконтрольно. Я могу поделиться REG файлом, который душит автозапуск + отключае админ-шары + выключает некоторые уязвимые службы + отключает неавтризованные подключения. Но это убойная штука и она может нарушить работу чего-то, например если пользователи привыкли забираться друг другу на ПК без авторизации. Плюс обязательно нужно проверить сам контроллер домена и поставить на него все заплатки
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
Зайцев Олег
Вот в том то и беда, что пароль слабый ... плюс флешки наверное применяются активно и бесконтрольно. Я могу поделиться REG файлом, который душит автозапуск + отключае админ-шары + выключает некоторые уязвимые службы + отключает неавтризованные подключения. Но это убойная штука и она может нарушить работу чего-то, например если пользователи привыкли забираться друг другу на ПК без авторизации. Плюс обязательно нужно проверить сам контроллер домена и поставить на него все заплатки
Но этот пользователь не имеет админских прав. Доступа в систем32 нет
И пароль локального администратора сложный.
Откуда берется вирус и нафига тогда ставить заплатки если они не меняю буквально ничего.
На счет рег файла я не откажусь, в конце концов проатализирую его и под себя настрою) давно мечтал о такой штуке.
-
Сообщение от
Same
На счет рег файла я не откажусь, в конце концов проатализирую его и под себя настрою) давно мечтал о такой штуке.
Я отправил в PM мой прототип, который у меня запускается принудительно на всех ПК в качестве меры профилактики
Добавлено через 2 минуты
Сообщение от
Same
Откуда берется вирус и нафига тогда ставить заплатки если они не меняю буквально ничего.
Этот червяк тем то и знаменит, что применяет разом несколько векторов размножения (уязвимости, перебор паролей, размножение на флешках и т.п.). Заплатки перекрывают только один из векторов размножения ...
Последний раз редактировалось Зайцев Олег; 02.03.2009 в 19:40.
Причина: Добавлено
-