Net-worm.Win32.Kido.ih с новым способом проникновения

[Abark]

Здравствуйте.

Нашу локальную сеть поразила новая модификация Kido.
Антивирус Касперского 6.0.3.837 с обновлениями сигнатур от 06.06.2009 детектирует в файле C:/Windows/System32/lpbfunw.s (на других компьютерах- другие названия файла) вирус Net-Worm.Win32.Kido.ih Также создается задания в планировщике задач на запуск этого файла с помощью rundll32 (это делает стандартный процесс svchost с ключем netsvcs, который отвечает за сетевые службы и в том числе службу планировщика задач, видимо ему по сети как-то приходит команда на создание задачи)

Последний KidoKiller 3.4.7 вроде бы детектирует kido и удаляет его, но через некоторое время файл с kido снова создается на компьютере. При попытке отслеживание создания зараженного файла с помощью FileMon не удается увидеть момента создания этого файла, и какой процесс его создает, а удаление этого файла (которое делает KAV) в логах FileMon видно.

При этом рекомендуемая заплатка
(http://www.microsoft.com/technet/sec.../MS08-067.mspx)
была установлена еще во время первой волны 13 января 2009 и в сети настроены регулярные обновления для всех Windows систем.

Вопрос в том, каким образом зараза попадает на компьютер? Видимо какая-то новая уязвимость в одном из стандартных виндовых сервисов. Вобщем прошу помощи в защите сети, как закрыть сеть от распространения заразы?

[Rene-gad]

- Выполните скрипт

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\drivers\REGSYS.SYS','');
end.

- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите логи из локальной сессии.
- Сделайте лог gmer (см. инструкцию в Чаво).

[Abark]

Файл REGSYS.SYS не удается найти, это видимо был драйвер, который загружал на время работы Sysinternals Process Explorer, который я запускал до запуска AVZ.

Переделал логи из локальной сессии (прикреплены к первому посту вместо старых),
сделал лог с помощью gmer.

(судя по логам gmer, на машине присутствует скрытая служба(ы) - "gftym" и "xecag" - и root-kit активность)

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('gftym');
 DeleteService('xecag');
 QuarantineFile('C:\WINDOWS\system32\lpbfunw.dll','');
 DeleteFile('C:\WINDOWS\system32\lpbfunw.dll');
 RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\gftym','Description');
 RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\xecag','Description');
 RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\gftym');
 RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\xecag');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('gftym');
BC_DeleteSvc('xecag');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=47445

3. Сохраните содержимое как start.bat в каталоге с gmer, запустите и после перезагрузки повторите лог gmer.

Код:

gmer.exe -del service gftym
gmer.exe -del service xecag
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym@DisplayName"                                                                                                                            
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym@Type"                                                                                                                    
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym@Start"                                                                                                                        
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym@ErrorControl"                                                                                                                             
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym@ImagePath"                                                                                                                            
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym@ObjectName"                                                                                                                
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym@Description"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym\Parameters"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym\Parameters@ServiceDll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag@DisplayName"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag@Type"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag@Start"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag@ErrorControl"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag@ImagePath"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag@ObjectName"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag@Description"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag\Parameters"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag\Parameters@ServiceDll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym@DisplayName"                                                                                                                            
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym@Type"                                                                                                                    
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym@Start"                                                                                                                        
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym@ErrorControl"                                                                                                                             
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym@ImagePath"                                                                                                                            
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym@ObjectName"                                                                                                                
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym@Description"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym\Parameters"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym\Parameters@ServiceDll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag@DisplayName"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag@Type"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag@Start"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag@ErrorControl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag@ImagePath"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag@ObjectName"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag@Description"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag\Parameters"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag\Parameters@ServiceDll"
gmer -reboot

[Abark]

Закачал содержимое карантина.

Запустил start.bat для gmer.
При отработке команд на удаление ключей реестра практически на каждой команде выскакивал message box с текстом,

Код:

"DeleteKey: Произошел сбой в программе инициализации библиотеки динамической компоновки (DLL)"

. не понятно, так и должно быть (например потому что avz при выполнении своего скрипта уже все это удалил) или это говорит о какой-то неожиданной ошибке ?

Выслал новый лог gmer.


Способ лечения отдельно взятой машины в общем понятен, главный вопрос в том, как закрыть машину от повторного заражения из сети ?

После всего проделанного и удаления файла с вирусом (C:\WINDOWS\system32\lpbfunw.dll), а также удаления скрытых служб через некоторое время снова появляется файл (C:\WINDOWS\system32\lpbfunw.s) и включенный KAV детектирует в нем Kido.ih
Загнал этот файл тоже в карантин и могу выслать по вашему требованию.

Получается что вирус снова как-то просачивается на компьютер. Вопрос как это остановить?

Причем компьютер уже на всякий случай отключен от локальной сети.

[Rene-gad]

http://support.kaspersky.ru/faq/?qid=208636215 - скачайте и запустите.

[Abark]

Про результаты применения KK (KidoKiller) 3.4.7 я писал в первом сообщении. Он видит только задачи создаваемые вирусом в планировщике задач и прибивает их. В процессах он вируса не находит.

Из трех рекомендованных заплаток у меня точно стояла одна, а две других наверно тоже уже проходили при регулярном обновлении Windows. Установил их все три еще раз на всякий случай.
Но к сожалению это не помогает, стоит машине побыть 15-20 минут подключенной к сети, на ней снова появляется вирусный файл (c:\windows\system32\lpbfunw.s или lpbfunw.dll), который KAV тут же детектирует и предлагает лечить/удалить, лечение не выходит, а удалять вроде бы удаляет.

Вопрос "как закрыть комп от сетевого заражения?" все еще актуален.

[Rene-gad]

Вопрос "как закрыть комп от сетевого заражения?" все еще актуален.

Давим!

[thyrex]

Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана.

Сделали?

[Abark]

Закрыть указанные порты в локальной сети нельзя, поскольку они нужны для служб netbios, используемых файл-сервером, и администрирования сети.

Отдельный компьютер отключенный от сети вполне вылечивается, но по возвращении в сеть снова заражается несмотря на все установленные заплатки.

[Aleksandra]

Лог Gmer после лечения чистый.

Отдельный компьютер отключенный от сети вполне вылечивается, но по возвращении в сеть снова заражается несмотря на все установленные заплатки.

Прочитайте http://virusinfo.info/showpost.php?p=390614&postcount=3

[Abark]

Большое спасибо Alexandra за полезную ссылку.

Да лог gmer на отдельной машине чистый.

Взгляд на парк серверов показал что там не везде стоят заплатки, и учитывая административные привелегии серверов видимо зараза рассылается по сети оттуда. Будем лечить сервера. О результатах отпишусь через день-два.

[Abark]

После накатывания патчей и обновлений на все сервера (было в частности забыто обновить свежеустановленный сервер), а также установки антивируса на некоторые машины пользователей (выявить которые удалось с помощью снифера и централизованной админской консоли KAV) вирус практически полностью изведен, и не подает признаков жизни уже сутки.
Вывод из случившегося: не нужно искать хитрых способов распространения вируса, когда есть дырявые сервера и включены сервисы администрирования Windows, для вируса этого вполне достаточно. Хорошо хоть KAV в резидентном режиме сразу определял появляющиеся зараженные файлы и предлагал их прибить.

Огромное всем спасибо.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\lpbfunw.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Autoruner.5555, BitDefender: Win32.Worm.Downadup.Gen )