# Форум на русском языке  > Угрозы информационной безопасности  > Сетевые атаки  >  Подскажите, как локализовать червачка.

## GrAnd

Может быть, немного не в тему, но больше вроде как и некуда ...

Поймали у меня в сетке червя Net-Worm.Win32.Kido.ih (http://www.viruslist.com/ru/viruses/...rusid=21782790).

И ломится эта тварь на многие компы в сети (которые из-за экономии трафика давно не обновлялись). На них стоит Avira Antivir, так что заразить их не получается. Однако нервирует, когда через каждые 10-15 минут выскакивает сообщение об обнаружении вируса.

Вопрос такой: как не исследуя каждый комп в сети, определить с какого именно идут попытки распространения червя? Отключение сегментов не предлагать - инфицированных компов может быть несколько.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## askorbinka

В общем не идея, а реальное разрешение проблемы при наличии "инструментов" в локальной сети: сервер Windows 2003 + NOD32 2,79. При атаке NOD блокирует машину и выкидывает окошко с IP адресом зараженной машины, названием вируса и предложение блокировать угрозу. 

Примечание: все машины в сетке шлюзуются через сервер.

----------


## bmw-mtv

думаю вот это поможет Сетевая утилита для тестирования уязвимостей MS08-065, MS08-067 и MS09-001
ну и вот это  Сетевой детектор conficker'a
ну а потом удалять его вот этим

----------


## GrAnd

> ну и вот это Сетевой детектор conficker'a


С детектором не понятно. Там только скрипты для питона. А экзешники под винду где взять?

----------


## bmw-mtv

> С детектором не понятно. Там только скрипты для питона. А экзешники под винду где взять?


в комментариях на хабре 



> ещё один способ, только нужна последняя версия nmap:
> 
> nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [targetnetworks]

----------


## GrAnd

Скачал nmap. На своем компе под WinXP Pro SP2 запустить не удалось - вылетал с ошибкой. Пришлось устанавливать в терминальном режиме на сервере Win2K SP4. Собственно говоря, результаты проверки не были оригинальными - под подозрение на инфицирование попали в основном компы, которые в последние дни исчезли из списка обозревателя сети. Но для дополнительного контроля ее все же можно использовать.

Вопросы в другом:

1. Проверка nmap показывает инфицирование какого-нибудь компа. Кроме того, наблюдаются конкретные косвенные симптомы: этот комп исчез из обозревателя сети, сам сети не видит, при перезагрузке и входе администратором выдает сообщение об аварийном останове службы, запускаемой через svchost. К антивирусным сайтам доступ блокирован. Но AVZ ничего криминального на машине не показывает. Нет никаких подозрительных процессов, служб, драйверов, BHO и пр. В реестре служба netsvcs и другие знаковые ключи отсутствуют. В папке system32 подозрительных dll размером около 190 Кб не замечено. В корне дисков авторанов нет. Это он так маскируется, что его AVZ не видит? Или я невнимательно или не туда смотрел? И можно ли с помощью AVZ его обнаружить и удалить?

2. Этого червя я обнаружил в том числе и на своем компе (вернее, был обнаружен и удален в процессе работы KKiller). Хотя критические обновления у меня скачиваются регулярно. И Avira обнаруживала и блокировала попытки записи на диск инфицированной dll в системную папку и в локальный кэш. Так каким же образом он все же внедрился? Ладно уж Avira не сработала. Могу поверить даже в это. Но неужто даже критические оновления не помогают?

----------


## bmw-mtv

Я предлагаю всё таки воспользоваться  KKiller-ом, т.к. он специально создавался для удаления kido.

----------


## GrAnd

> Я предлагаю всё таки воспользоваться KKiller-ом, т.к. он специально создавался для удаления kido.


Так KKiller, как я писал выше, находит и изничтожает зловреда. Но интересно, как его можно обнаружить и прибить подручными неспециализированными средствами.

Дело в том, что AVZ я пользуюсь уже около 3-х лет. Первый раз он мне помог в обнаружении и удалении Look2Me. И с тех пор помогал исправно. Большинство троянов обнаруживались и удалялись за 5-10 минут. Ну еще немного времени, чтобы почистить следы. Если какого-нибудь зловреда я и не мог долго обнаружить с его помощью, то исключительно из-за собственной невнимательности.

Вот поэтому и интересуюсь - где в AVZ его искать. Видит ли его AVZ или нет. Или это я опять туплю и не вижу очевидного?

----------


## bmw-mtv

Предлагаю сделать так:
1. Ищем комп с признаками заражения.
2. Запускаем AVZ, 
3. Включаем AVZPM, 
4. Перезагружаем комп
5. Делаем стандартный скрипт №3 в AVZ.
6. Перезагружаем комп
7. Запускаем KKiller _kk.exe -f -r -y -l report.txt -v_
8. Смотрим файл report.txt и сравниваем с логами AVZ.

Результатов может быть несколько:
- Вы что то пропустили в логах AVZ 
- AVZ ничего не показал в логах

----------


## GrAnd

> Предлагаю сделать так:
> 1. Ищем комп с признаками заражения.
> 2. Запускаем AVZ, 
> 3. Включаем AVZPM, 
> 4. Перезагружаем комп
> 5. Делаем стандартный скрипт №3 в AVZ.
> 6. Перезагружаем комп
> 7. Запускаем KKiller _kk.exe -f -r -y -l report.txt -v_
> 8. Смотрим файл report.txt и сравниваем с логами AVZ.
> ...


В четверг вечером, когда я уже сдался и решил все же использовать KKiller, я вылечил 2 сервера и 2 компа. Так что, на понедельник, наверное, еще несколько десятков для экспериментов осталось  :Smiley: )). Так с ними и буду поступать.

----------


## Гриша

> 3. Включаем AVZPM


Интересно что даст AVZPM?  :Smiley:

----------


## bmw-mtv

2 десятка это много :-)
Несколько компов можно оставить для экспериментов, а на остальных запустить чистку.

Проще наверное будет сделать так: 
Качаем пачти, закрывающие уязвимости MS08-067, MS08-068, MS09-001 если ещё не скачали.
Закинуть их в одну папку, создать там файл install.bat с таким текстом


```
@echo off
echo Installing updates Windows
echo =====================
echo Installing WindowsXP-KB958644-x86-RUS.exe...
WindowsXP-KB958644-x86-RUS.exe -q -norestart
echo ...OK
echo Installing WindowsXP-KB957097-x86-RUS.exe...
WindowsXP-KB957097-x86-RUS.exe -q -norestart
echo ...OK
echo Installing WindowsXP-KB958687-x86-RUS.exe...
WindowsXP-KB958687-x86-RUS.exe -q -norestart
echo ...OK
echo Updates installed successfully
echo =====================
pause
exit
```

кидаем в эту же папку kk.exe, пишем такой kk.bat: 


```
@echo off
echo disable autorun 
KK.exe -a
echo kill Kido
kk.exe -f -r -y -l report.txt -v
echo done
pause
exit
```

Кидаем эту папку на флешку и идём к зараженным компам.Копируем папку на все компы, запускаем install.bat, ждём, перезагружаем комп, запускаем kk.bat, ждём, перезагружаем комп.
В общем как-то так  :Roll Eyes (Sarcastic): 

*Добавлено через 2 минуты*




> Интересно что даст AVZPM?


ну хуже наверное не будет  :Roll Eyes (Sarcastic):

----------


## GrAnd

> Кидаем эту папку на флешку и идём к зараженным компам.Копируем папку на все компы, запускаем install.bat, ждём, перезагружаем комп, запускаем kk.bat, ждём, перезагружаем комп.В общем как-то так


Ну собственно говоря, я так примерно и сделал. Подготовил вакцинированную от авторанов флешку для лечения рабочих станций. Только сервера лечил через терминальный режим (да там и другие версии заплаток нужны). 2 третьестепенных вылечились нормально. А вот на PDA (на котором тоже обновления регулярно скачиваются) почему-то тормознул серьезно при проверке svchost. Ждать не стал - пошел домой. В понедельник разберусь.

А AVZPM ничего не дает. Даже не в состоянии разрезольвить перехват функций Авирой. Пишет, что перехватчик не определен. И больше ничего интересного.

Кстати ... Еще один булыжник в AVZ. В процессе поисков на одном компе обнаружился еще один троян к данному червю отношения не имеющий. Так обнаружился он сканером DrWeb при анализе списка запущенных процессах. А AVZ нигде этот инфицированный файл/процесс тоже не отобразил.

----------


## bmw-mtv

У меня тут появилась ещё одна идейка.
Хелперам довольно часто помогает полиморфный AVZ, можно им попробовать логи сделать.

----------


## PavelA

2GrAnd 
Обращай внимание на "Прямое чтение" в логах AVZ. Там часто виден Кидо.
Кстати, лог AVZ c неопознанным трояном приложи к теме. Интересно будет проанализировать. Если сюда не хочется, то можно в "Приватный раздел"

----------


## Kuzz

> В реестре служба netsvcs и другие знаковые ключи отсутствуют. В папке system32 подозрительных dll размером около 190 Кб не замечено. В корне дисков авторанов нет.


В реестре не она проявляется.
Там присутствуют HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic  es\<латинские буквы> у которого разрешения стоят только для системы
Соответственно, AVZ (работая с правами Администратора) не может прочитать содержимое такой ветки

Т.е. можно просто просмотреть разрешения всех записей, которые в regedit не отмечены значком раскрытия поддерева.

В system32 dll-ка имеет то же имя, что и сервис (т.е. набор случайных латинских букв)
В корне диска их обычно нет, а вот на флешках создаются.

----------


## GrAnd

> В реестре не она проявляется.
> Там присутствуют HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic  es\<латинские буквы> у которого разрешения стоят только для системы
> Соответственно, AVZ (работая с правами Администратора) не может прочитать содержимое такой ветки
> 
> Т.е. можно просто просмотреть разрешения всех записей, которые в regedit не отмечены значком раскрытия поддерева.
> 
> В system32 dll-ка имеет то же имя, что и сервис (т.е. набор случайных латинских букв)
> В корне диска их обычно нет, а вот на флешках создаются.


Меня гнусно обманули. В http://www.viruslist.com/ru/viruses/...rusid=21782790 сказано, что создается именно ключ [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]. Его-то я и искал.

На флешках создается файл RECYCLER\S-5-3-42-...\jwgkvsq.vmx. Имя, кажется, везде одно и то же было. Владельцем файла и папок назначался текущий пользователь. Права на них были такие, что даже админом нельзя было их удалить, если не назначить его на все владельцем. Впрочем, я не очень злобно экспериментировал - не до того было в ходе лечения.

*2 PavelA:* Логи приложу. Их есть у меня. И в безопасном и в обычном режимах. И всякие отчеты AVZ и KKiller`а. Но все завтра, когда закончу мотаться с флехой между компами. Доверить столь деликатное дело групповой политике не решаюсь. Приходится третий день напрягать ноги.

*2 bmw-mtv:* Мне кажется достаточно такого батничка для KKiller`а:


```
@echo off
echo kill Kido
KKiller.exe -a -y -l report.txt -v
echo done
pause
exit
```

Кстати, обнаруживать в сети зараженные компы можно при помощи того же AVZ на компе-ловушке. На нем не нужно устанавливать мелкомягкие заплатки, но нужно иметь антивирь, блокирующий запуск зараженных файлов.
Включаем AVZ, и в списке открытых портов через некоторое время видим, кто атакует его по TCP#139.

----------


## GrAnd

Как обещал, выкладываю логи с одной машинки. Машинка эта не в нашей сети. Кроме того, есть у меня смутное убеждение. что ее хозяин и занес нам эту дрянь.

Зараза гнездилась в jdtgfyt.dll. Тем не менее, этот файл фигурирует только в связи с необходимостью прямого чтения. Больше нигде и ничего.

Остальные подозрения на драйверы и авторан - ложные. Драйверы от Daemon Tools, а авторан на моей флешке с антивирями - часть ее собственной вакцины.

----------


## bmw-mtv

ещё в логе есть необычные неопределённые перехватчики


```
\driver\disk[IRP_MJ_CREATE] = 8239B788 -> перехватчик не определен
\driver\disk[IRP_MJ_CLOSE] = 8239B788 -> перехватчик не определен
\driver\disk[IRP_MJ_READ] = 8239B788 -> перехватчик не определен
\driver\disk[IRP_MJ_WRITE] = 8239B788 -> перехватчик не определен
\driver\disk[IRP_MJ_PNP] = 8239B788 -> перехватчик не определен
```

их скорее всего jdtgfyt.dll устанавливает

----------


## GrAnd

> ещё в логе есть необычные неопределённые перехватчики ...
> ... их скорее всего jdtgfyt.dll устанавливает


Это вряд ли. В логах с других зараженных компов нашей сетки таких перехватов нет. Это раз.
Во вторых, после лечения от Kido эти перехваты не исчезли.

Ну и главное ... Даже если бы это было так, то из данных записей все равно нет возможности однозначно определить, кто именно перехватывает. Перехватчик просто "не определен".

Кстати, на одной машинке нашел заразный файл в списке подгружаемых модулей запущенных процессов. Обрадовался. А зря. Больше я его на других машинках там не видел.

А зараженных компов оказалось не очень много. Где-то около дюжины. В основном те, на которых антивири не были установлены, либо не обновлялись регулярно.

----------


## Гриша

> ещё в логе есть необычные неопределённые перехватчики


Это эмулятор дисков, KIDO не трогает IRP обработчики...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## GrAnd

Вот решил еще немного поэкспериментировать с другим трояном, про который писал выше:

Недавно один из компьютеров оказался зараженным вирусом Trojan.Win32.Small.bxz. Этот вирус детектировался KAV, DrWeb, Avira. Но AVZ не обнаруживал в системе ничего подозрительного. Инфицированный файл не фигурировал ни в списке загруженных драйверов, ни вообще нигде в отчетах.
Более того, при попытке его удалить или переименовать, этот файл восстанавливался. Не помогал даже включенный режим AVZGuard. Кстати, сам файл заблокирован от удаления или переименования не был.

Вирус блокировал загрузку программ cmd, regedit, regedt32, что затрудняло его обнаружение в системе и лечение. Однако, в безопасном режиме он не загружался, что позволило его в конце-концов удалить.

У меня создалось впечатление, что AVZ вообще не проверяет ветку реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 на предмет загруженных драйверов. А этот вирус как раз там и прописывался.

Конечно, у Kido совсем другие методы внедрения. Но это уже показательно, что AVZ не в состоянии обнаружить как его, так и банального троянчика.

Логи и фрагмент ветки реестра прикладываю.

----------


## Гриша

Последняя полиморфная сборка его видит в автозапуске...

----------

