PDA

Просмотр полной версии : MyDomWin32 в сети... проблема :(



mr jingles
14.08.2006, 12:28
Доброго всем времени суток, господа!
Столкнулся со следующей ситуацией. В организации работает Exchange сервер. Защищен MacAfee MailScan'ом. Однажды его служба не стартовала. В information store пролез MyDoomWin32 и начал рассылать себя по адресной книге. Локальная сеть (сервера W2k, рабочие станции WinXP: порядка 40 серверов различных ролей и где-то около 500 рабочих станций) защищены Symantec AntiVirus Corporate Edition. Ежедневно на компьютерах пользователей симантек отлавливает и убивает этого червя. Мэйлскан тоже постоянно находит и убивает этого червя в почтовых ящиках пользвотелей.
Проблема в следующем. Все это лечение идет уже месяц, активность червя не спадает... как можно его окончательно убить?

Заранее спасибо.

pig
14.08.2006, 14:01
Видимо, заменить Symantec на что-нибудь более работоспособное. Попробуйте для начала просканировать все машины посредством Cure-It от Dr.Web. Только учтите, что он архивы и почту не проверяет. Но это пока и не надо, наверное, есть замаскировавшийся EXE.

Как зверя-то точно зовут? Фамилия MyDoom, наверное? А модификация какая?

mr jingles
14.08.2006, 14:20
http://photos.streamphoto.ru/3/4/1/483cba97767969110fe22e756d16d143.jpg

Собсно вот. Но проблема не в симантеке. Он то находит и лечит (по возможности, иначе - удаляет файлы). В описании вируса не сказано о заражении файлов ничего. Поэтому в мэйлскане макафи я выставил действие по-умолчанию "Лечить", если невозможно вылечить, вложение удаляется, письмо идет до адресата с текстовым файлом с информацией об удаленном вложении. Это все работает. Только я не могу понять, откуда они уходят???

pig
14.08.2006, 14:40
Надо в самих письмах смотреть, откуда. Exchange ведь должен писать в шапке техническую информацию об источнике. Если источник снаружи - это как погода, надо смириться. Если внутри - Symantec чего-то не замечает.

А это чья табличка? По именованию больше вообще на Trend Micro смахивает.

mr jingles
14.08.2006, 15:31
Trend Micro ScanMail for Exchange servers 2000/2003 на почтовых серверах у нас вертится вместе с симантековскими клиентами.

адреса как внутренние, так и внешние. Он не может маскировать отправителя?

Вот заголовок технический:


Microsoft Mail Internet Headers Version 2.0
Received: from mosmart.ru ([192.168.254.109]) by POST001.myDOMAIN.local with Microsoft SMTPSVC(6.0.3790.211);
Mon, 14 Aug 2006 16:12:58 +0400
From: "Bounced mail" <[email protected]>
To: [email protected]
Subject: Returned mail: Data format error
Date: Mon, 14 Aug 2006 16:12:59 +0400
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0012_B6F32245.95EFEF9B"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Return-Path: [email protected]
Message-ID: <[email protected]>
X-OriginalArrivalTime: 14 Aug 2006 12:12:58.0742 (UTC) FILETIME=[FB3A7960:01C6BF9A]

------=_NextPart_000_0012_B6F32245.95EFEF9B
Content-Type: text/plain;
charset=us-ascii
Content-Transfer-Encoding: 7bit

------=_NextPart_000_0012_B6F32245.95EFEF9B
Content-Type: application/octet-stream;
name="document.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="document.zip"


------=_NextPart_000_0012_B6F32245.95EFEF9B--

Alexey P.
14.08.2006, 15:49
Received: from mosmart.ru ([192.168.254.109
Айпишник явно настоящий, вашей внутренней сети. А mosmart.ru - это вирь подставил, вранье.
Вот на компьютер с этим IP и идите с CureIt-ом свежескачанным.

Это одно письмо - остальные письма тоже стоит просмотреть.
Логика та же - смотрите по IP адресу в первом Received:

Alexey P.
14.08.2006, 15:55
Вообще от таких вещей хорошо помогают:
- заплатки от MS, это в первую очередь
- файерволлы, чтобы червяк сам по сети не ползал (по возможности, на каждой машине, особенно со старой OS вроде NT4).
- есть еще утилитка у Олега Зайцева - APS, для админа хорошая игрушка для ловли червей в локалке, покажет, откуда червь атакует. Олег сам админ, потому такое и состряпал по мотивам лавсана. Хотя Вам сейчас лучше прямо по логам почтового сервера и заголовкам вирусных писем и смотреть, этого должно хватить.

mr jingles
14.08.2006, 15:57
ОК. Спасибо. Буду заголовки выдирать.
mosmart.ru - это наше доменное имя. я в тексте его везде на myDOMAIN.ru заменил.

mr jingles
14.08.2006, 17:47
Решил немного по-другому действовать.
Посмотрел описание вируса. Забил в фильтр ТрендМикро все возможные вложения данного червя в заранее заблокированные.
Поставил сплошное сканирование почтовых хранилищ и симантеком запустил сплошное сканирование диапазона сети.
Если он будет блокировать вложения, то до конечных пользователей они не дойдут. Таким образом список отправителей резко сократится, будет проще поймать зверя.

Просто первый раз столкнулся с массовым заражением в локальной сети. Оценил возможный ущерб, если бы это был хотя бы какой-нибудь W32.Pinfi, а не MyDoom...

Всем спасибо.;)