Вирус на сервере

Printable View

12.07.2007, 16:05
jener

Вирус на сервере

Написать вопрос по всем правилам не получиться так как вирус обнаружился на контроллере домена и отключать антивирь и перегружать не получиться, если уважаемое сообщество без этих логов не сможет помочь тогда сделаю все мероприятия вечером.
Теперь о сути проблемы.
Имеем сервер w2k3 контроллер домена с установленным нортоном 10 корпорейт, на основной массе компов стоит нортон клиентом на этих компах политиками отключено востановление системы. На остальных компах антивирь не обновлен и стоит что бог на душу положит, ситуация меняется но постепенно, так компов более чем достаточно.
Уже месяц в сети буйствует W32.Sality.X, причем каждую ночь на серваке проходит полный скан и бъет\удаляет кучу зараженных экзешников, к вечеру ситуация повторяется. Теперь собственно вопрос я могу понять что вирус присутвует на компах где нет или старый антивирь, но как он пробирается на сервак, в логах антивиря на сервере пишеться что он видит их блокирует\удаляет\лечит но там потом опять появляется. По мере ввода компов в домен и накатывания на них клинта симантюка ситуация меняется в лучшую сторону, колличество зараженных файлов становиться меньше, но это ведь не решение сути вопроса, то ли симантюк пропускает толи я чего-то не так делаю.

Обновления стоят последние, максимум отстование 1-2 дня.

[size="1"][color="#666686"][B]Добавлено через 3 часа 58 минут[/B][/color][/size]
Молчание означает что без логов ничего не получиться :)
12.07.2007, 16:14
Макcим

[QUOTE='jener;122234']Молчание означает что без логов ничего не получиться[/QUOTE]Именно :)
12.07.2007, 17:44
jener

Вложений: 3

Народ ушел, сделал и выкладываю логи.
12.07.2007, 17:57
drongo

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\wins.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11003[/url]
12.07.2007, 19:29
PavelA

Молчание может еще означать то, что через AVZ тяжко бороться с энтим делом.
Надо попробовать провериться альтернативным антивирусом. Может даже просто Cure-It. Не знаю правда на серверах он работает.

По описаниям, данный вирусняк пролезает по всем открытым дискам. Сам понимаешь, сервер самый лакомый кусочек для него.
У меня на машине Симантек 10.1.4.4000. Пробовал тут карантин из другой темы загрузить - тут же орать начинает.
12.07.2007, 19:59
jener

Я все прекрасно понимаю и ценю Ваш труд, пока сидел почитал другие темы, а то вроде как антивирь поставил защиту настроил и забыл, пока эта зараза не полезла. Между делом архивчик вам залил с сервака.
Что самое странное симантюк его видит и бъет, логи красным заполнены :), но как этот хад пробирается мимо антивиря ума не приложу. Сделал отчет с каких машин он пробираеться в основном, народ мой щас их прибивает форматом и ставит все с нуля, сообщений становиться меньше. А насчет Cure-it щас скачаю и попробую.

[size="1"][color="#666686"][B]Добавлено через 5 минут[/B][/color][/size]
С небольшими матами но cure запустился отработал сказал что ничего нет.
13.07.2007, 02:49
pig

Судя по длительности - это была экспресс-проверка. Теперь надо просканировать все диски. Я бы посоветовал для этого скачать с [url]http://freedrweb.com/[/url] бету CureIt. Хотя если заражённые файлы только оседают на сервере, а активного заражения нет, то и релизная версия справится.

Да, интересно знать, в каких местах сервера зараза копится. Может, действительно на открытых в сеть папках?
13.07.2007, 09:07
jener

Вирусы оседают токо в расшаренных папка и только в тех где разрешена запись. Проблем особых не создает, меня беспокоит вопрос, как при включеном нортоне создаются файлики с вирусами типа есть папка FOTO вирус делает в том же месте foto.exe. При ручном ночном осмотре выявлены также несколько вирей W32.Wullik@mm (очищено при удалении) VBS.Runauto (удален) JS.Exception.Exploit (очищено при удалении), такиех 3-4 было, основная масса что-то около 30-40 exe-шников это W32.Sality.X. В связи с этим меня терзают смутные сомнения что у меня что-то не так с антивирем, и не перерастет данная ситуация в большую беду.
Что посоветуете еще сделать?

[size="1"][color="#666686"][B]Добавлено через 1 минуту[/B][/color][/size]
Системный диск чист и таким всегда был с момента запуска сервака.
13.07.2007, 10:27
AndreyKa

Если у вас домен, то что мешает посмотреть кто Владелец (ovner) зараженных файлов?
13.07.2007, 10:43
jener

[QUOTE='AndreyKa;122543']Если у вас домен, то что мешает посмотреть кто Владелец (ovner) зараженных файлов?[/QUOTE]
я это знаю и убиваю эти машины, вопрос КАК он пробирается мимо симантюка.

[size="1"][color="#666686"][B]Добавлено через 8 минут[/B][/color][/size]
Почему антивирь зная про эти вирусы, убивает файлы им созданные выборочно, часть рубит часть нет, для меня эта загадка.
13.07.2007, 13:47
pig

Ну, это надо спрашивать в техподдержке Симантека. Хотя, может быть, PavelA чем поможет, у него тоже это чудо под боком.
13.07.2007, 14:21
PavelA

Чудо под боком, но администрю не я. Он у нас в HQ администрится службой сетевой безопасности, а я в поддержке пользователей.
@jener Пиши в ЛС. Дам мыло наших админов. М.б. помогут.
28.07.2007, 18:15
jener

Письмо написал жду ответа, еще на серваке куча файликов desktop.ini со следующим содержанием
[ExtShellFolderViews]
Default={5984FFE0-28D4-11CF-AE66-08002B2E1262}
{5984FFE0-28D4-11CF-AE66-08002B2E1262}={5984FFE0-28D4-11CF-AE66-08002B2E1262}

[{5984FFE0-28D4-11CF-AE66-08002B2E1262}]
PersistMoniker=file://Folder.htt

[.ShellClassInfo]
ConfirmFileOp=0
28.07.2007, 19:01
pig

Проверьте на virustotal парочку лежащих рядом с ними [B]folder.htt[/B].
28.07.2007, 19:18
jener

по поиску нашел все folder.htt не со всеми есть desktop.ini, и опять же присутсвуют токо в шарах с разрешением на запись, есть мысль прибить их все.
29.07.2007, 02:16
pig

Логично, ибо с большой вероятностью звериные. Проверяли их на virustotal?
30.07.2007, 11:58
jener

Проверил несколько штук, чистые. Но для очистки совести прибил их.

[size="1"][color="#666686"][B]Добавлено через 38 минут[/B][/color][/size]
В реестре создается ветка HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
удаляеешь ее потом снова она появляется.
владелец администраторы, похоже вирь сидит под моим именем, нортон ведет себя так же, отлавливает бъет, вечером опять сидят хады в шарах.

Такое чуство что хожу вокруг да около решения проблемы, исправляю последствия а не суть.
На данный момент вижу только одно решение проблемы, забить на все эти вири на серваке, продолжать каждый вечер чистить сервак (хотя и не вижу смысла, сизифов труд), ввести все компы в домен с установкой антивиря, похоже что без антивиря на клиентской машине сервак пропускает вирусы.

Второе разочарование в Нортоне за последние 5 лет, может у меня руки кривые и я его не правильно настроил.
03.08.2007, 18:21
jener

Прогресс на лицо, за 2 дня на сервере 3 сообщения про вирусы (вылечены), прибиты несколько компов которые были основными разносчиками заразы в сети, хотя основной вопрос ПОЧЕМУ нортон пропускал их на сервер так и остался открытым.

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 16 минут[/I][/B][/color][/size]

Запустил щас скан руками:
Обнаружена угроза!Угроза:VBS.Runauto в файле: C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\APTemp\AP1.inf_?????. Тип осмотра: Автоматическая защита. Действие: Изолировать выполнено : Доступ запрещен. Описание действия: Файл успешно помещен в Изолятор.
файл остался на месте
можете как-нибудь прокоментировать это?
06.08.2007, 02:29
pig

Это уже ревматизм. Аутоиммунная реакция, когда организм сам себя зловредом считает.
22.02.2009, 02:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]