Net-worm.Win32.Kido.ih с новым способом проникновения

Здравствуйте.

Нашу локальную сеть поразила новая модификация Kido.
Антивирус Касперского 6.0.3.837 с обновлениями сигнатур от 06.06.2009 детектирует в файле C:/Windows/System32/lpbfunw.s (на других компьютерах- другие названия файла) вирус Net-Worm.Win32.Kido.ih Также создается задания в планировщике задач на запуск этого файла с помощью rundll32 (это делает стандартный процесс svchost с ключем netsvcs, который отвечает за сетевые службы и в том числе службу планировщика задач, видимо ему по сети как-то приходит команда на создание задачи)

Последний KidoKiller 3.4.7 вроде бы детектирует kido и удаляет его, но через некоторое время файл с kido снова создается на компьютере. При попытке отслеживание создания зараженного файла с помощью FileMon не удается увидеть момента создания этого файла, и какой процесс его создает, а удаление этого файла (которое делает KAV) в логах FileMon видно.

При этом рекомендуемая заплатка
([URL]http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx[/URL])
была установлена еще во время первой волны 13 января 2009 и в сети настроены регулярные обновления для всех Windows систем.

Вопрос в том, каким образом зараза попадает на компьютер? Видимо какая-то новая уязвимость в одном из стандартных виндовых сервисов. Вобщем прошу помощи в защите сети, как закрыть сеть от распространения заразы?

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
QuarantineFile('C:\WINDOWS\system32\drivers\REGSYS.SYS','');
end.
[/CODE]

- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Повторите логи из локальной сессии.
- Сделайте лог gmer (см. инструкцию в Чаво).

Файл REGSYS.SYS не удается найти, это видимо был драйвер, который загружал на время работы Sysinternals Process Explorer, который я запускал до запуска AVZ.

Переделал логи из локальной сессии (прикреплены к первому посту вместо старых),
сделал лог с помощью gmer.

(судя по логам gmer, на машине присутствует скрытая служба(ы) - "gftym" и "xecag" - и root-kit активность)

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('gftym');
DeleteService('xecag');
QuarantineFile('C:\WINDOWS\system32\lpbfunw.dll','');
DeleteFile('C:\WINDOWS\system32\lpbfunw.dll');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\gftym','Description');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\xecag','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\gftym');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\xecag');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('gftym');
BC_DeleteSvc('xecag');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=47445[/url]

3. Сохраните содержимое как start.bat в каталоге с gmer, запустите и после перезагрузки повторите лог gmer.

[CODE]gmer.exe -del service gftym
gmer.exe -del service xecag
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym@DisplayName"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym@Type"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym@Start"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym@ErrorControl"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym@ImagePath"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym@ObjectName"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym@Description"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym\Parameters"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gftym\Parameters@ServiceDll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag@DisplayName"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag@Type"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag@Start"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag@ErrorControl"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag@ImagePath"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag@ObjectName"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag@Description"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag\Parameters"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xecag\Parameters@ServiceDll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym@DisplayName"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym@Type"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym@Start"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym@ErrorControl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym@ImagePath"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym@ObjectName"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym@Description"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym\Parameters"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gftym\Parameters@ServiceDll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag@DisplayName"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag@Type"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag@Start"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag@ErrorControl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag@ImagePath"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag@ObjectName"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag@Description"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag\Parameters"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xecag\Parameters@ServiceDll"
gmer -reboot[/CODE]

Закачал содержимое карантина.

Запустил start.bat для gmer.
При отработке команд на удаление ключей реестра практически на каждой команде выскакивал message box с текстом,
[CODE]"DeleteKey: Произошел сбой в программе инициализации библиотеки динамической компоновки (DLL)"[/CODE]. не понятно, так и должно быть (например потому что avz при выполнении своего скрипта уже все это удалил) или это говорит о какой-то неожиданной ошибке ?

Выслал новый лог gmer.


Способ лечения отдельно взятой машины в общем понятен, главный вопрос в том, как закрыть машину от повторного заражения из сети ?

После всего проделанного и удаления файла с вирусом (C:\WINDOWS\system32\lpbfunw.dll), а также удаления скрытых служб через некоторое время снова появляется файл (C:\WINDOWS\system32\lpbfunw.s) и включенный KAV детектирует в нем Kido.ih
Загнал этот файл тоже в карантин и могу выслать по вашему требованию.

Получается что вирус снова как-то просачивается на компьютер. Вопрос как это остановить?

Причем компьютер уже на всякий случай отключен от локальной сети.

[url]http://support.kaspersky.ru/faq/?qid=208636215[/url] - скачайте и запустите.

Про результаты применения KK (KidoKiller) 3.4.7 я писал в первом сообщении. Он видит только задачи создаваемые вирусом в планировщике задач и прибивает их. В процессах он вируса не находит.

Из трех рекомендованных заплаток у меня точно стояла одна, а две других наверно тоже уже проходили при регулярном обновлении Windows. Установил их все три еще раз на всякий случай.
Но к сожалению это не помогает, стоит машине побыть 15-20 минут подключенной к сети, на ней снова появляется вирусный файл (c:\windows\system32\lpbfunw.s или lpbfunw.dll), который KAV тут же детектирует и предлагает лечить/удалить, лечение не выходит, а удалять вроде бы удаляет.

Вопрос "как закрыть комп от сетевого заражения?" все еще актуален.

[QUOTE=Abark;414142]
Вопрос "как закрыть комп от сетевого заражения?" все еще актуален.[/QUOTE][URL="http://lmgtfy.com/?q=%D0%BA%D0%B0%D0%BA+%D0%B7%D0%B0%D0%BA%D1%80%D1%8B%D1%82%D1%8C+%D0%BA%D0%BE%D0%BC%D0%BF+%D0%BE%D1%82+%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B3%D0%BE+%D0%B7%D0%B0%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F"]Давим![/URL]

[QUOTE]Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана.[/QUOTE]Сделали?

Закрыть указанные порты в локальной сети нельзя, поскольку они нужны для служб netbios, используемых файл-сервером, и администрирования сети.

Отдельный компьютер отключенный от сети вполне вылечивается, но по возвращении в сеть снова заражается несмотря на все установленные заплатки.

Лог Gmer после лечения чистый.

[QUOTE=Abark;414457]Отдельный компьютер отключенный от сети вполне вылечивается, но по возвращении в сеть снова заражается несмотря на все установленные заплатки.[/QUOTE]
Прочитайте [url]http://virusinfo.info/showpost.php?p=390614&postcount=3[/url]

Большое спасибо Alexandra за полезную ссылку.

Да лог gmer на отдельной машине чистый.

Взгляд на парк серверов показал что там не везде стоят заплатки, и учитывая административные привелегии серверов видимо зараза рассылается по сети оттуда. Будем лечить сервера. О результатах отпишусь через день-два.

После накатывания патчей и обновлений на все сервера (было в частности забыто обновить свежеустановленный сервер), а также установки антивируса на некоторые машины пользователей (выявить которые удалось с помощью снифера и централизованной админской консоли KAV) вирус практически полностью изведен, и не подает признаков жизни уже сутки.
Вывод из случившегося: не нужно искать хитрых способов распространения вируса, когда есть дырявые сервера и включены сервисы администрирования Windows, для вируса этого вполне достаточно. Хорошо хоть KAV в резидентном режиме сразу определял появляющиеся зараженные файлы и предлагал их прибить.

[B]Огромное всем спасибо.[/B]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\lpbfunw.dll - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Autoruner.5555, BitDefender: Win32.Worm.Downadup.Gen )[/LIST][/LIST]