VirusInfo сообщает об эпидемии сетевого червя Net-Worm.Win32.Kido

Зачем svchost? Не надо svchost.

Вполне можно обойтись штатными средствами XP SP2/3.
Настраиваем windows firewall
firewall.cpl -> Исключения -> Общий доступ к файлам и принтерам -> Изменить
В каждой строчке из четырёх нажимаем кнопку "Изменить область", выбираем "особый список", вводим адреса своих машин. Всё.

Если это сервер 2000, 2003 попробуйте поставить ESS 4.0 и разрешить доступ к файлам и принтерам в доверенной зоне, а в доверенную зону включить айпишники ваших машин.

Привет! Поясните, кто знает... Сервер по 2003 Win, вроде все банки клиенские вылечил (поставил заплатки, AVP прогнал, порядка 50-60 банок). На сервере все равно возникают левые файлы (autorun и пр.). 2003 Windows Server заражается Win32:Confi и есть ли в таком случае на него заплатки??? Может, я какую банку пропустил... Заранее спасибо.

Заплатки нужны эти: [URL="http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx"]MS08-067[/URL] и [URL="http://www.microsoft.com/technet/security/Bulletin/MS09-001.mspx"]MS09-001[/URL]

[URL="http://virusinfo.info/showthread.php?t=40367"]Есть утилитка[/URL] для обнаружения уязвимых машин

А вот ф-лы autorun.* еще и с флешек приходят.

[QUOTE=UFANych;371803]Зачем svchost? Не надо svchost.

Вполне можно обойтись штатными средствами XP SP2/3.
Настраиваем windows firewall
firewall.cpl -> Исключения -> Общий доступ к файлам и принтерам -> Изменить
В каждой строчке из четырёх нажимаем кнопку "Изменить область", выбираем "особый список", вводим адреса своих машин. Всё.[/QUOTE]

Спасибо, буду пробовать.

Чёт тут тоже говорят - [url]http://www.mywot.com/en/blog/140-april-fool-s-day-attack-is-no-joke[/url] вроде какая то бяка намечается на 1 апреля

В описании Семантиком [B]W32.Downadup.C[/B]
[url]http://www.symantec.com/security_response/writeup.jsp?docid=2009-030614-5852-99[/url]

тоже есть упоминание о 1 апреле

[QUOTE][B]Damage[/B]
[B]Damage Level:[/B] High
[B]Payload Trigger:[/B] [COLOR="Red"]File downloading is triggered after 1st April 2009.[/COLOR]
[B]Payload:[/B] Attempts to download files from a predetermined list of addresses. Also attempts to intercept and redirect DNS requests to prevent access to certain Web sites.
[B]Compromises Security Settings:[/B] Stops certain Windows services and security related processes.[/QUOTE]

Вот что то пишут [url]http://www.f-secure.com/weblog/archives/00001636.html[/url]

Похоже после 1-го апреля ждать новой модификации... или еще чего нибуть.. :(

[QUOTE]1-го апреля.... [/QUOTE]
Полезно почитать: [url]http://bishop-it.ru/?p=390[/url]

я так понял на сегодняшний день одной установкой всех 3-х заплаток (MS08-067 и MS08-068 и MS09-001) дело не решить? Ибо я предпринимал следующие действия:
1) отключал сетевой адаптер
2) прогонял утилиткой KKIller от Касперского
3) удалял все шары (включая системные, кроме принтеров)
4) удалял или отключал лишних пользователей, нужным ставил новый стойкий пароль (только на главном сервере этого не делал - там DC AD и порядка 60-ти учетных НУЖНЫХ записей)
5) ставил заплатки
6) ставил антивирь KAV 6 (прошлый век я знаю, но компы старые, итак и с этим жутко тормозят)
7) автозапуск с съемных носителей отключал с помощью AVZ 4.30 (кстати уже на стадии его запуска - он уже видел маскировку процессов в памяти и это после установки уже обновлений)
8) включал сеть
и ....не помогает. Ситуацию стараюсь держать под контролем только с помощью той же утилитки KKiller, которую на всех компах запускаю каждые 10-20 минут.....

ну вот я опять похоже самое интересное пропустил :(, в свое время мсбласт прозевал, теперь кидо, ну что я делаю не так...
наружу акромя tcp-ip вообще ничего не торчит, + фарвол простенький на сервере где инет раздается, приватная сеть (там где нетбиос используется досихпор) жестко изолирована, клиенты через нат в инет ходють, у многих досих пор сп2 непропатченая почти... вот думаю обновить чтоль их...

ЗЫ попробую завтра в управляющей компании покопатся, может найду этого кидо для исследований, грустно все как-то, все хиты и мимо

[B]Virtual[/B], у Вас вокруг сети мощное электромагнитное поле :)

[QUOTE=golmarco;380508]я так понял на сегодняшний день одной установкой всех 3-х заплаток (MS08-067 и MS08-068 и MS09-001) дело не решить? Ибо я предпринимал следующие действия:
1) отключал сетевой адаптер
2) прогонял утилиткой KKIller от Касперского
3) удалял все шары (включая системные, кроме принтеров)
4) удалял или отключал лишних пользователей, нужным ставил новый стойкий пароль (только на главном сервере этого не делал - там DC AD и порядка 60-ти учетных НУЖНЫХ записей)
5) ставил заплатки
6) ставил антивирь KAV 6 (прошлый век я знаю, но компы старые, итак и с этим жутко тормозят)
7) автозапуск с съемных носителей отключал с помощью AVZ 4.30 (кстати уже на стадии его запуска - он уже видел маскировку процессов в памяти и это после установки уже обновлений)
8) включал сеть
и ....не помогает. Ситуацию стараюсь держать под контролем только с помощью той же утилитки KKiller, которую на всех компах запускаю каждые 10-20 минут.....[/QUOTE]
1. Отключите виндовый шедулер. dll ложится в system32, а в Tasks - задание для шедулера rundll32 запускать её раз в час.
2. После установки патчей зверушка ходит по домену с использованием подобранных им паролей. Самые опасные - пароли доменных админов.
Я вылавливал таких админов при помощи сниффера - Wireshark, Ethereal. Пишется лог пакетов на порт 445 и 88 атакуемого сервера (88й - kerberos, перебор паролей идет туда). Лог смотрел прямо в FAR, искать по слову system32 в юникоде. Перед атакой видно логин админа, с которым зверь пришел на сервер. Ему сменить пароль с пустого либо с простого вида 12345 на нормальный.
3. В стартовые скрипты всем в домене добавить запуск MRT (malware removal tool) от MS. Логи складывать на DC - иногда очень полезны.

[quote=Alexey P.;380789]1. Отключите виндовый шедулер. dll ложится в system32, а в Tasks - задание для шедулера rundll32 запускать её раз в час.
2. После установки патчей зверушка ходит по домену с использованием подобранных им паролей. Самые опасные - пароли доменных админов.
Я вылавливал таких админов при помощи сниффера - Wireshark, Ethereal. Пишется лог пакетов на порт 445 и 88 атакуемого сервера (88й - kerberos, перебор паролей идет туда). Лог смотрел прямо в FAR, искать по слову system32 в юникоде. Перед атакой видно логин админа, с которым зверь пришел на сервер. Ему сменить пароль с пустого либо с простого вида 12345 на нормальный.
3. В стартовые скрипты всем в домене добавить запуск MRT (malware removal tool) от MS. Логи складывать на DC - иногда очень полезны.[/quote]

благодарю
правильно ли я понял
1. Имеется ввиду отключить службу Планировщик задач? То есть вирь работает с помощью этого rundll32????

2golmarco правильно, и по возможности обрубить NetBios через ибо нефиг.
шедулер - средство выживания в системе
а нетбиос - способ распространения
[QUOTE]3) удалял все шары (включая системные, кроме принтеров)[/QUOTE]
а вы уверены что они не пересоздались при перезагрузке?

ЗЫ еще полезно постоянно мониторить так
[QUOTE]net group "Администраторы домена" /domain[/QUOTE]

[quote=Virtual;380793] и по возможности обрубить NetBios через ибо нефиг. [/quote]
А это как? простите за глупый вопрос...

[quote=Virtual;380793]
а вы уверены что они не пересоздались при перезагрузке?
[/quote]
я отрубаю их пока простым детским способом - bat-файл в автозагрузке
с командами net share c$/ /DELETE и так для всех дисков, хотя меня уже просветили, что есть политики....

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

кстати принтеры тоже убирать с доступа (printers$)?

[QUOTE=golmarco;380790]благодарю
правильно ли я понял
1. Имеется ввиду отключить службу Планировщик задач? То есть вирь работает с помощью этого rundll32????[/QUOTE]
Угу, службу Планировщик задач.
- В директории \Windows\Tasks червь ложит задания atl0.job, в них прописана команда rundll32.exe .\dll_червяка. Их у Вас там несколько сотен, я думаю, стоит их удалить.
- поглядывайте также за процессами rundll32 в памяти. Из диспетчера процессов FAR можно посмотреть, кого запускают. Чаще всего легальных задач для rundll32.exe нет, и все они - работающие копии червяка.
Я как-то нарвался на такую ситуацию - dll червя нету, всё вроде хорошо, а он в памяти работает вовсю. Т.е. на наличие rundll32 в процессах стоит поглядывать.

[QUOTE=golmarco;380810]А это как? простите за глупый вопрос...
[/QUOTE]

выполнить

sc stop lanmanserver
sc config lanmanserver start= disabled

||отключится служба сервера, и шары удалять не нужно будет.
перестанут работать любые шары (папки принтеры и т.д.) червm не попадет в систему!.

вернуть все взад (если появится желание :) ), но только после полного лечения всей сети.

sc config lanmanserver start= auto
sc start lanmanserver

PS имхо лучше не возвращать, и начать пользовать FTP хранилище и внутреннюю почту. это точно не последняя дыра в ,морально устаревшем, NEtBios. ;)

спасибо большое за советы
буду пробовать

Иногда захожу в бюджетные учреждения, то бишь государственные, программисты всякие таскают на флешках и буках вирусню, админы которые там обслуживают ставят всякие фальшивые антивирусы, запарили уже тока хожу и бесплатно всё устраняю а они получают деньги, в основном носят вирус W32.Sality
[url]http://www.symantec.com/security_response/writeup.jsp?docid=2008-042106-1847-99[/url]
или что то вроде
[url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21030[/url]
так что если порыться поглубже у них наверняка уже этот kido у всех.
В одном месте предупредил на всякий случай глав буха что за распространение вредоносного ПО ихним программерам и админам может грозить статья 327 вроде называется, до 3 лет. Похоже бесполезно.