крута я щас папробовал залесть через эту уязвимость... ms08-67 залез... он через 445 конектиться и отрубается, но при этом когда он конектился на 445, ещё сеанс конектился к этому сеансу...
ну у меня kido.fo был, а вот ih не видел...
да ваще про эту дыру в середине ноября сообщали...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Люди, подскажите. Как попасть на Ваш сайт, если эта гадость блокирует доступ к Вам?
senyak, читайте первое сообщение
VirusInfo рекомендует использовать сервисы анонимного доступа к сети (анонимайзеры) или обращаться к ресурсу по его IP-адресу (216.246.90.119).
Извеняюсь! Большое спасибо! По моему провайдеру пошла эта гадость, а зайти сюда никто не может
вот уродина если не убить админскую шару
получаю вот такие сообщения
Файл C:\WINDOWS\System32\eklgna.bi//PE_Patch.UPX//UPX, обнаружено: вирус 'Net-Worm.Win32.Kido.ih'. Пользователь: SHOP\Администратор, компьютер:TERMINALPOZ.
это при том что на обоих компа и с которго идет атака и на который идет атака стоит kav6.0.3.837_winwksru с новыми базами и с включенным Анти-Хакером и вообще то атаки 'Net-Worm.Win32.Kido.ih' Анти-Хакер успешно блокирует - но не в этот раз - видимо обнаружив блок - вирусяка пытается это сделать по другому порту или другим способом
"Дьявол рождается из пены на губах ангела, защищающего правое дело". ГРИГОРИЙ ПОМЕРАНЦ
Сообщали. но в январе вышла новая заплатка. снова для предотвращения распространения kido.Сообщение от NikolayFirsov
А ещё в описании гада сказано, что он админские пароли по словарю подбирает. Поэтому надо пароли посильнее (что-то существенно менее тривиальное, чем 123 и qwerty), можно также администратора переименовать.
1) закрывайте твиком доступ на netbios пользователю SYSTEM и админу только на просмотр
2) закрывайте порты, желательно все утилитой wwdc.exe
3) Отключайте ненужные службы в services.msc (особенно те которые открывают tcp порты)
4) Ставьте фильтрцаию tcp/ip протокола (в свтойствах сетевого подключения, в свойства tcp/ip)
5) Запускайте автоматическое обновление
6) После отключения служб, Ставьте доступ всем только чтение на ветку реестр 'hklm\system\ccs\services' (для того чтобы несоздавалась всякая служба от вируса) и на ветки 'run, 'runonce', и на 'windows nt\winlogon'
7) И желательно работать под ограниченной учётной записи (но всё таки эксплоиты повышают привелегии, а они используют по сети открыые порты, но мы их закрываем см. выше, но есть локальные эксплоиты повышения привелегий.. тут ничо не поделаешь.. хотя можно папробывать чтобы службы запускались из под гостя)
Да и ещё этот вирус kido, ставит на dll права доступа Обзор/выполнения файлов... касперскому я давно говорил чтобы он сканил файлы в обход атрибут безопасностей и в обход хуков (ну смысле бывает что скрытые файлы касперыч не видит)
Добавлено через 11 минут
вот про пункт первый
http://www.izone.ru/sys/tuning/tweak-ui-download.htm
там вкладка Access Control
правда уже не помню как там ограничивать права, но факт в том что эксплоит lsass ms 04-011 через службу сервер не пролазил... был закрыт доступ на IPC$ , писал Access Denied for \\computer_name\IPC$
Добавлено через 50 секунд
а что lsass ms 04-011 и ms08-067 они почти аналогично
Последний раз редактировалось NikolayFirsov; 01.02.2009 в 08:52. Причина: Добавлено
все
мы победили этого зверя!!!
1) отрубаем админские шары
2) чистим кидо киллером (самое важное что он рабочие службы чистит - вирус становится их частью и их антивирь не почистить ИМХО)
3) ставим кспера - оябзательно с антихакером (антихакер ксати оч. хоррошо показывает с каких компов идут атаки - если есть возможность - сразу их из сети выключаем - у нас такой возможности не было - компы многие удаленные)
4) постепеннь однин за одним вырубали зверя с компов. тут главное его вырубить и тут же закрыть доступ (антихакером или каким нить фаером) ибо даже заплатки и отрубленные админские шары не сильно помогали
если компы домашние конечно может и можно закрыть все порты и отрубить нетбиос - в сетках же на работе стоит учесть некоторые жесткие меры могут привести к другим малоприятным проблемам
"Дьявол рождается из пены на губах ангела, защищающего правое дело". ГРИГОРИЙ ПОМЕРАНЦ
Опять пара машин включилась которые в нашей сети но не совсем наши
Анти-Хакер не везде справляется
KidoKiller обновился 3го февраля до 3.1
http://support.kaspersky.ru/faq/?qid=208636215
там же написано как с помощью АндмиКита запустить его по всей сетке
очень удобно кстати - не нужны ни политики на сервере, ни админские шары - если везде стоит агент касперского
через него же я кстати запустил автоматическое удаление адмминских шар - ибо задолбало
и запущу отрубление автозапуска флешек и прочей лабудени
"Дьявол рождается из пены на губах ангела, защищающего правое дело". ГРИГОРИЙ ПОМЕРАНЦ
вирус может спрятаться еще и здеся
"C:\WINXP\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5"
AVZ 4.30 с обновлёнными базами на максимально агрессивных настройках не видит Kido.
Видит dll'ку, но не в табличной части лога, а в "прямом чтении" в текстовой части...
Сегодня победил енту заразу с помощью продукта от симантека
http://www.symantec.com/norton/secur...011316-0247-99
В отличии от других, находит dll и записи в реестре. Все чистит.
Вот лог после проверки
Symantec W32.Downadup Removal Tool 1.0.7
process: svchost.exe, thread: 00000190 (terminated)
process: svchost.exe, thread: 00000170 (terminated)
process: svchost.exe, thread: 000001F4 (terminated)
process: svchost.exe, thread: 00000128 (terminated)
process: svchost.exe, thread: 00000214 (terminated)
process: svchost.exe, thread: 0000016C (terminated)
process: svchost.exe (terminated)
C:\WINDOWS\system32\fujnh.dll: W32.Downadup.B (unrepairable) (deleted)
registry: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App lets: dl (value deleted)
registry: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App lets: ds (value deleted)
registry: HKLM\system\CurrentControlSet\Services\wuauserv: Start (value set to 0x00000002 (2))
registry: HKLM\system\CurrentControlSet\Services\BITS: Start (value set to 0x00000003 (3))
registry: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\exp lorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue (value set to 0x00000001 (1))
W32.Downadup has been successfully removed from your computer!
Here is the report:
The total number of the scanned files: 34407
The number of deleted threat files: 1
The number of threat processes terminated: 1
The number of threat threads terminated: 6
The number of registry entries fixed: 5
The tool initiated a system reboot.
Я вчера немного (4 часа) позанимался. Больше времени ушло на выяснение сторонних (побочных?) явлений (комп старый, памяти минимум, СД-привода нет. Интернета не было, но возможно просто глючат провода, а временами провайдер, и вовсе не червь). Пока что могу сказать, что чем уже дома Авира обозвала Конфикером.С (похоже, только Аваст зовёт его руткитом), - приложение, размером 164 975, под именем "х" в System32. Аналоги (я отправил Какой-то.ГИФ, но в анализе "Файл x") сидели в интернетовском кеше в NetworkService, под расширением разных графических файлов. Аваст жаловался, что обнаружил руткит в памяти, но удалить не мог. Раз я согласился "просканировать все диски после перезагрузки" (до запуска системы), там он вдобавок нашёл того же "Руткита/ген" в файле Гиберфилл (если в настройках АВ указано не сканить файлы больше ... - то это лазейка), но удалить не смог из-за sharing Violation. Это обозлило и скан был прекращён, чтобы удалить вручную, вдобавок выключив гибернацию, неведомо для чего нужную там вообще. К тому же времени не было, автобусы ночью не ходят.
Ещё Svchost при запуске несколько минут загружал на 30-45 процентов. Была служба с параметром svchost.exe -k какой-то (не помню, не netsvcs). Были загружены несколько обновлений от МС (только несколько и все за последние пару дней, а так до того автоматическое обновление было отключено). Функция показа скрытых файлов и подобные не пострадали.
Касаемо побочных эффектов. Это вторая сетка в офисе, из трёх машин. На наблюдаемом компьютере интернета не было, но был на втором. До удаления червей (Айсвордом) Комп впадал в перезагрузку то при изменении настроек (скажем, при изменении адреса на автоматический), то при запуске ИЭ; однако до того, раз проблем с ЛСП и др. не было, я употребил Диал-а-Фикс, тот потребовал установочный диск, на компе привода нет, переустановка ИЭ прошла с ошибками и т.д., потому не могу однозначно свалить проблему на эту гадость). До моего прихода сотрудники офиса безуспешно старались выйти в инет, ИЭ выкидивал окошки, какого содержания, не знаю, в журнале только про HangUp. Но Опера тоже не могла выйти. После удаления всех видимых вредителей (плюс в Рециклере что-то сидело, не сабж; Ауторанов - не было), но без полного (до конца) сканирования Авастом перезагрузки вроде исчезли, сетевой активности вроде не было, но в один момент я включил машину рядом, которую почистил до того отдельно (когда первый комп был выключен), и там Конфикера не было, - и вижу, что интернета там тоже не стало. Возвращаюсь к первому, - опять перезагрузка при старте ИЭ, но уже надо было идти.
Сегодня сначала буду переустанавливать ИЭ, а потом после исключения этой причины будем судить...
(Хотя... Свалить-то однозначно не могу, но показалось странным, что дважды из трёх случаев жалобы на руткита в памяти появились немедленно после нажатия ОК после изменения параметров Local Area Connection, после чего моментально следовал рестарт. Ещё пару раз, когда изменение было без жалоб и рестартов, после перезагрузки находил в свойствах LAC автоматический адрес, - когда ставил на фиксированный. Всё это было до удаления червей.
Ещё - не работал DCOM)
Последний раз редактировалось Erekle; 06.02.2009 в 09:20.
Во вторник удалила всю заразу с помощью кидо киллера 3.1. Сегодня опять ((( кидо киллер молчит кьюр ит молчит, кис 2009 молчит ((.
Симптомы теже - отключаются службы не работает локалка (
Может быть, и мог. Вспомнил, что не отключал галочку "удалить после перезагрузки".Аваст жаловался, что обнаружил руткит в памяти, но удалить не мог
Сижу, попиваю кофе. Проблемы с сетью на том компе были чисто физического характера. НА 4-х машинах в той "сетке" Кидо присутствовал только на двух, при том, что две остальные были постоянно включены, на всех чеетырёх АвастПро 4.8, лишь на одном (чистом) автоматические обновления от МС.
Но никаких подозрительных ДЛЛ-ок не было, только x.exe и копии "под графику".
Для защиты от подобных "червей" рекомендую очень полезную утилиту (30k) для блокировки некоторых "уязвимых" портов http://software.piafi.ru/ru/net/acntpu
Зачем эти порты читайте здесь http://www.docwin.ru/modules.php?nam...rticle&sid=661
Проверено, работает блокировка для рабочих станций, а с сервера 2003 доступ к компу защищенному этой прогой вроде не изменился, фильтр IP подхватывается службой проги на лету.
кто нибудь помогитею Вставил усб, аваст заарал што нашел вирус, предлажил удалить, я эта сделал а теперь при запуске флешки викидавает
\recycler\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx ошыбка
как вернуть усб к жызни?
Все на борьбу с Kido-Conficker!
Eset решила внести свой вклад:
http://download.eset.com/special/EConfickerRemover.exe
http://www.esetnod32.ru/support/kb_e...LEMENT_ID=6317
Ваши права в разделе
