Закрытая тема
Страница 3 из 10 Первая 1234567 ... Последняя
Показано с 41 по 60 из 181.

VirusInfo сообщает об эпидемии сетевого червя Net-Worm.Win32.Kido

  1. #41
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Надо как минимум MS08-67, MS08-68, MS09-01. Плюс сильные пароли администраторов - или отключить административные шары системных дисков.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #42
    Незарегистрированный
    Guest

    Обратите Ваше внимание на бюлетен безопасности MS09-001 от 9 января 2009

    http://www.microsoft.com/downloads/d...1-7d32b64761e1

    Обратите Ваше внимание на бюлетен безопасности MS09-001 от 9 января 2009

  4. #43
    Dr. Web Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Сообщений
    63
    Вес репутации
    295
    Цитата Сообщение от МИ_ХАСЬ Посмотреть сообщение
    а вы уважаемый на инфицырованной машине в режиме командной строки выполните команду netstat -a, посмотрите листинг а потом посмотрите что вы в посте написали, может ваше мнение несколько изменится.
    и как прикажете отслеживать это обычному антивирусу? я в курсе про http сервер. и что дальше, мысль изложите свою до конца, а не загадками плиз. что конкретно нужно сделать по вашему ав? может есть дельная мысль и мы ее реализуем в докторе.
    Рекомендую обазательно проверять папку System Volume Information (если не отключено "Восстановление системы"), в ней как показывает практика лежит екземплярчик зловреда, который система успела забекапить. Проблема в том, что по умолчанию сия папочка имеет разрешения на доступ лишь от System. Надо добавить разрешение полного доступа от текушей учетки, после чего проверить папку антивирусом и прибить паршивца.
    сканер, курит спокойно проверяет эту папку и без этих финтов, получив доступ через антируткит.

  5. #44
    Junior Member Репутация
    Регистрация
    09.01.2009
    Сообщений
    7
    Вес репутации
    56
    Цитата Сообщение от devon Посмотреть сообщение
    и как прикажете отслеживать это обычному антивирусу? я в курсе про http сервер. и что дальше, мысль изложите свою до конца, а не загадками плиз. что конкретно нужно сделать по вашему ав? может есть дельная мысль и мы ее реализуем в докторе.
    Спасибо что спросили, ну хотя бы добавьте в лог,который пишет антивирус адрес , с которого атака идет. Не знаю есть ли эта возможность в каких нить версиях (в версии 4.44 не нашел), кроме того было бы удобно если бы это все можно было отсылать к примеру net send командой администратору., заодно и лог в системном журнале у админа.
    [quote=сканер, курит спокойно проверяет эту папку и без этих финтов, получив доступ через антируткит.[/quote]

    не согласен, хотя может я чего не так с настройками накрутил, подскажите пожалуйста что поправить. Заранее благодарю.

  6. #45
    Dr. Web Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Сообщений
    63
    Вес репутации
    295
    Цитата Сообщение от МИ_ХАСЬ Посмотреть сообщение
    Спасибо что спросили, ну хотя бы добавьте в лог,который пишет антивирус адрес , с которого атака идет.
    Я не зря выделил фразу. Я вам еще раз повторю, это может отследить файервол, ids , а не файловый антивирус. фаервол у нас в разработке сейчас. пока совместно с доктором нужно обязательно ставить фаервол, т.к. они дополняют друг друга, и каждый выполняет свою задачу.

    Не знаю есть ли эта возможность в каких нить версиях (в версии 4.44 не нашел), кроме того было бы удобно если бы это все можно было отсылать к примеру net send командой администратору., заодно и лог в системном журнале у админа.
    Все действия которые произвел файловый монитор над файлами можно отсылать как по сети так и на почту. а через шлюз и на смс.

    не согласен, хотя может я чего не так с настройками накрутил, подскажите пожалуйста что поправить. Заранее благодарю.
    смотрите чтобы в логе сканера писалось сразу за шапкой: DwShield started.
    если такой строки нет, значит антируткит не работает, лучше обратится в тех. поддержку. либо тут в разделе помогите проверится

  7. #46
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    4
    Вес репутации
    57
    у меня была модификация Net-Worm.Win32.Kido.em.

    Признаки, которые я заметил:
    1) На флешке в папке \RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 был файл вируса jwgkvsq.vmx, размером 161612 байт.
    2) Появился файл autorun.inf в корне флешки.
    3) Перестал осуществляться доступ к антивирусным сайтам, а также к антивирусным базам.

    Удалял так:
    1) Сначала через диспетчер задач завершил работу процесса svchost.exe, который занимал больше всех оперативной памяти.
    2) После этого нашел в папке Windows/system32 копию вируса, под именем yvdwjkui.dll, тоже размером 161612 байт. Изначально этот файл не детектился Касперским, но после завершения процесса svchost.exe - сразу обнаружился.
    3) Также копия вируса была обнаружена в папке C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\MARASPFL\
    под именем uwwssi[1].bmp
    4) После удаления этих файлов были установлены 3 критических обновления: MS08-67, MS08-68, MS09-01.
    5) С флешки были удалены файлы jwgkvsq.vmx и autorun.inf

  8. #47
    Junior Member Репутация
    Регистрация
    16.01.2009
    Сообщений
    3
    Вес репутации
    56
    1) Данный вирус запускается оригинальным SVCHOST.EXE с параметром заражённой библиотеки (random_name).dll, лежащей в SYSTEM32 (атрибут билиотеки установлен в "скрытый" или "ситемный"). Необходимо проверить права доступа для этой библиотеки. Как правило, кроме системы, никому доступ не разрешён. После переустановки прав (напр., Администраторы=полный доступ), можно убить его UNLOCKERом (http://ccollomb.free.fr/unlocker/).
    2) В реестре всё-же запись есть. Необходимо искать абсолютно пустой (без параметров и подключей) ключ в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es (например HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\dpiixcu), и также переустановить права доступа для ветки. Тогда (после обновления содержимого по F5) появится вся инфа, в т.ч. в подветке PARAMETERS ключ ServiceDll с именем и путём к вирусной библиотеке.
    3) В файловом менеджере (не ПРОВОДНИК !!!) необходимо также проверить подпапки в "Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5" (либо Default User), где вирус под видом кешированных фалов прячет свои копии.

  9. #48
    Junior Member Репутация
    Регистрация
    05.12.2008
    Сообщений
    10
    Вес репутации
    56
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    VirusInfo советует пользователям, пострадавшим от Net-Worm.Win32.Kido, установить срочное обновление операционной системы Windows, исправляющее уязвимость в службе Сервер (Server), и пройти бесплатное лечение на ресурсе.
    Сочуствую сетевым админестраторам. Админестрировать свой домашний ПК помойму гораздо легче и без большого объема специальных знаний и навыкав.
    Скажите пожалусто
    есле юзер уже правильно выполнил заблаговременно ваши рекомендации по отключению уязвимых сервисов в своей ОС и по отключению автозапуска со сменных носителей, да еще и в учетной записи юзера сидит при активном UAC, то он не подвержен опасности быть инфицированным этими червями и без всяких патчей и вне зависимости от того какие антивирус с фаерволом у него установлены? Есле конечно он сам не накосячит =)

  10. #49
    Junior Member Репутация
    Регистрация
    28.05.2008
    Адрес
    Курск
    Сообщений
    31
    Вес репутации
    58
    Здравствуйте! У нас в локалке было сразу 2 модификации этого вируса. Больше всего попортила нервы Net-Worm.Win32.Kido.ih. После обновления баз НОДа32 и Аваста все части вируса, кроме находящейся в папке system32 были вычищены в автоматическом режиме, а этот файл они не находили с базами от 10 января.
    Числа 13 решил поставить Eset Smart Security (просто посмотреть, что это такое). Во время установки был обнаружен вирус 13.01.2009 4:07:07 Модуль сканирования файлов, исполняемых при запуске системы файл C:\WINDOWS\system32\hwapfqbj.dll Win32/Conficker червь очищен удалением (после следующего перезапуска) После перезагрузки данный файл никуда не делся. А в ходе последующих проверок отображолся синим цветом (как файл, доступ к которому заблокирован). Из безопасного режима тоже не удалялся. Самое непонятное для меня то, что я не смог его удалить и при загрузке с компакт диска. Файл вообще никак не открывался, его невозможно было ни просмотреть, ни удалить, ни скопировать.

    При сканировании AVZ и антивирусной утилитой от касперского тоже ничего не находилось. AVZ даже не находил такую .dll. В реестре по названию файла также ничего не нашёл. То есть, он не оставлял в системе почти никаких следов. Воспользовавшись Process Explorer от Марка Русиновича определил, что эта dll внедрена в svchost.exe - хоть что-то! Процесс svchost.exe именно с этим ID давал неслабую нагрузку на систему. (что после удаления вируса устранилось).

    Удалил его при помощи AVZ, а именно следующим скриптом.
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('c:\windows\system32\hwapfqbj.dll');

    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Остальные компьютеры лечил так:
    1. Скачивал и ставил заплатки.
    2. Проиводил полныю проверку НОДом, или Eset Smart Security.
    3. В логах НОДа (ESS) находил заблокированные файлы в папке system32ю(обычно был один файл *.dll - и это и был тот самый вирус.)
    4. На всякий случай, проверял атрибуты файла и возможность их изменить.
    5. После этого запускал приведённый выше скрипт (изменив имя файла, конечно) в AVZ.


    P.S.: До запуска AVZ полую проверку антивирусом приходилось делать почти всегда, т.к. без этого либо не устанавливался "драйвер расширенного мониторинга процессов", либо не запускался режим "AVZ Guard".

  11. #50
    Незарегистрированный
    Guest
    Господа! А заплатка MS09-01 эффективна?

  12. #51
    Незарегистрированный
    Guest
    от повторного заражения нам помогло отключение общего ресурса ADMIN$. Ресурс IPC$ не отключали.

  13. #52
    Незарегистрированный
    Guest
    Толку от MS09-001 нет! Проверено! Реально помогают только отключение шар ADMIN$.

  14. #53
    Junior Member Репутация
    Регистрация
    28.05.2008
    Адрес
    Курск
    Сообщений
    31
    Вес репутации
    58
    Цитата Сообщение от Незарегистрированный Посмотреть сообщение
    Толку от MS09-001 нет! Проверено! Реально помогают только отключение шар ADMIN$.
    MS09-001 устраняет дыру в самой системе. А наличие шары ADMIN$ - дыра в настройке системы, как и наличие учётной записи администратора с пустым или примитивным паролем.

    P.S.: на мой компьютер попытки проникновения червя из сети прекратились. Но ручаться за этот апдейт не могу. Шара ADMIN$ отключена давно, как и учётная запись админа. Также расшаренные папки открыты только на чтение.

  15. #54
    Незарегистрированный
    Guest
    Цитата Сообщение от Doc18 Посмотреть сообщение
    MS09-001 устраняет дыру в самой системе. А наличие шары ADMIN$ - дыра в настройке системы, как и наличие учётной записи администратора с пустым или примитивным паролем.

    P.S.: на мой компьютер попытки проникновения червя из сети прекратились. Но ручаться за этот апдейт не могу. Шара ADMIN$ отключена давно, как и учётная запись админа. Также расшаренные папки открыты только на чтение.
    Господа, подскажите как можно в AD политикой безопасности одним махом отключить у пользователей в домене шару ADMIN$. Заранее благодарности!

  16. #55
    Junior Member Репутация
    Регистрация
    19.01.2009
    Сообщений
    2
    Вес репутации
    56
    Цитата Сообщение от Незарегистрированный Посмотреть сообщение
    Господа, подскажите как можно в AD политикой безопасности одним махом отключить у пользователей в домене шару ADMIN$. Заранее благодарности!
    я скриптом создал вот это: В ветке HKLM\\SYSTEM\\CurrentControlSet\\Services\\LanmanS erver\\Parameters создать параметр AutoShareWks тип DWORD, значение 0. Перезагрузить комп. и в Logon засунул, будем надеятся что катстрировал эту падлу )) во только в ручную чистить 600+ компов не очень

    Добавлено через 45 минут

    кстати, у меня касперыч арет на Kido.bt, а вут тот описание http://www.viruslist.com/ru/viruses/...rusid=21782725 везде пишут что он прописывает в реестре и нужно удалить пару ключей, ну нету у меня не наодном компьютере данного ключа в реестре
    Последний раз редактировалось ACik; 19.01.2009 в 13:02. Причина: Добавлено

  17. #56
    Незарегистрированный
    Guest
    у нас в сети завелась модификация bx . Сразу на все тачки поставил апдейт от MS . Потом по списку все компы проверка на наличие патча, проверка DrWeb CureIt, он сделан на основе 5 версии и поэтому практически сразу или 2 второй день эпидемии у нас вирус начал удалять, после проверки всех компов по списку сетевые атаки прекратились, но на некоторых компах XP начал подглюкивать разшареный принтер (останавливалась служба диспетчер очереди печати). При лечении вирусов я вычислил само тело (dll) , обратил внимание что она хоть и все время случайное имя но установлены все атрибуты (скрытый, архивный и тд). за 2 часа состряпал скрипт проверяющий папку system32 на всех компах в сети по поиску таких dll . нашел еще 3 компа. вычистил вот жду результатов, что скажут сетевые принтеры...
    на лечение сетки 200 компов ушло 6 рабочих дней (пока

  18. #57
    Junior Member Репутация
    Регистрация
    28.05.2008
    Адрес
    Курск
    Сообщений
    31
    Вес репутации
    58
    Цитата Сообщение от Незарегистрированный Посмотреть сообщение
    Господа, подскажите как можно в AD политикой безопасности одним махом отключить у пользователей в домене шару ADMIN$. Заранее благодарности!
    Для этого в винде есть команда "net share". В таком виде она покажет все расшаренные ресурсы. Далее выбираем нужный ресурс и в командной строке (Пуск->Выполнить->cmd) вводим команду net share {имя ресурса} /delet
    таким образом для удаления ресурса ADMIN$ надо ввести команду net share ADMIN$ /delet.

    есть другой вариант.
    1. открываем блокнот
    2. набиваем там команды для удаления всех лишних шар, в моём случае это
    net share C$ /delet
    net share J$ /delet
    net share K$ /delet
    net share L$ /delet
    net share I$ /delet
    net share Admin$ /delet
    net share print$ /delet
    3. сохраняем файл с расширением .bat
    4. Двойным кликом запускаем его.

    Таким образом, я отключил расшаривание дисков C, J, K, L, I, админку и расшаривание принтеров.

  19. #58
    Junior Member Репутация
    Регистрация
    19.01.2009
    Сообщений
    2
    Вес репутации
    56
    У меня сетка 600 компов из них зараженных 192 это судя по тому кто обновления KB958644 во время не поставили, но даже после установки обновления на зараженные компы вирус по ним таки ходит, вчера попробовал отрубить везде ADMIN$ пока вроде тихо, больше всего что меня настараживает все кто описания вируса писал, похожесть только в одном проподает звук(без патча), и повышается активность сетки, в реестре ни одного левого ключа найти не получилось

    отключил ADMIN$ вчера вечером, до сегоднишнего утра не одной атаке обноружено не было!!!
    Последний раз редактировалось ACik; 20.01.2009 в 06:47.

  20. #59
    Junior Member Репутация
    Регистрация
    20.01.2009
    Сообщений
    5
    Вес репутации
    56
    Новая модификация вируса Net-Worm.Win32.Kido.hf , ниодин антивирус не находит основные файлы данного вируса.

    (Очень злой неуловимый вирус который самомодифицируется и распространяется по всей сети вне зависимости от установленной версии Windows)

    Начинать надо обязательно с домена и основных серверов, затем менее важные сервера, затем рабочие станции ИТ отдела, а лишь потом все остальные.

    Порядок действий:

    1) Ставим заплатки номер KB958644 от Майкрософта. (помогла, но не на всех компах, тупо перестала вылазить ошибка svchost.exe, поэтому лишней не будет).

    2) Данный вирус запускается оригинальным SVCHOST.EXE с параметром заражённой библиотеки (random_name).dll, лежащей в SYSTEM32 (атрибут билиотеки установлен в "скрытый" или "ситемный"). Необходимо проверить права доступа для этой библиотеки. Как правило, кроме системы, никому доступ не разрешён. После переустановки прав
    (напр., Администраторы=полный доступ), можно убить его UNLOCKERом (http://ccollomb.free.fr/unlocker/).

    Кстати Dr.Web CureIt! находит эти dll файлы (но на всякий случай лучше проверять еще и самому, удалять всё равно придется UNLOCKERом)

    3) Проверка антивирусом Касперский (не ниже 6-й версии, т.к. 5-я уже не катит - проверено) добивает остатки вируса.

    P.S.: И на последок, если вы сразу проверяли компьютер на вирусы и вирусов не нашлось, то это абсолютно не значит что на нём нету вирусов и даже скорее всего этот компьютер является разносчиком вируса (убедились в этом не раз). Первые признаки, постоянный вылет ошибки svchost.exe, ошибки может и не быть, но машина которая до этого всегда хорошо работала вдруг стала сильно тормозить и выбивать сеть без всяких причин – это вторая причина…

    Все эти действия помогли наладить работу домена и предотвратить дальнейшее распространение данного вируса по серверам домена. Теперь остались рабочие машины с которых вирус на сервера теперь не пробьется. В данный момент занимаемся пользователями… т.к. 6-й Касперский уже не даст распространиться телу вируса на машины где он установлен. (до этого везде стоял 5-й каспер).

    Добавлено через 40 минут

    Ах да, еще на Windows XP бывает запущено в процессах много rundll32.exe, что является ненормальным, это явное проявление вируса Kido, а копия вируса на этих машинах была обнаружена 5-м каспером в \Window\sistem32
    Последний раз редактировалось J-Dragon; 20.01.2009 в 19:58. Причина: Добавлено

  21. #60
    Visiting Helper Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2005
    Сообщений
    129
    Вес репутации
    73
    Наверняка для кого-то эта новость давно устарела, но может быть кому-то и поможет.

    Microsoft выпустил обновление для своего MRT (Malicious Software Removal Tool), которое видит и лечит kido (по крайней мере ту версию, которая гуляет у нас - fw).
    Плюс на сайте Microsoft выложено подробное (хотя и не полное) описание, с детальным алгоритмом ручного удаления.

Закрытая тема
Страница 3 из 10 Первая 1234567 ... Последняя

Похожие темы

  1. По поводу последней эпидемии сетевого червя
    От rasclogin в разделе Вредоносные программы
    Ответов: 3
    Последнее сообщение: 24.05.2009, 17:29
  2. Ответов: 24
    Последнее сообщение: 12.04.2009, 00:10
  3. Ответов: 0
    Последнее сообщение: 17.01.2009, 21:26
  4. «Доктор Веб» сообщает об эпидемии Trojan.Packed.1198
    От SDA в разделе Вредоносные программы
    Ответов: 0
    Последнее сообщение: 27.10.2008, 21:36

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01179 seconds with 17 queries