Показано с 1 по 17 из 17.

Conficker.AE сеть с доменом вин2003 (заявка № 40397)

  1. #1
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    21
    Вес репутации
    33

    Question Conficker.AE сеть с доменом вин2003

    После попадания вируса Conficker.AE в сеть на работе она упала минут за 15.. компьютеры начали виснуть намертво. В сети 70 компьютеров и 2 сервера. В первый вечер вылечил порядка 15 компьютеров и 2 сервера и собственно проблем на них больше не наблюдалось. Было еще пару компьютеров которые не упали под натиском, видимо стояла заплатка. Что же творится дальше, те самые компьютеры которые не попали в первые две счастливые группы не могут зайти в учетку кроме админа пишет переполнение журнала событий, на самом деле вычищаешь первый раз пускает пользователя после перезагрузки нет, захожу смотрю в журнале по 15 записей на группу... чистку провожу утилитой CureIt!. Делаю полную проверку, находит вирусы шедов базед, что и есть конфикер по версии нода. Просит перезагрузку. Перезагружаю. И все выше описанное повторяется. Заплатка KB958644 ставил в 1 очередь.
    Спасайте, мыслей на этот счет не находится.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785

  4. #3
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    21
    Вес репутации
    33
    Цитата Сообщение от Гриша Посмотреть сообщение
    Вроде помогло.
    Переполнение журнала вызывали зараженные компьютеры. Решилось простым чтением журнала и лечением атакующих.
    Но после кидокиллера утилита доктора вэба находит вирусняк.
    Если пару дней и отпишусь что как.
    С вистой 64 бита не могу понять как совладать, не ставится патч, лицензия обновлялась, возможно он там просто есть уже.
    Стоит нод32 лицензия и постоянно выскакивает что нашел вирус

    c:\windows\system32\ziffv.bhp размер 159140 win32/Conficker.AE червь
    нашелся уже 396 раз

    кидо киллер не нашел ничего
    при запуске правда выдает строк 30
    "program crashed in ScanThread"

    Добавлено через 4 часа 43 минуты

    и может кто посоветует программу снифер, что бы поставить ее на один из компьютеров и следить откуда идут запросы.
    Последний раз редактировалось Same; 27.02.2009 в 17:01. Причина: Добавлено

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MedvedD
    Регистрация
    13.09.2005
    Адрес
    Минск
    Сообщений
    388
    Вес репутации
    91
    Лучшиий сниффер - это http://ru.wikipedia.org/wiki/Wireshark.

  6. #5
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    21
    Вес репутации
    33
    Проблема не решается касперским и чисткой антивирусом после, файлы с вирусами после находятся с такими же именами и там же. Проблема осложняется тем что компьютеры находятся в локальной сети работу которой остановить не представляется возможным.
    Подскажите решение, спасу нет уже.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от Same Посмотреть сообщение
    Проблема не решается касперским и чисткой антивирусом после, файлы с вирусами после находятся с такими же именами и там же. Проблема осложняется тем что компьютеры находятся в локальной сети работу которой остановить не представляется возможным.
    Подскажите решение, спасу нет уже.
    Если все ПК в домене, то решение простое, а именно:
    1. Проставить все заплатки на рабоче места и на сервер. В идеале - поднимаем на контроллере домена сервер WSUS, на всех ПК настраиваем обновление на него, для начала авторизуем к установке только критические заплатки, постепенно добавляем остальные ... В среднем дня через 2-3 без остановки работы все машины будут заапдейчены до упора (правда юзерам придется дать интрукцию перегружать ПК и стаить апдейты по каждому предложению системы, а иначе удовольствие может растянуться на неделю как минимум);
    2. Если путь 1 неприемлем (или приемлем, но нужно побыстрее наладить защиту) можно через домен проставить 1-3 критические заплатки против червя, это очень просто - у заплаток есть режим бесшумного запуска, ключи можно посмотреть, запустив заплатку с параметром /?;
    3. Всем юзерам поставить сложные пароли. Они конечно будут пищать, брыкаться - но это решаемо ... если уже совсем запищат, то руководству каркуляцию решения на базе USB токенов, смарт-карт или биометрических сканеров, цена вопроса в среднем от 500 руб до 3-5 т.р. на один ПК. Из практики биометрия хороша - палец себе юзер не откусит, в отличие от USB "свистка", который явно будет постоянно торчать в компьютере ... и это хороший задел на случай разборки - с биометрией совсем отлично, всякие бредни типа "я отошел на 15 минут в туалет, а в это время зеленые человечки с Марса захватили контроль над моим ПК и полезли порнуху смотреть" уже не проходят ;
    4. Отключить админ-шары и неавторизованные подключения к расшаренным папкам (ключи реестра + блокировка учетки гостя). Это опять-же легко сделать через контроллер домена
    Вот и все ... плюс:
    5. Провести аудит всех ПК на предмет наличия сотовых модемов и подключенных мобильников. Если найдется - оторвать все (мобильники и модемы от ПК, юзеру руки или голову ... ). Ибо если у ЛВС есть точки выхода "в мир" напрямую, то собственно червяки сетевые будут забираться туда без проблем.
    6. Организовать 1-2 компьютера ловушки (с уязвимой операционкой + сниффером, чтобы ловить источники атаки). Это несложно, ловушкой может быть операционка на виртуальном ПК - главное, включить ее в домен/рабочую группу и дать ей IP из своей подсети
    7. Проверить правила на роутере/Firewall на границе сети - убедиться, что порты MS перекрыты .. . плюс в идеале всех юзеров запустить в Инет не напрямую через NAT, а через прокси-сервер (SQUID на xNIX машинке имхо почти идеален для этого - ресурсов почти не ест, и очень много что умеет в плане фильтрации трафика). Это не связано напрямуюс KIDO, но является отличной профилактической мерой
    8. Поставить хороший корпоративный антивирус. Под термином "хороший" понимается то, что его центр управления должен давать оперативный контроль над обстановкой. У меня например сеть защищена KAV6 + используется "слегка доработанный напильником" админкит (админкит сам по себе удобен, но еще удобнее то, что база данных у него открытая и не защищена никак от любопытствующих - что дает знающему SQL админу/безопаснику неограниченные возможности в плане анализа, создания разных информеров и т.п. При этом в базе есть ряд view, которые резко упрощают задачу анализа, например запросик вида:
    Код:
    SELECT TOP 100 PERCENT dbo.ev_event.group_name,  
                          dbo.ev_event.rise_time,
                          dbo.ev_param.par2 AS GNRL_EA_PARAM_2, 
                          dbo.ev_param.par5 AS GNRL_EA_PARAM_5, 
                          dbo.ev_param.par7 AS GNRL_EA_PARAM_7, 
                          ISNULL(dbo.v_hosts_and_slaves.strDisplayName, dbo.ev_event.hostname) AS hostdn,                       
                          dbo.v_hosts_and_slaves.strWinHostName AS host_winhostname, 
                          dbo.v_hosts_and_slaves.nIpAddress AS nHstIpAddress, dbo.v_hosts_and_slaves.nIpCon AS nHstIpCon
    FROM         dbo.ev_event LEFT OUTER JOIN
                          dbo.v_hosts_and_slaves ON dbo.ev_event.hostname = dbo.v_hosts_and_slaves.strName LEFT OUTER JOIN
                          dbo.ev_param ON dbo.ev_event.event_id = dbo.ev_param.event_id
    WHERE     (dbo.ev_event.event_type = 'GNRL_EV_VIRUS_FOUND') 
     AND (dbo.ev_param.par5 like '%.Kido.%')
     AND (UPPER(dbo.ev_param.par2) like UPPER('%RECY%'))
    ORDER BY dbo.ev_event.rise_time DESC
    даст нам инциденты с KIDO, занесенным с флешки ... это в принципе и через его генератор отчетов можно делать, но напрямую сидя в базе интереснее

    PS: вообще защита сети - хорошая тема для книги или цикла статей ... надо будет заняться
    Последний раз редактировалось Зайцев Олег; 01.03.2009 в 11:48.

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    ...
    что дает знающему SQL админу/безопаснику неограниченные возможности в плане анализа, создания разных информеров и т.п. При этом в базе есть ряд view, которые резко упрощают задачу анализа, например запросик вида:
    Код:
    SELECT TOP 100 PERCENT dbo.ev_event.group_name,  
                          dbo.ev_event.rise_time,
                          dbo.ev_param.par2 AS GNRL_EA_PARAM_2, 
                          dbo.ev_param.par5 AS GNRL_EA_PARAM_5, 
                          dbo.ev_param.par7 AS GNRL_EA_PARAM_7, 
                          ISNULL(dbo.v_hosts_and_slaves.strDisplayName, dbo.ev_event.hostname) AS hostdn,                       
                          dbo.v_hosts_and_slaves.strWinHostName AS host_winhostname, 
                          dbo.v_hosts_and_slaves.nIpAddress AS nHstIpAddress, dbo.v_hosts_and_slaves.nIpCon AS nHstIpCon
    FROM         dbo.ev_event LEFT OUTER JOIN
                          dbo.v_hosts_and_slaves ON dbo.ev_event.hostname = dbo.v_hosts_and_slaves.strName LEFT OUTER JOIN
                          dbo.ev_param ON dbo.ev_event.event_id = dbo.ev_param.event_id
    WHERE     (dbo.ev_event.event_type = 'GNRL_EV_VIRUS_FOUND') 
     AND (dbo.ev_param.par5 like '%.Kido.%')
     AND (UPPER(dbo.ev_param.par2) like UPPER('%RECY%'))
    ORDER BY dbo.ev_event.rise_time DESC
    даст нам инциденты с KIDO, занесенным с флешки ... это в принципе и через его генератор отчетов можно делать, но напрямую сидя в базе интереснее

    PS: вообще защита сети - хорошая тема для книги или цикла статей ... надо будет заняться
    Запрос явно не человеком написан (видать, машинный разум вмешался, типа КиберХелпера)...

    Разве гуманоид может написать:
    Код:
    SELECT TOP 100 PERCENT dbo.ev_event.group_name,
    или:
    Код:
      AND (UPPER(dbo.ev_param.par2) like UPPER('%RECY%'))
    =)

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от aintrust Посмотреть сообщение
    Запрос явно не человеком написан (видать, машинный разум вмешался, типа КиберХелпера)...
    Разве гуманоид может написать:
    явно не человеком - это кусок кода из родного view админкита, только доработанный фильтрами

  10. #9
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    21
    Вес репутации
    33
    to Зайцев Олег
    Заплатки ручками поставлены, но вирус там появляется снова и снова. Более того компьютеры пропатчены совершенно все может не везде вычищены хорошо.
    Дело в том что я не могу в рабочее время отключить сеть. А если вылеченный компьютер пропатченый компьютер попадает в сеть он опять заражается или я не уловил какой мелочевки.
    По поводу интернета он и так через прокси классическую даже не прозрачную.

  11. #10
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    21
    Вес репутации
    33
    Приложил логи одного из компьютеров.
    Последний раз редактировалось Same; 16.10.2009 в 19:25.

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785

  13. #12
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    21
    Вес репутации
    33
    to Гриша
    Вы уже писали, не помогает, после перезагрузки запускаю лечилку от касперского находит тот же вирус в том же месте. Заплатки стоит 3 KB957097 KB958644 KB958687.
    Самое забавное что после лечилки каспера CureIt опять его находит.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от Same Посмотреть сообщение
    to Гриша
    Вы уже писали, не помогает, после перезагрузки запускаю лечилку от касперского находит тот же вирус в том же месте. Заплатки стоит 3 KB957097 KB958644 KB958687.
    Самое забавное что после лечилки каспера CureIt опять его находит.
    Заплатки - это мало. Нужно еще пароли поставить сложные, отключить админшары и т.п. - т.е. перекрыть все возможные пути. А иначе я видел ситуации, ПК пропатчен до упора, но там админ без пароля

  15. #14
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    21
    Вес репутации
    33
    to Зайцев Олег
    Ситуация такая, у пользователя нет админских прав, пароль слабый.
    нет шары как таковой, только принтер расшарен.
    В выходные вычистил компьютер при отключенной сетке. Утилиты CureIT и KillKido3.1 не находили после полной проверки.
    Сейчас по сети у этого человека и других есть папка планировщика задач, которую мы точно не создавали и раньше ее небыло
    Так же появился в процессах rundll32.exe
    Данный компьютер сегодня опять занимается расстрелом сети.
    Заплатки там стоят, операционка win XP SP3. Могу прислать тело вируса если нужно. Поставить Антивирусы на все компьютеры не представляется возможным с материальной точки зрения, кризис же.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от Same Посмотреть сообщение
    to Зайцев Олег
    Ситуация такая, у пользователя нет админских прав, пароль слабый.
    нет шары как таковой, только принтер расшарен.
    Вот в том то и беда, что пароль слабый ... плюс флешки наверное применяются активно и бесконтрольно. Я могу поделиться REG файлом, который душит автозапуск + отключае админ-шары + выключает некоторые уязвимые службы + отключает неавтризованные подключения. Но это убойная штука и она может нарушить работу чего-то, например если пользователи привыкли забираться друг другу на ПК без авторизации. Плюс обязательно нужно проверить сам контроллер домена и поставить на него все заплатки

  17. #16
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    21
    Вес репутации
    33
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Вот в том то и беда, что пароль слабый ... плюс флешки наверное применяются активно и бесконтрольно. Я могу поделиться REG файлом, который душит автозапуск + отключае админ-шары + выключает некоторые уязвимые службы + отключает неавтризованные подключения. Но это убойная штука и она может нарушить работу чего-то, например если пользователи привыкли забираться друг другу на ПК без авторизации. Плюс обязательно нужно проверить сам контроллер домена и поставить на него все заплатки
    Но этот пользователь не имеет админских прав. Доступа в систем32 нет
    И пароль локального администратора сложный.
    Откуда берется вирус и нафига тогда ставить заплатки если они не меняю буквально ничего.
    На счет рег файла я не откажусь, в конце концов проатализирую его и под себя настрою) давно мечтал о такой штуке.

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от Same Посмотреть сообщение
    На счет рег файла я не откажусь, в конце концов проатализирую его и под себя настрою) давно мечтал о такой штуке.
    Я отправил в PM мой прототип, который у меня запускается принудительно на всех ПК в качестве меры профилактики

    Добавлено через 2 минуты

    Цитата Сообщение от Same Посмотреть сообщение
    Откуда берется вирус и нафига тогда ставить заплатки если они не меняю буквально ничего.
    Этот червяк тем то и знаменит, что применяет разом несколько векторов размножения (уязвимости, перебор паролей, размножение на флешках и т.п.). Заплатки перекрывают только один из векторов размножения ...
    Последний раз редактировалось Зайцев Олег; 02.03.2009 в 19:40. Причина: Добавлено

  • Уважаемый(ая) Same, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. вирус(?) на вин2003
      От proc в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.12.2011, 23:12
    2. Червь Conficker заразил компьютерную сеть полиции
      От ALEX(XX) в разделе Новости компьютерной безопасности
      Ответов: 1
      Последнее сообщение: 04.02.2010, 13:54
    3. комп не входит в сеть с доменом!
      От CactusMan в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.04.2008, 15:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00160 seconds with 16 queries