И ломится эта тварь на многие компы в сети (которые из-за экономии трафика давно не обновлялись). На них стоит Avira Antivir, так что заразить их не получается. Однако нервирует, когда через каждые 10-15 минут выскакивает сообщение об обнаружении вируса.
Вопрос такой: как не исследуя каждый комп в сети, определить с какого именно идут попытки распространения червя? Отключение сегментов не предлагать - инфицированных компов может быть несколько.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В общем не идея, а реальное разрешение проблемы при наличии "инструментов" в локальной сети: сервер Windows 2003 + NOD32 2,79. При атаке NOD блокирует машину и выкидывает окошко с IP адресом зараженной машины, названием вируса и предложение блокировать угрозу.
Примечание: все машины в сетке шлюзуются через сервер.
Скачал nmap. На своем компе под WinXP Pro SP2 запустить не удалось - вылетал с ошибкой. Пришлось устанавливать в терминальном режиме на сервере Win2K SP4. Собственно говоря, результаты проверки не были оригинальными - под подозрение на инфицирование попали в основном компы, которые в последние дни исчезли из списка обозревателя сети. Но для дополнительного контроля ее все же можно использовать.
Вопросы в другом:
1. Проверка nmap показывает инфицирование какого-нибудь компа. Кроме того, наблюдаются конкретные косвенные симптомы: этот комп исчез из обозревателя сети, сам сети не видит, при перезагрузке и входе администратором выдает сообщение об аварийном останове службы, запускаемой через svchost. К антивирусным сайтам доступ блокирован. Но AVZ ничего криминального на машине не показывает. Нет никаких подозрительных процессов, служб, драйверов, BHO и пр. В реестре служба netsvcs и другие знаковые ключи отсутствуют. В папке system32 подозрительных dll размером около 190 Кб не замечено. В корне дисков авторанов нет. Это он так маскируется, что его AVZ не видит? Или я невнимательно или не туда смотрел? И можно ли с помощью AVZ его обнаружить и удалить?
2. Этого червя я обнаружил в том числе и на своем компе (вернее, был обнаружен и удален в процессе работы KKiller). Хотя критические обновления у меня скачиваются регулярно. И Avira обнаруживала и блокировала попытки записи на диск инфицированной dll в системную папку и в локальный кэш. Так каким же образом он все же внедрился? Ладно уж Avira не сработала. Могу поверить даже в это. Но неужто даже критические оновления не помогают?
Последний раз редактировалось GrAnd; 01.05.2009 в 17:47.
Я предлагаю всё таки воспользоваться KKiller-ом, т.к. он специально создавался для удаления kido.
Так KKiller, как я писал выше, находит и изничтожает зловреда. Но интересно, как его можно обнаружить и прибить подручными неспециализированными средствами.
Дело в том, что AVZ я пользуюсь уже около 3-х лет. Первый раз он мне помог в обнаружении и удалении Look2Me. И с тех пор помогал исправно. Большинство троянов обнаруживались и удалялись за 5-10 минут. Ну еще немного времени, чтобы почистить следы. Если какого-нибудь зловреда я и не мог долго обнаружить с его помощью, то исключительно из-за собственной невнимательности.
Вот поэтому и интересуюсь - где в AVZ его искать. Видит ли его AVZ или нет. Или это я опять туплю и не вижу очевидного?
Предлагаю сделать так:
1. Ищем комп с признаками заражения.
2. Запускаем AVZ,
3. Включаем AVZPM,
4. Перезагружаем комп
5. Делаем стандартный скрипт №3 в AVZ.
6. Перезагружаем комп
7. Запускаем KKiller kk.exe -f -r -y -l report.txt -v
8. Смотрим файл report.txt и сравниваем с логами AVZ.
Результатов может быть несколько:
- Вы что то пропустили в логах AVZ
- AVZ ничего не показал в логах
В четверг вечером, когда я уже сдался и решил все же использовать KKiller, я вылечил 2 сервера и 2 компа. Так что, на понедельник, наверное, еще несколько десятков для экспериментов осталось )). Так с ними и буду поступать.
2 десятка это много :-)
Несколько компов можно оставить для экспериментов, а на остальных запустить чистку.
Проще наверное будет сделать так:
Качаем пачти, закрывающие уязвимости MS08-067, MS08-068, MS09-001 если ещё не скачали.
Закинуть их в одну папку, создать там файл install.bat с таким текстом
Кидаем эту папку на флешку и идём к зараженным компам.
Копируем папку на все компы, запускаем install.bat, ждём, перезагружаем комп, запускаем kk.bat, ждём, перезагружаем комп.
В общем как-то так
Ну собственно говоря, я так примерно и сделал. Подготовил вакцинированную от авторанов флешку для лечения рабочих станций. Только сервера лечил через терминальный режим (да там и другие версии заплаток нужны). 2 третьестепенных вылечились нормально. А вот на PDA (на котором тоже обновления регулярно скачиваются) почему-то тормознул серьезно при проверке svchost. Ждать не стал - пошел домой. В понедельник разберусь.
А AVZPM ничего не дает. Даже не в состоянии разрезольвить перехват функций Авирой. Пишет, что перехватчик не определен. И больше ничего интересного.
Кстати ... Еще один булыжник в AVZ. В процессе поисков на одном компе обнаружился еще один троян к данному червю отношения не имеющий. Так обнаружился он сканером DrWeb при анализе списка запущенных процессах. А AVZ нигде этот инфицированный файл/процесс тоже не отобразил.
2GrAnd
Обращай внимание на "Прямое чтение" в логах AVZ. Там часто виден Кидо.
Кстати, лог AVZ c неопознанным трояном приложи к теме. Интересно будет проанализировать. Если сюда не хочется, то можно в "Приватный раздел"
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
В реестре служба netsvcs и другие знаковые ключи отсутствуют. В папке system32 подозрительных dll размером около 190 Кб не замечено. В корне дисков авторанов нет.
В реестре не она проявляется.
Там присутствуют HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\<латинские буквы> у которого разрешения стоят только для системы
Соответственно, AVZ (работая с правами Администратора) не может прочитать содержимое такой ветки
Т.е. можно просто просмотреть разрешения всех записей, которые в regedit не отмечены значком раскрытия поддерева.
В system32 dll-ка имеет то же имя, что и сервис (т.е. набор случайных латинских букв)
В корне диска их обычно нет, а вот на флешках создаются.
В реестре не она проявляется.
Там присутствуют HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\<латинские буквы> у которого разрешения стоят только для системы
Соответственно, AVZ (работая с правами Администратора) не может прочитать содержимое такой ветки
Т.е. можно просто просмотреть разрешения всех записей, которые в regedit не отмечены значком раскрытия поддерева.
В system32 dll-ка имеет то же имя, что и сервис (т.е. набор случайных латинских букв)
В корне диска их обычно нет, а вот на флешках создаются.
На флешках создается файл RECYCLER\S-5-3-42-...\jwgkvsq.vmx. Имя, кажется, везде одно и то же было. Владельцем файла и папок назначался текущий пользователь. Права на них были такие, что даже админом нельзя было их удалить, если не назначить его на все владельцем. Впрочем, я не очень злобно экспериментировал - не до того было в ходе лечения.
2 PavelA: Логи приложу. Их есть у меня. И в безопасном и в обычном режимах. И всякие отчеты AVZ и KKiller`а. Но все завтра, когда закончу мотаться с флехой между компами. Доверить столь деликатное дело групповой политике не решаюсь. Приходится третий день напрягать ноги.
2 bmw-mtv: Мне кажется достаточно такого батничка для KKiller`а:
Код:
@echo off
echo kill Kido
KKiller.exe -a -y -l report.txt -v
echo done
pause
exit
Кстати, обнаруживать в сети зараженные компы можно при помощи того же AVZ на компе-ловушке. На нем не нужно устанавливать мелкомягкие заплатки, но нужно иметь антивирь, блокирующий запуск зараженных файлов.
Включаем AVZ, и в списке открытых портов через некоторое время видим, кто атакует его по TCP#139.
Как обещал, выкладываю логи с одной машинки. Машинка эта не в нашей сети. Кроме того, есть у меня смутное убеждение. что ее хозяин и занес нам эту дрянь.
Зараза гнездилась в jdtgfyt.dll. Тем не менее, этот файл фигурирует только в связи с необходимостью прямого чтения. Больше нигде и ничего.
Остальные подозрения на драйверы и авторан - ложные. Драйверы от Daemon Tools, а авторан на моей флешке с антивирями - часть ее собственной вакцины.
ещё в логе есть необычные неопределённые перехватчики
Код:
\driver\disk[IRP_MJ_CREATE] = 8239B788 -> перехватчик не определен
\driver\disk[IRP_MJ_CLOSE] = 8239B788 -> перехватчик не определен
\driver\disk[IRP_MJ_READ] = 8239B788 -> перехватчик не определен
\driver\disk[IRP_MJ_WRITE] = 8239B788 -> перехватчик не определен
\driver\disk[IRP_MJ_PNP] = 8239B788 -> перехватчик не определен
ещё в логе есть необычные неопределённые перехватчики ...
... их скорее всего jdtgfyt.dll устанавливает
Это вряд ли. В логах с других зараженных компов нашей сетки таких перехватов нет. Это раз.
Во вторых, после лечения от Kido эти перехваты не исчезли.
Ну и главное ... Даже если бы это было так, то из данных записей все равно нет возможности однозначно определить, кто именно перехватывает. Перехватчик просто "не определен".
Кстати, на одной машинке нашел заразный файл в списке подгружаемых модулей запущенных процессов. Обрадовался. А зря. Больше я его на других машинках там не видел.
А зараженных компов оказалось не очень много. Где-то около дюжины. В основном те, на которых антивири не были установлены, либо не обновлялись регулярно.