Net-worm.Win32.Kido.ih с новым способом проникновения
Здравствуйте.
Нашу локальную сеть поразила новая модификация Kido.
Антивирус Касперского 6.0.3.837 с обновлениями сигнатур от 06.06.2009 детектирует в файле C:/Windows/System32/lpbfunw.s (на других компьютерах- другие названия файла) вирус Net-Worm.Win32.Kido.ih Также создается задания в планировщике задач на запуск этого файла с помощью rundll32 (это делает стандартный процесс svchost с ключем netsvcs, который отвечает за сетевые службы и в том числе службу планировщика задач, видимо ему по сети как-то приходит команда на создание задачи)
Последний KidoKiller 3.4.7 вроде бы детектирует kido и удаляет его, но через некоторое время файл с kido снова создается на компьютере. При попытке отслеживание создания зараженного файла с помощью FileMon не удается увидеть момента создания этого файла, и какой процесс его создает, а удаление этого файла (которое делает KAV) в логах FileMon видно.
Вопрос в том, каким образом зараза попадает на компьютер? Видимо какая-то новая уязвимость в одном из стандартных виндовых сервисов. Вобщем прошу помощи в защите сети, как закрыть сеть от распространения заразы?
Последний раз редактировалось Abark; 09.06.2009 в 08:59.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Файл REGSYS.SYS не удается найти, это видимо был драйвер, который загружал на время работы Sysinternals Process Explorer, который я запускал до запуска AVZ.
Переделал логи из локальной сессии (прикреплены к первому посту вместо старых),
сделал лог с помощью gmer.
(судя по логам gmer, на машине присутствует скрытая служба(ы) - "gftym" и "xecag" - и root-kit активность)
Запустил start.bat для gmer.
При отработке команд на удаление ключей реестра практически на каждой команде выскакивал message box с текстом,
Код:
"DeleteKey: Произошел сбой в программе инициализации библиотеки динамической компоновки (DLL)"
. не понятно, так и должно быть (например потому что avz при выполнении своего скрипта уже все это удалил) или это говорит о какой-то неожиданной ошибке ?
Выслал новый лог gmer.
Способ лечения отдельно взятой машины в общем понятен, главный вопрос в том, как закрыть машину от повторного заражения из сети ?
После всего проделанного и удаления файла с вирусом (C:\WINDOWS\system32\lpbfunw.dll), а также удаления скрытых служб через некоторое время снова появляется файл (C:\WINDOWS\system32\lpbfunw.s) и включенный KAV детектирует в нем Kido.ih
Загнал этот файл тоже в карантин и могу выслать по вашему требованию.
Получается что вирус снова как-то просачивается на компьютер. Вопрос как это остановить?
Причем компьютер уже на всякий случай отключен от локальной сети.
Последний раз редактировалось Rene-gad; 09.06.2009 в 15:09.
Про результаты применения KK (KidoKiller) 3.4.7 я писал в первом сообщении. Он видит только задачи создаваемые вирусом в планировщике задач и прибивает их. В процессах он вируса не находит.
Из трех рекомендованных заплаток у меня точно стояла одна, а две других наверно тоже уже проходили при регулярном обновлении Windows. Установил их все три еще раз на всякий случай.
Но к сожалению это не помогает, стоит машине побыть 15-20 минут подключенной к сети, на ней снова появляется вирусный файл (c:\windows\system32\lpbfunw.s или lpbfunw.dll), который KAV тут же детектирует и предлагает лечить/удалить, лечение не выходит, а удалять вроде бы удаляет.
Вопрос "как закрыть комп от сетевого заражения?" все еще актуален.
Взгляд на парк серверов показал что там не везде стоят заплатки, и учитывая административные привелегии серверов видимо зараза рассылается по сети оттуда. Будем лечить сервера. О результатах отпишусь через день-два.
После накатывания патчей и обновлений на все сервера (было в частности забыто обновить свежеустановленный сервер), а также установки антивируса на некоторые машины пользователей (выявить которые удалось с помощью снифера и централизованной админской консоли KAV) вирус практически полностью изведен, и не подает признаков жизни уже сутки.
Вывод из случившегося: не нужно искать хитрых способов распространения вируса, когда есть дырявые сервера и включены сервисы администрирования Windows, для вируса этого вполне достаточно. Хорошо хоть KAV в резидентном режиме сразу определял появляющиеся зараженные файлы и предлагал их прибить.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: