Показано с 1 по 9 из 9.

MyDomWin32 в сети... проблема :(

  1. #1
    mr jingles
    Guest

    Exclamation MyDoomWin32 в сети... проблема :(

    Доброго всем времени суток, господа!
    Столкнулся со следующей ситуацией. В организации работает Exchange сервер. Защищен MacAfee MailScan'ом. Однажды его служба не стартовала. В information store пролез MyDoomWin32 и начал рассылать себя по адресной книге. Локальная сеть (сервера W2k, рабочие станции WinXP: порядка 40 серверов различных ролей и где-то около 500 рабочих станций) защищены Symantec AntiVirus Corporate Edition. Ежедневно на компьютерах пользователей симантек отлавливает и убивает этого червя. Мэйлскан тоже постоянно находит и убивает этого червя в почтовых ящиках пользвотелей.
    Проблема в следующем. Все это лечение идет уже месяц, активность червя не спадает... как можно его окончательно убить?

    Заранее спасибо.
    Последний раз редактировалось mr jingles; 14.08.2006 в 15:21.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Видимо, заменить Symantec на что-нибудь более работоспособное. Попробуйте для начала просканировать все машины посредством Cure-It от Dr.Web. Только учтите, что он архивы и почту не проверяет. Но это пока и не надо, наверное, есть замаскировавшийся EXE.

    Как зверя-то точно зовут? Фамилия MyDoom, наверное? А модификация какая?

  4. #3
    mr jingles
    Guest


    Собсно вот. Но проблема не в симантеке. Он то находит и лечит (по возможности, иначе - удаляет файлы). В описании вируса не сказано о заражении файлов ничего. Поэтому в мэйлскане макафи я выставил действие по-умолчанию "Лечить", если невозможно вылечить, вложение удаляется, письмо идет до адресата с текстовым файлом с информацией об удаленном вложении. Это все работает. Только я не могу понять, откуда они уходят???

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Надо в самих письмах смотреть, откуда. Exchange ведь должен писать в шапке техническую информацию об источнике. Если источник снаружи - это как погода, надо смириться. Если внутри - Symantec чего-то не замечает.

    А это чья табличка? По именованию больше вообще на Trend Micro смахивает.

  6. #5
    mr jingles
    Guest
    Trend Micro ScanMail for Exchange servers 2000/2003 на почтовых серверах у нас вертится вместе с симантековскими клиентами.

    адреса как внутренние, так и внешние. Он не может маскировать отправителя?

    Вот заголовок технический:

    Код:
    Microsoft Mail Internet Headers Version 2.0
    Received: from mosmart.ru ([192.168.254.109]) by POST001.myDOMAIN.local with Microsoft SMTPSVC(6.0.3790.211);
          Mon, 14 Aug 2006 16:12:58 +0400
    From: "Bounced mail" <[email protected]>
    To: [email protected]
    Subject: Returned mail: Data format error
    Date: Mon, 14 Aug 2006 16:12:59 +0400
    MIME-Version: 1.0
    Content-Type: multipart/mixed;
         boundary="----=_NextPart_000_0012_B6F32245.95EFEF9B"
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
    Return-Path: [email protected]
    Message-ID: <[email protected]>
    X-OriginalArrivalTime: 14 Aug 2006 12:12:58.0742 (UTC) FILETIME=[FB3A7960:01C6BF9A]
    
    ------=_NextPart_000_0012_B6F32245.95EFEF9B
    Content-Type: text/plain;
         charset=us-ascii
    Content-Transfer-Encoding: 7bit
    
    ------=_NextPart_000_0012_B6F32245.95EFEF9B
    Content-Type: application/octet-stream;
         name="document.zip"
    Content-Transfer-Encoding: base64
    Content-Disposition: attachment;
         filename="document.zip"
    
    
    ------=_NextPart_000_0012_B6F32245.95EFEF9B--

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Received: from mosmart.ru ([192.168.254.109
    Айпишник явно настоящий, вашей внутренней сети. А mosmart.ru - это вирь подставил, вранье.
    Вот на компьютер с этим IP и идите с CureIt-ом свежескачанным.

    Это одно письмо - остальные письма тоже стоит просмотреть.
    Логика та же - смотрите по IP адресу в первом Received:

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Вообще от таких вещей хорошо помогают:
    - заплатки от MS, это в первую очередь
    - файерволлы, чтобы червяк сам по сети не ползал (по возможности, на каждой машине, особенно со старой OS вроде NT4).
    - есть еще утилитка у Олега Зайцева - APS, для админа хорошая игрушка для ловли червей в локалке, покажет, откуда червь атакует. Олег сам админ, потому такое и состряпал по мотивам лавсана. Хотя Вам сейчас лучше прямо по логам почтового сервера и заголовкам вирусных писем и смотреть, этого должно хватить.

  9. #8
    mr jingles
    Guest
    ОК. Спасибо. Буду заголовки выдирать.
    mosmart.ru - это наше доменное имя. я в тексте его везде на myDOMAIN.ru заменил.

  10. #9
    mr jingles
    Guest
    Решил немного по-другому действовать.
    Посмотрел описание вируса. Забил в фильтр ТрендМикро все возможные вложения данного червя в заранее заблокированные.
    Поставил сплошное сканирование почтовых хранилищ и симантеком запустил сплошное сканирование диапазона сети.
    Если он будет блокировать вложения, то до конечных пользователей они не дойдут. Таким образом список отправителей резко сократится, будет проще поймать зверя.

    Просто первый раз столкнулся с массовым заражением в локальной сети. Оценил возможный ущерб, если бы это был хотя бы какой-нибудь W32.Pinfi, а не MyDoom...

    Всем спасибо.

Похожие темы

  1. Проблема при работе в сети
    От Mr Green в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 21.05.2012, 16:37
  2. Opera - Проблема сети
    От Vdvdd в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 13.01.2012, 11:18
  3. Проблема с svchost в сети
    От BillyBons78 в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 12.01.2011, 13:59
  4. Проблема сети.
    От S1111S в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 17.02.2010, 23:01
  5. Проблема с работой сети!
    От genafdrv в разделе Помогите!
    Ответов: 21
    Последнее сообщение: 22.02.2009, 07:23

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01649 seconds with 19 queries