Показано с 1 по 5 из 5.

Новая разновидность win32.downadup.b (kido) ? ничего не помогает (заявка № 82625)

  1. #1
    Junior Member Репутация
    Регистрация
    28.04.2008
    Сообщений
    25
    Вес репутации
    59

    Thumbs up Новая разновидность win32.downadup.b (kido) ? ничего не помогает

    день добрый.

    сетка, домен ~100 машин
    на КД win2003 sp2 со всеми патчами, роутер-релей win2003 sp2 с kerio firewall + mdaemon, веб сервер win2003 sp2
    все пропатчены (были)
    на моей рабочей - win7 32-bit (аналогично - все патчи стоят)
    вчера в начале дня (в районе 13-14 часов) начались проблемы с инетом (сначала не придали значения, т.к. у провайдера неделю ведутся небольшие работы как раз в это время).
    далее отвалился сервер (как выяснилось - отвалились службы "сервер" и "рабочая станция" ну и зависимые от них). Начали копать...
    собсно теже симптомы обнаружились на КД и далее на веб сервере.
    ближе к ночи нашёл и у себя (чисто случайно).

    патчи прошлогодние от данной заразы давно везде стояли.
    проштудировал все "старые" симптомы этих червячков - нахождение, типичные проблемы и места дислокации. часть совпадает, часть совершенно отсутствует.
    HKLM-Software-Microsoft-Windows NT-SVCHOST
    тут в параметре netsvc в конце списка служб были левые записи - на всех серверах и на win7 тоже (набор символов)
    поиск по данному имени в реестре всегда ведёт на службу, у которой убраны все разрешения и права на редактирование (решается добавлением админа с полными правами)
    в которой ссылка на файл в system32
    помимо этого SAV corporate установленный на КД находит в system32 файл с расширением .rr и постоянно его убивает.
    чистка с отключенной сетью и в safe mode ничего не даёт
    служба удаляется, файлы удаляются, ничего более не находится, но
    на всех заражённых машинах (даже в safe mode) через AVZ видны скрытые процессы - без имени и ссылки на что либо + сообщение о подмене PID. Процессы эти не убиваются. заразы как бы нет и ни что на неё более не ссылается после чистки, но невидимые процессы остаются + куча открытых портов (UDP в основном).

    чего делать ума не приложу. отрубить все рабочие станции нереально, найти куда зараза могла просочиться - более реально, но нужна хоть какая то тулза, почти на всех машинах winxp sp3, на некоторых sp2, сервера основные на win2003 sp2,
    заплатки от данной напасти ставились ещё в прошлом году на все машины.
    чистка ручками не помогает. KAV и DRWEB (сканеры) ничего не находят
    AVZ если левый сервис ещё не удалён сообщает что обнаружен скрытый сервис либо подмена + обо всех скрытых процессах без имени, но с ними ничего поделать не может.
    после чистки от сервиса - сообщает только о скрытых процессах с подменой PID

    выборочно проверил некоторые другие компьютеры - c winxp sp2 и sp3 - пока что ни на один заражённый не наткнулся. но подозреваю что какие то поражены (не уверен)
    источник заражения также сложно предположить, вчера была презентация, приезжали черти со своим ноутом, но вроде как в сеть его не втыкали, также возможно что что-то где то слилось с флешки (т.к. наскольк помню один из его вариатов распространения через autorun.inf в паре со скрытым в корзине файле)
    порты (445 и 139) перекрывать пробовал - но особо эффекта не даёт
    роутер в логах охреневает от кол-ва соединений на рандомные ip

    к дикому сожалению не могу выложить логи по правилам (через AVZ), на дисках серверов просто тучи файлов и прогнозы по сканированию - от нескольких часов до пары дней. На win7 AVZ в режиме расширенного сканирования не работает (просто самозакрывается), соот. лог сделать также невозможно.
    Но логи через утилиту KAV сделать удалось. Также прилагаю логи hijackthis
    2 машины - роутер и своя с win7, симптомы схожи, позже могу выложить ещё с пары серверов.

    помогите плиз или ткните куда копать и чего делать. заранее премного благодарен

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    28.04.2008
    Сообщений
    25
    Вес репутации
    59
    ещё раз почистил руками win7 машинку
    удалось снять оба лога через AVZ
    прилагаю
    сейчас попробую тоже самое на серверах ещё раз

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    AVZ добил
    Файл успешно помещен в карантин (C:\Windows\System32\teqvkwfw.dll)
    C:\Windows\System32\teqvkwfw.dll >>>>> Net-Worm.Win32.Kido.ih успешно удален
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    28.04.2008
    Сообщений
    25
    Вес репутации
    59
    thyrex
    просканил ещё все машины, где явно был вирь kk.exe от Касперского - он нашёл и убил вирь. источник тож нашёлся - удалённая сеть, соединённая оптикой с основной. пока что разорвали, дали указание лечицца. сканы после этого kk.exe ничего не находят. на серверах и обычных машинах, где стоят заплатки до разрыва связи с удалённой сетью стабильно в system32 появлялись файлы с рандомными именами и тут же грохались антивирями, зараза с них дальше не шла.
    тем не менее те самые скрытые процессы до сих пор есть на серверах и своей рабочей машине с win7
    никто ничего не находит больше, кроме этих самых скрытых процессов.
    что это может быть?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    На серверах (особенно веб) и Vista+ скрытые процессы присутствуют по жизни.

  • Уважаемый(ая) Gre4ka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Новая разновидность -Win32.HLLM.Beagle.38912?
      От kayman в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 10.11.2006, 09:52
    2. Новая разновидность Trojan.PSW.Linage
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 9
      Последнее сообщение: 04.11.2004, 11:45
    3. Новая разновидность Bagle
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 6
      Последнее сообщение: 29.10.2004, 15:01
    4. Новая разновидность MyDoom
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 2
      Последнее сообщение: 27.10.2004, 09:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00203 seconds with 19 queries