-
Junior Member
- Вес репутации
- 59
Новая разновидность win32.downadup.b (kido) ? ничего не помогает
день добрый.
сетка, домен ~100 машин
на КД win2003 sp2 со всеми патчами, роутер-релей win2003 sp2 с kerio firewall + mdaemon, веб сервер win2003 sp2
все пропатчены (были)
на моей рабочей - win7 32-bit (аналогично - все патчи стоят)
вчера в начале дня (в районе 13-14 часов) начались проблемы с инетом (сначала не придали значения, т.к. у провайдера неделю ведутся небольшие работы как раз в это время).
далее отвалился сервер (как выяснилось - отвалились службы "сервер" и "рабочая станция" ну и зависимые от них). Начали копать...
собсно теже симптомы обнаружились на КД и далее на веб сервере.
ближе к ночи нашёл и у себя (чисто случайно).
патчи прошлогодние от данной заразы давно везде стояли.
проштудировал все "старые" симптомы этих червячков - нахождение, типичные проблемы и места дислокации. часть совпадает, часть совершенно отсутствует.
HKLM-Software-Microsoft-Windows NT-SVCHOST
тут в параметре netsvc в конце списка служб были левые записи - на всех серверах и на win7 тоже (набор символов)
поиск по данному имени в реестре всегда ведёт на службу, у которой убраны все разрешения и права на редактирование (решается добавлением админа с полными правами)
в которой ссылка на файл в system32
помимо этого SAV corporate установленный на КД находит в system32 файл с расширением .rr и постоянно его убивает.
чистка с отключенной сетью и в safe mode ничего не даёт
служба удаляется, файлы удаляются, ничего более не находится, но
на всех заражённых машинах (даже в safe mode) через AVZ видны скрытые процессы - без имени и ссылки на что либо + сообщение о подмене PID. Процессы эти не убиваются. заразы как бы нет и ни что на неё более не ссылается после чистки, но невидимые процессы остаются + куча открытых портов (UDP в основном).
чего делать ума не приложу. отрубить все рабочие станции нереально, найти куда зараза могла просочиться - более реально, но нужна хоть какая то тулза, почти на всех машинах winxp sp3, на некоторых sp2, сервера основные на win2003 sp2,
заплатки от данной напасти ставились ещё в прошлом году на все машины.
чистка ручками не помогает. KAV и DRWEB (сканеры) ничего не находят
AVZ если левый сервис ещё не удалён сообщает что обнаружен скрытый сервис либо подмена + обо всех скрытых процессах без имени, но с ними ничего поделать не может.
после чистки от сервиса - сообщает только о скрытых процессах с подменой PID
выборочно проверил некоторые другие компьютеры - c winxp sp2 и sp3 - пока что ни на один заражённый не наткнулся. но подозреваю что какие то поражены (не уверен)
источник заражения также сложно предположить, вчера была презентация, приезжали черти со своим ноутом, но вроде как в сеть его не втыкали, также возможно что что-то где то слилось с флешки (т.к. наскольк помню один из его вариатов распространения через autorun.inf в паре со скрытым в корзине файле)
порты (445 и 139) перекрывать пробовал - но особо эффекта не даёт
роутер в логах охреневает от кол-ва соединений на рандомные ip
к дикому сожалению не могу выложить логи по правилам (через AVZ), на дисках серверов просто тучи файлов и прогнозы по сканированию - от нескольких часов до пары дней. На win7 AVZ в режиме расширенного сканирования не работает (просто самозакрывается), соот. лог сделать также невозможно.
Но логи через утилиту KAV сделать удалось. Также прилагаю логи hijackthis
2 машины - роутер и своя с win7, симптомы схожи, позже могу выложить ещё с пары серверов.
помогите плиз или ткните куда копать и чего делать. заранее премного благодарен
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 59
ещё раз почистил руками win7 машинку
удалось снять оба лога через AVZ
прилагаю
сейчас попробую тоже самое на серверах ещё раз
-
AVZ добил
Файл успешно помещен в карантин (C:\Windows\System32\teqvkwfw.dll)
C:\Windows\System32\teqvkwfw.dll >>>>> Net-Worm.Win32.Kido.ih успешно удален
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
thyrex
просканил ещё все машины, где явно был вирь kk.exe от Касперского - он нашёл и убил вирь. источник тож нашёлся - удалённая сеть, соединённая оптикой с основной. пока что разорвали, дали указание лечицца. сканы после этого kk.exe ничего не находят. на серверах и обычных машинах, где стоят заплатки до разрыва связи с удалённой сетью стабильно в system32 появлялись файлы с рандомными именами и тут же грохались антивирями, зараза с них дальше не шла.
тем не менее те самые скрытые процессы до сих пор есть на серверах и своей рабочей машине с win7
никто ничего не находит больше, кроме этих самых скрытых процессов.
что это может быть?
-
На серверах (особенно веб) и Vista+ скрытые процессы присутствуют по жизни.
-