Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Эпидемия червя Kido, Conficker, Downadup

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Открыть новую тему     Написать ответ в эту тему

HAngel



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Kido (также известный под именами Conficker, Downadup) - это компьютерный червь, использующий уязвимость операционных систем Microsoft Windows.

Быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам. Также он может распространяться через USB-накопители.
 
Краткое описание(взято с сайта касперского):
Подробнее...
 
Симптомы заражения:
- блокировка учетных записей в домене
- некоторые из служб операционной системы отключены (например, Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender and Error Reporting Services)
- контроллеры домена медленно отвечают на запросы клиентов
- черезмерная загруженность локальной сети
- недоступность сайтов windows update и сайтов антивирусного ПО
 
Зараженные компьютеры в локальной сети можно обнаружить при помощи: Подробнее...
 
Если у вас есть подозрение, что ваш копьютер заражен этим трояном и с этой машины есть доступ в интернет, то вы можете проверить заражен ли этот компьютер перейдя по ссылке http://www.confickerworkinggroup.org/infection_test/cfeyechart.html  (если компьютер заражен, то некоторые изображения не будут видны)
 
Удаление трояна: Подробнее...
 
Удаление вирусов: Общие положения...
 
Описание червя на Википедии
Постоянно обновляемый сборник инструкций для удаления и обнаружения конфикера www.dshield.org/conficker




порча ссылок в этом разделе запрещена. /emx/
Всего записей: 99 | Зарегистр. 16-10-2004 | Отправлено: 01:36 15-01-2009 | Исправлено: dmitri23, 10:13 23-10-2009
gbi1

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Точно кидо только он тут гуляет и спам рассылает, создает такую очередь сообщений что сервак уходит в мир иной, не могу отследить как он это делает. сообщение просто появляется из не откуда в очереди.
вот лог mail.
 
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowpoke5@ipa.net>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowraising@surfree.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cows34@hotmail.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cows4@bellatlantic.net>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cows4uus@juno.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowsgomoo094@hotmail.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowsillfan@aol.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowsillfan@gmail.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowsillmarathons-unsubscribe@yahoogroups.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowsrus@cam-walnet.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowthief@juno.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cowwhip@hotmail.it>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
[23/Apr/2009 17:16:36] Sent: Queue-ID: 49f04d28-00000019, Recipient: <cox.339@osu.edu>, Result: failed, Status: 5.3.0 Message was manually deleted from the queue
Всего записей: 5 | Зарегистр. 16-11-2006 | Отправлено: 15:40 23-04-2009 | Исправлено: gbi1, 15:44 23-04-2009
pasha



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
http://data2.kaspersky.com:8080/special/KK_v3.4.6.zip

----------
The only way to get smarter is by playing a smarter оpponent.. ©
Всего записей: 1207 | Зарегистр. 27-10-2002 | Отправлено: 21:41 23-04-2009
Nik_O

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем добрый день.  
Хочу поделиться как мы воевали с КИДО.
1. отключаем сетевой кабель от компа.
2. меняем пароли на устойчивые к подбору, то бишь буквы в верхнем и нижнем регистре + цифры + знаки различные. Особенно касается смена паролей админских записей.
3. устанавливаем заплатки от MS KB958687, KB958644, KB957097.
4. используем утилиту от Касперского, KidoKiller.exe, она бесплатна и найти её можно на оф. сайте, которая сканирует систему на предмет наличия живого или мёртвого вируса, с последующим его уничтожением.
5. используя специальный РЕГ. файлик, отключаем автозапуск с CD и Flash носителе. Вот его содержимое для Win XP:
 
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
 
6. Устанавливаем антивирусную программу. У нас использовался НОД32 которому после установки скармливали свежие, локальные антивирусные базы.  
 
После этого перегружаемся и подключаемся к сети.
 
P.S. Мы ипользовали локальные антивирусные базы, так как пока не будет обновлён антивирус до актуального состояния, толку от него будет мало. Вот. Для НОДа такие бызы можно сделать с помощью программы n32upgen.exe, на компьютере где антивирус обновлён, а для Касперского базы можно скачать с их сайта. Другие антивирусы не рассматривались, ввиду своей несостоятельности справиться с КИДО.
Всего записей: 1 | Зарегистр. 09-04-2009 | Отправлено: 14:40 24-04-2009 | Исправлено: Nik_O, 14:41 24-04-2009
vovanj7



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
а как насчет w2000 , подвергаются уязвимости или нет ?

----------
Ваши руки ввели идиотскую команду и будут ампутированы.
Всего записей: 3378 | Зарегистр. 07-09-2006 | Отправлено: 15:12 24-04-2009
EngineerYuri

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vovanj7
Да, подвергаются. Причем даже с SP3.
 
Product: Антивирус Касперского 6.0 для Windows Servers
версия 6.0.3.830  
Operation system: Microsoft Windows 2000 Standart Server Service Pack 4 (build 2195)
Computer: *****
Domain: ***
 
Notifications:
    Критическое событие:25.03.2009 11:53:35    Файл c:\winnt\system32\uspphezr.dll, обнаружено: вирус 'Net-Worm.Win32.Kido.ih'.
Всего записей: 134 | Зарегистр. 11-12-2006 | Отправлено: 15:37 24-04-2009
vovanj7



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ага, пасиб

----------
Ваши руки ввели идиотскую команду и будут ампутированы.
Всего записей: 3378 | Зарегистр. 07-09-2006 | Отправлено: 16:00 24-04-2009
emfs

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У KK есть ключи. Используйте их и не понадобятся лишние действия с реестром, по крайней мере их будет меньше.
 
А у нас в организации он смог проникнуть только на 2000. На XP не пролез даже без известных патчей. Да и на 2000 не на все смог. Почему, не ясно.
Всего записей: 900 | Зарегистр. 09-07-2007 | Отправлено: 17:00 24-04-2009
konungster



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gbi1
похоже, конфикер тебе подсунул "Waledac spambot" , который и рассылает спам. просканируй этим или этим
Всего записей: 964 | Зарегистр. 31-10-2005 | Отправлено: 19:50 24-04-2009
slavache54

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Это что? https://dl.getdropbox.com/u/930700/sshot-2.png
Антивирус рабочий обновляется каждый день.Проверено KidoKiller 3.4.6 Все ОК
Всего записей: 43 | Зарегистр. 12-12-2006 | Отправлено: 22:02 25-04-2009
gbi1

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
konungster
 
Самое интересное что на выходные активности нет как только рабочий день все включают компы и рассылка пойдет, только хз с какого компа он это делает.  
 
Добавлено:
Ещё лично на моем компе, установлены все заплатки, ну весь набор,  всем чем можно проверял, отключает диспетчер очереди печати. как.
Всего записей: 5 | Зарегистр. 16-11-2006 | Отправлено: 06:20 27-04-2009
VEnZ0ja



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gbi1
напиши что у тебя за сервера (почтовый какой)? ISA есть?  
надо попробовать снифер сети например (Microsoft Network Monitor)  , и глянуть сетевую активность портов (110,25) , и выяснить откуда лезет зараза.
Всего записей: 166 | Зарегистр. 17-05-2006 | Отправлено: 08:54 27-04-2009
Funtik_Vintik

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть одна сетка - тот еще рассадник нечисти (занятся ею пока некому). К инету не подключена никак.
В сетке есть Server 2003. В Феврале на нем стали появляться rundll.
Поставил 3 заплатки 958644, 957097 и еще какую-то. Обновил Spider. Все прекратилось. Левые rundll перестали появляться. И всё забылось...
 
На прошлой неделе на сервер было не залезть
Обнаружил истекший ключ спайдера. Обновил ключ, запустил KidoKiller - он нашел потоков 5 заразы и файл.dll.
Поставил SP2, заплатки 942288, 958690, 959426, 961063, перегрузил вроде ОК. На след. день KidoKiller нашел 2 потока и файл.dll
Сегодня после выходных KidoKiller нашел 132 Job, а Spider убил за это время 135 файлов.
 
На сервер доступ только по RDP,SQL,SharedFolders. Из расшареных папок на сервере ничего не пускается, да и FileExecute из них запрещен.
 
Не могу понять почему на Этом сервере Заплатки Не Действуют ?
 
(PS. LiveCD - будте только как крайняя мера.)
Всего записей: 163 | Зарегистр. 18-07-2007 | Отправлено: 09:52 27-04-2009 | Исправлено: Funtik_Vintik, 10:03 27-04-2009
VEnZ0ja



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Funtik_Vintik
пароли смени учеток всех, в безопасном сканировал? попробуй еще проверить с windows-kb890830-v2.9
,по началу быструю проверку,а потом полностью
ну и сеть проверь вот батник
 
@echo off
\\comp1\Pc\psexec.exe @\\comp1\Pc\comp.txt -u домен\учетка -p пароль -c -d -s -n 10  \\comp1\Pc\MRT\windows-kb890830-v2.9.exe /q copy
где  
comp.txt это список имен либо ip обычный в столбик.
Всего записей: 166 | Зарегистр. 17-05-2006 | Отправлено: 10:02 27-04-2009
Funtik_Vintik

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VEnZ0ja
890830 качну, проверю.
В сети домена нет. А на клиентских компах kido точно есть. А при таких юзерах лечить - время тратить.

Цитата:
пароли смени учеток всех

то что Kido подбирает из списка слышал, но он ведь их не взламывает вроде ? А там всего 2 админских учетки. Хм...должно быть.... надо бы проверить....
Всего записей: 163 | Зарегистр. 18-07-2007 | Отправлено: 10:21 27-04-2009
VEnZ0ja



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вот интересная статейка в PDF ОТ Symantec
http://www.anti-malware.ru/files/Downadup(aka_Conficker).pdf
3/5 мегабайта  
так же видео о Kido ) и не только)  
http://www.cbsnews.com/video/watch/?id=4908267n
Всего записей: 166 | Зарегистр. 17-05-2006 | Отправлено: 10:51 27-04-2009
StasKarabas



Newbie		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Сегодня после выходных KidoKiller нашел 132 Job, а Spider убил за это время 135 файлов.

 
Может стоит поменять антивирь на серваке?
 
 
Добавлено:

Цитата:
Сегодня после выходных KidoKiller нашел 132 Job, а Spider убил за это время 135 файлов.

 
Может стоит поменять антивирь на серваке?
Всего записей: 12 | Зарегистр. 07-04-2009 | Отправлено: 08:52 28-04-2009
pasha



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
StasKarabas

Цитата:
Может стоит поменять антивирь на серваке?

А может просто настроить... Например, НОД с настройками поумолчанию только радостно орет и ничего не делает...

----------
The only way to get smarter is by playing a smarter оpponent.. ©
Всего записей: 1207 | Зарегистр. 27-10-2002 | Отправлено: 20:00 28-04-2009
scrol3

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хочу поделится. Повелся на новость: "BitDefender представил утилиту для обезвреживания вируса Conficker", попался комп с симптомами Kido-Conficker, вышеупомянутая утиль отработав сообщила об отсутствии заражения, после неё прошелся kidokiller-ом от каспера - результат: несколько зараженных процессов в памяти и еще много чего-начались открываться сайты ранее не открывавшиеся но не все. После установки обновления от MS вытер из hosts еще с десяток привязок yandex-a, в контакте и т.п. к левому айпишнику.  
На машине накануне была переустановлена операционка - поставили "Зверя" судя по надписям с  SP3. NOD ESET 3й поставили ч-з час после установки ОС. Так что выходит и SP3 заражается, хотя при установке обновления должно же было сказать что не надо его? Вот такие наблюдения.
Всего записей: 29 | Зарегистр. 19-04-2008 | Отправлено: 02:05 29-04-2009
userrus

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю вариант укрепления защиты от Кидо.
Глобальные политики (локальные политики) – конфигурация компьютера – конфигурация виндовс – параметры безопасности – локальные политики – назначения прав пользователя –
1.Отказывать во входе в качестве пакетного задания – добавить идентификатор Сеть(S-1-5-2)
2.Отказывать во входе в качестве службы - добавить идентификатор Сеть(S-1-5-2)
(все пользователи входящие через сетевое подключение включая администраторов не смогут добавить и запустить задание в шедулер и службы, в интерактивном режиме – консоль и терминальный вход можно.)
3. Глобальные политики (локальные политики)– конфигурация компьютера – конфигурация виндовс – параметры безопасности – файловая система –  
%SystemRoot% и %SystemRoot%\sysytem32 (так как не наследуются права) –
Добавить права доступа NTFS идентификаторы  
Сеть(S-1-5-2) разрешения все снять, запрет на запись.  
Пакетные файлы(S-1-5-3)(Группа, в которую входят все пользователи, вошедшие в систему с использованием средства пакетной очереди. Пример планировщик задач.) разрешения все снять, запрет на запись.  
 
(невозможность записи по сети и запущенными в планировщике задачами в системной папки, в интерактивном режиме – консоль и терминальный вход можно.)
4. Глобальные политики (локальные политики)– конфигурация компьютера – конфигурация виндовс – параметры безопасности – реестр –
MACHINE\SYSTEM\CurrentControlSet\Services – добавить идентификатор Сеть(S-1-5-2) разрешение пусто, запрет всех изменений в реестре.
Ваше мнение, какие могут быть негативные последствия?
Всего записей: 88 | Зарегистр. 27-09-2005 | Отправлено: 12:24 29-04-2009
VEnZ0ja



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
userrus
Остановите распространение вируса-червя Conficker с помощью групповой политики  
http://support.microsoft.com/kb/962007/ru
 
 
Добавлено:
userrus
Остановите распространение вируса-червя Conficker с помощью групповой политики  
 
http://support.microsoft.com/kb/962007/ru
Всего записей: 166 | Зарегистр. 17-05-2006 | Отправлено: 13:55 29-04-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Эпидемия червя Kido, Conficker, Downadup


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru