Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Эпидемия червя Kido, Conficker, Downadup

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Открыть новую тему     Написать ответ в эту тему

HAngel



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Kido (также известный под именами Conficker, Downadup) - это компьютерный червь, использующий уязвимость операционных систем Microsoft Windows.

Быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам. Также он может распространяться через USB-накопители.
 
Краткое описание(взято с сайта касперского):
Подробнее...
 
Симптомы заражения:
- блокировка учетных записей в домене
- некоторые из служб операционной системы отключены (например, Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender and Error Reporting Services)
- контроллеры домена медленно отвечают на запросы клиентов
- черезмерная загруженность локальной сети
- недоступность сайтов windows update и сайтов антивирусного ПО
 
Зараженные компьютеры в локальной сети можно обнаружить при помощи: Подробнее...
 
Если у вас есть подозрение, что ваш копьютер заражен этим трояном и с этой машины есть доступ в интернет, то вы можете проверить заражен ли этот компьютер перейдя по ссылке http://www.confickerworkinggroup.org/infection_test/cfeyechart.html  (если компьютер заражен, то некоторые изображения не будут видны)
 
Удаление трояна: Подробнее...
 
Удаление вирусов: Общие положения...
 
Описание червя на Википедии
Постоянно обновляемый сборник инструкций для удаления и обнаружения конфикера www.dshield.org/conficker





порча ссылок в этом разделе запрещена. /emx/

Всего записей: 99 | Зарегистр. 16-10-2004 | Отправлено: 01:36 15-01-2009 | Исправлено: dmitri23, 10:13 23-10-2009
markers



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
HAngel
Сейф + ДрВеб = Хороший ИМХО выбор

Всего записей: 171 | Зарегистр. 15-11-2006 | Отправлено: 06:51 15-01-2009
IgorK76



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
БГ предупреждал об этом в MS08-067(http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx)...
Обязательно стоит установить обновление 958644!!!

Всего записей: 2 | Зарегистр. 28-04-2007 | Отправлено: 12:24 15-01-2009
ingvar1972



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
markers

Цитата:
Сейф + ДрВеб = Хороший ИМХО выбор

Скажи это свое "имхо" моим коллегам, которые вторую неделю пытаются выгрызть kido из сетки, "защищенной" дрвэбом, "невидевшего" эту заразу вплоть по 11-го января...
На сегодняшний день защита только такова (если система не заражена):
1. Обязательно поставить на все компы патч MS08-067 ( kb958644 ), а также все  
    последующие.
2. Заблокировать 445, 139 и 5555 порты.
3. Прибить ауторан как класс.
4. Заблокировать флэшки, сд/двд и флоппики - ввести строжайший карантин на  
    поступление информации из "внешнего мира". При наличии мало-мальски  
    подозрительных файлов с расширением vmx - прибивать!
5. Обновлять антивирус как можно чаще. Я обновляю свою систему на KAV 6.0.3.837  
    четыре раза в день.
6. Сменить пароли админовских учетных записей на длинные нестандартные
    цифро-буквенные сочетания - "зверь" пытается "ломать" простые пароли учетных  
    записей. Проверить политики безопастности и провести контроль доступов юзеров.
7. Держать руку на пульсе новостей об этой зверюге вне зависимости от того, какая  
    антивирусная контора "бережет" твою сетку.
 
Ну и "помолиться" иногда тоже не мешает...

Всего записей: 1165 | Зарегистр. 09-04-2006 | Отправлено: 22:09 16-01-2009
zporuchik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ingvar1972

Цитата:
5. Обновлять антивирус как можно чаще. Я обновляю свою систему на KAV 6.0.3.837  
    четыре раза в день.  

хоть 25 раз в день
у нас в сети есть машины с официально купленным Каспером и есть с нелегальным Нод32_2.7 - все машины с Каспером умерли, а Нодовцы не пострадали.

Всего записей: 2131 | Зарегистр. 17-03-2005 | Отправлено: 00:43 17-01-2009
MaximillianGreat

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
странно, антивирусы ставитите, а апдейты не ставите

Всего записей: 211 | Зарегистр. 05-03-2006 | Отправлено: 01:50 17-01-2009
Zenith1983



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
У кого есть практика борьбы с этим зверем, отзовитесь.

Вчера, у друга, выбили эту заразу из домена. Стоял аваст и нод, наверное так  бы и не знал что у него эпидемия, если бы не ежеминутная блокировка учетных записей.
Помогли патчи от МS и KiS_8.0.0.506 - это на раб сианциях.
На серверах Обновления, патчи 958644 и KiS_7.0.1.325-win2K
Блокировка учеток прекратилась, сетевых атак уже более 10 часов не наблюдается, антивурусы молчат.  
 
 

Всего записей: 297 | Зарегистр. 21-03-2008 | Отправлено: 15:04 17-01-2009
ingvar1972



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
у нас в сети есть машины с официально купленным Каспером и есть с нелегальным Нод32_2.7 - все машины с Каспером умерли, а Нодовцы не пострадали.

Тут нет зависимости легальная или нет. Да и к тому же нет большой разницы - кав или нод. Антивирус обрабатывает то, что забито в его базы или понимает его проактивка. Просто надо уметь его настраивать и тогда можно из антивируса выжать максимум, а в кривых руках и самый лучший "защитник" будет бесполезен. Частота обновлений баз антивируса в сетке есть один из параметров, который повышает уровень безопастности.
И в заключение. Я бы не хотел здесь начала очередной войны и "замера пиписек" - какой антивирус лучше, ибо примеров работы нода, аваста и доктора за последние две неделю у меня предостаточно. Лучше тот, который ты умеешь использовать и результаты этой защиты положительны. А вообще, господа админы и к таковым себя причисляющие, антивирус это только один из компонентов защиты системы, чему свидетельствует тот факт, что ему я уделил в своем списке (он далеко не полный ибо я не собираюсь читать лекции по защите информации) только один пункт.
 

Всего записей: 1165 | Зарегистр. 09-04-2006 | Отправлено: 10:47 18-01-2009
tankistua

Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Запрет на закачку файлов с расширениями
 
\.[Aa][Cc][Xx]$
\.[Cc][Aa][Bb]$
\.[Dd][Ll][Ll]$
\.[Ee][Xx][Ee]$
 
Вернул к жизни полностью мертвую сетку, которая могла жить только без интернета.
 
 
Антивируса на компах просто не было - антивирус уже ставили потом.
 
Добавлено:
ingvar1972

Цитата:
При наличии мало-мальски подозрительных файлов с расширением vmx - прибивать

а что это за файлы ?
 
Добавлено:

Цитата:
Также червь может скачивать файлы по ссылкам вида:
http://<URL>/search?q=<%rnd2%>
 
где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов:

 
не зря я держу свой нтп-ишник :)

Всего записей: 9557 | Зарегистр. 15-01-2002 | Отправлено: 11:10 18-01-2009
ingvar1972



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tankistua
 

Цитата:
Распространение при помощи сменных носителей
 
Червь копирует свой исполняемый файл на все съемные диски со следующим именем:
<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\<rnd>.vmx, где rnd – случайная последовательность строчных букв, X – буква съемного диска.  
 
Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
<X>:\autorun.inf
 
Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Источник : http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725

Всего записей: 1165 | Зарегистр. 09-04-2006 | Отправлено: 12:32 18-01-2009
tankistua

Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Читал, но проглядел в описании. Понял

Всего записей: 9557 | Зарегистр. 15-01-2002 | Отправлено: 14:45 18-01-2009
gbcfkf



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну вроде эпидемия пошла на спад.. за сегодня ни одной заблокированной учетной записи

Всего записей: 702 | Зарегистр. 17-10-2006 | Отправлено: 10:52 19-01-2009
sheisapryl



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Та же самая проблема, в сети 70 компов, 5 серверов, заражены все, время от времене на контролере домена загружает службу svchost, только после перезагрузки на некоторое время проходит, антивирус f-secure, типа лечит, но зловредные файлы опять появляются. Одним словом уже много про него читал, но не могу понять только одно после его удаления он опять лезет из нета или уже где то из локалки и если из локалки то со всех заражённых ящиков или есть какой то самый главный.

Всего записей: 355 | Зарегистр. 21-05-2008 | Отправлено: 11:31 20-01-2009
SimpleGod

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Помогли патчи от МS и KiS_8.0.0.506 - это на раб сианциях.
На серверах Обновления, патчи 958644 и KiS_7.0.1.325-win2K
 

 
А подробнее можно про патчи от МелкоСофтных? Речь идет о WindowsXP-KB958644-x86-RUS.exe или не только?

Всего записей: 27 | Зарегистр. 26-06-2006 | Отправлено: 11:55 20-01-2009 | Исправлено: SimpleGod, 11:56 20-01-2009
sheisapryl



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ставил я патч WindowsXP-KB958644-x86-RUS.exe на свеже отфарматированый комп, но после ввода в сеть (физический включил патч корд) через 20 минут ящик заражён)))

Всего записей: 355 | Зарегистр. 21-05-2008 | Отправлено: 12:07 20-01-2009
SimpleGod

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ставил я патч WindowsXP-KB958644-x86-RUS.exe на свеже отфарматированый комп, но после ввода в сеть (физический включил патч корд) через 20 минут ящик заражён)))

 
А антивирь?

Всего записей: 27 | Зарегистр. 26-06-2006 | Отправлено: 12:37 20-01-2009
sheisapryl



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По порядку: отформатировал ящик(полностью), поставил винду, проверил утилитой от каспера(klwk), поставил заплатку(WindowsXP-KB958644-x86-RUS.exe), поставил вебера(Dr.Web 5.0.0.12300), включил в сеть - всё чисто, проходит 20-30 минут веб ругаеться на C:\WINDOWS\system32\xpwho.dll или xpwho.hke, и уже не перестаёт где-то 2 дня. Ещё время от времени в назначеных заданиях появляеться задача AT1(может и AT2-3-4), которая запускает rundll32.exe xpwho.dll xzcxbui. В сети стоит ИСА, например если запустить эту задачу то по логах видно что то ломится
 
Failed Connection Attempt ROUTER02 20.01.2009 11:42:56  
Log type: Web Proxy (Forward)  
Status: 11004 The requested name is valid, but no data of the requested type was found.  
Rule: Radio_Ban  
Source: Internal (192.168.0.1)  
Destination: External (192.168.0.2:80)  
Request: OPTIONS http://rb1/  
Filter information: Req ID: 0304c924; Compression: client=No, server=No, compress rate=0% decompress rate=0%  
Protocol: http  
User: anonymous  
 Additional information  
Client agent: Microsoft-WebDAV-MiniRedir/5.1.2600
Object source: Internet (Source is the Internet. Object was added to the cache.)
Cache info: 0x4 (Request includes one of these headers: CACHE-CONTROL:NO-CACHE or PRAGMA:NO-CACHE.)
Processing time: 9000 ms
MIME type:  
 
 
 

Всего записей: 355 | Зарегистр. 21-05-2008 | Отправлено: 12:50 20-01-2009
baskia

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Противный вирь оказался. Заплатка от мелкосвта + антивирь (пробовал нод, авира, макафи), убивают засланца. только необходимо проверить веточку реестра hklm\system\currentcontrolset\services на наличие како-нить раздела с рандомным именем, в нём как правило есть путь к фалеку с вирусом. Кстате не всегда этот раздел есть, а антивирь ругается. Все манимупаляции проводились в безопасном режиме и отключением от сети.  
Восстановлена работа примерно 90 % компов. С отсальными номер не прошёл.
P.S. Cureit не помогает.

Всего записей: 11 | Зарегистр. 23-01-2008 | Отправлено: 14:04 20-01-2009
sheisapryl



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Одним словом универсального решения нет(((

Всего записей: 355 | Зарегистр. 21-05-2008 | Отправлено: 16:06 20-01-2009
baskia

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот, может кому поможет.
_http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml_
описано чего куда как и зачем

Всего записей: 11 | Зарегистр. 23-01-2008 | Отправлено: 17:51 20-01-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Эпидемия червя Kido, Conficker, Downadup

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru