Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Эпидемия червя Kido, Conficker, Downadup

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Открыть новую тему     Написать ответ в эту тему

HAngel



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Kido (также известный под именами Conficker, Downadup) - это компьютерный червь, использующий уязвимость операционных систем Microsoft Windows.

Быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам. Также он может распространяться через USB-накопители.
 
Краткое описание(взято с сайта касперского):
Подробнее...
 
Симптомы заражения:
- блокировка учетных записей в домене
- некоторые из служб операционной системы отключены (например, Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender and Error Reporting Services)
- контроллеры домена медленно отвечают на запросы клиентов
- черезмерная загруженность локальной сети
- недоступность сайтов windows update и сайтов антивирусного ПО
 
Зараженные компьютеры в локальной сети можно обнаружить при помощи: Подробнее...
 
Если у вас есть подозрение, что ваш копьютер заражен этим трояном и с этой машины есть доступ в интернет, то вы можете проверить заражен ли этот компьютер перейдя по ссылке http://www.confickerworkinggroup.org/infection_test/cfeyechart.html  (если компьютер заражен, то некоторые изображения не будут видны)
 
Удаление трояна: Подробнее...
 
Удаление вирусов: Общие положения...
 
Описание червя на Википедии
Постоянно обновляемый сборник инструкций для удаления и обнаружения конфикера www.dshield.org/conficker





порча ссылок в этом разделе запрещена. /emx/

Всего записей: 99 | Зарегистр. 16-10-2004 | Отправлено: 01:36 15-01-2009 | Исправлено: dmitri23, 10:13 23-10-2009
Michaael

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gbcfkf
В psexec есть параметр -d (не ждать завершения задачи)
и будет счастье...
А так пока решение такое
 
psexec \\* -c -d Название обновления(их 3 штуки ms09-0001, ms08-067, ms08-65) -/passive
Обновления для всех опер систем... (если система не подходит, обновление не установится, поэтому его можно кидать на все компы в сети... само разберется устанавливаться ему или нет)
 
затем psexec \\* -c -d kidokiller.exe -f -n -r -y
 
затем или паралельно проги от www.securitylab.ru (их там немерянно) по поиску уязвимостей...
 
Ну и обновление всех антивирусов до последноего... можно средствами psexec развернуть если проблемы с инетом на компах... ну и на последок собственное творчество(а это на свой вкус)

Всего записей: 137 | Зарегистр. 27-11-2007 | Отправлено: 09:47 26-02-2009
VovaII

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А в домене, групповыми политиками, это как?
Хоть один пример как это делать? Например как отключить планировщик заданий у всех или автозапуск с флешек?

Всего записей: 286 | Зарегистр. 20-09-2006 | Отправлено: 10:08 26-02-2009
Adek



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000000
"NoWelcomeScreen"=dword:00000001
 
Добавлено:
в политике Security Settings ---> System Services найди службу и выключи.....

Всего записей: 81 | Зарегистр. 28-08-2008 | Отправлено: 10:28 26-02-2009
VovaII

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Adek
Т.е. универсального способа таки нету. Каждый случай по своему бороть.
Спасибо!  
Пошел "Security Settings ---> System Services" искать.
 
 
Запускал у пользователя KidoKiller_v3.3.zip.
Он написал, что восстановил и запустил сервисы: BITS и wuauserv. Названия какие то подозрительные??

Всего записей: 286 | Зарегистр. 20-09-2006 | Отправлено: 12:59 26-02-2009 | Исправлено: VovaII, 13:01 26-02-2009
nakonectozaregilsya

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BITS  - это передача данных между клиентом и сервером, а вторая автоматическое обновление. Ничего странного. С точки зрения виря как раз то, что надо "загасить"

Всего записей: 135 | Зарегистр. 07-09-2006 | Отправлено: 13:54 26-02-2009
VovaII

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Adek

Цитата:
в политике Security Settings ---> System Services найди службу и выключи.....

А это где искать? в Пуск->Прораммы->Администрирование? А то у меня винда русская.
 
nakonectozaregilsya
Ага. Понял.
Только на серваке, сколько раз запускаю кидокиллера, каждый раз пишет что их опять восстановил и запустил...

Всего записей: 286 | Зарегистр. 20-09-2006 | Отправлено: 14:16 26-02-2009
Jimmy81

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VovaII
Это он их просто рестартит. Это нормально.
 
Добавлено:
VovaII

Цитата:
Только на серваке, сколько раз запускаю кидокиллера, каждый раз пишет что их опять восстановил и запустил...  

Это он их просте рестартит. Это нормально.

Всего записей: 43 | Зарегистр. 30-01-2003 | Отправлено: 16:25 26-02-2009
Texnar_POLITEX

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Можно ли централизованно (удаленно), через групповые политики или через касперски админ кит, запустить windows-kb890830-v2.7.exe??...
 
Если не трудно, ткните носом куда смотреть..

Всего записей: 89 | Зарегистр. 18-04-2007 | Отправлено: 12:25 27-02-2009
Michaael

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Texnar_POLITEX
запусти через psexec  писал уже.... чуть повыше посмотри

Всего записей: 137 | Зарегистр. 27-11-2007 | Отправлено: 15:50 27-02-2009
Kainsk



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Заплатка - это отрезка пути заражения.  
А вот если он заразил... то нужно поставить последние обновления и последний антивирь...  
Кстати у меня такое подозрение, что все-таки это микросовтовский вирус, направленный на уничтожение сетей с пиратскими компами... на тех компах где стоят последние обновы и FF в моем случае... заражения небыло... А вот где антивирь не обновлялся и сам комп тоже не обновлялся.  
Все равно гад лезет...

 
У меня лиценз на большинстве жизненно важных машинах - сервера и корпоративный ключ на касперского на WWS 5 и 6 версий. Стоит WSUS - обновления все тягаются. один черт Net-Worm.Win32.Kido.ih уложил весь домен. Сначала основной контроллер, потом вторичный, потом SQL сервер, ну а на закуску мою тачку. Причом на мою тачку даже у меня доступа из сети нету, ваапще никакого доступа - только локально. тоесть все было закрыто, как казалось... Будем бороться с ним всеми средствами - у меня около 150 тачек и я всего однин

Всего записей: 6 | Зарегистр. 27-01-2009 | Отправлено: 20:49 28-02-2009 | Исправлено: Kainsk, 20:50 28-02-2009
pasha



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KidoKiller подрос до v3.3.2
http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.3.2.zip

Всего записей: 1207 | Зарегистр. 27-10-2002 | Отправлено: 22:20 01-03-2009
Texnar_POLITEX

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sumchanin_Yuri
 

Цитата:
Отлично, а как пример привести

 
http://support.microsoft.com/kb/962007/ru
 
а рег файл тут выкладывали раньше... ingvar кажется

Всего записей: 89 | Зарегистр. 18-04-2007 | Отправлено: 06:01 02-03-2009
t0984

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1. Домен, на сервере максимальные права безопасности, ActiveX по максимому урезан, и только по запросу.
2. Права у всех только пользовательские, все станции включены в домен.
3. Локальные учетки выключены, включая "гость", штатный "администратор" выключен, создан другой со сложным паролем.
4. Отключено генерирование  хэш паролей.
5. Вырублены локальные шары, кроме разумеется серверных.
6. Ограничен анонимный сетевой доступ.
7. Автоматическое обновление всех виндовых станций через WSUS.
8. Антивирус - все регулярно обновляемое, централизовано устанавливаемое и управляемое, через него же на компьютерах настроен файервол, антишпион, антиспам.
9. Запрет на закачку исполняемых файлов в прокси, фильтры на порно, warez, соцсети и пр.
10. По возможности ограничено использование NAT.
11. Отключены CD, DVD, флопи - дисководы (отключено в Setup'е и на нем пароль),  
12. Запрет на флэшки.  
13. Запрет автозагрузки.
14. Компьютеры - опломбированы.
15. И еще кое что по мелочи.
 
Итог: админ спит спокойно - тьфу 3 раза, ходит смотреть на последствия вирусных эпидемий в соседние конторы.

Всего записей: 32 | Зарегистр. 06-04-2006 | Отправлено: 09:24 02-03-2009
Michaael

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kainsk
Будет на будущее уроком - пароль ставить на локального админа не 123... (самая большая ошибка при установки винды )...  
Скажу как в твоем случае это произошло...
Он ломанул пароль на какой нить манине локально...
Нашел учетку с правами админа для домена....
под этой учеткой положил домен.. и распространился...ну то что ты можешь с этой учеткой сам сделать то он и сделал... На будущее шефу никогда не давать админские права в домен.. локального да.. но не доменного..
Вирусы пишут профи...
А машина, твоя... использует RPC ? .... в основном брендмауэр винды оставляет это все открытым... как и советовали ранее.. нужно срочно закрыть 445 и 135 порты.... Но это в том случае... если он взломал таки учетку.... Если не взломал... то закрыв эти самые порты.. ты не запустишь вещи типа psexec....
 
В моей сетке  тоже иногда появляется ... вирус.. но скорее всего - это с флешек с домашних компов... Так как я тут недавно пришел к людям и ради прикола запустил KidoKiller.. на домашней машине... Так вот он тама сидел, хотя стоит KIS2009 с последним набором обновлений... И загрыз скотина мою флешку...  
 
 
 
Добавлено:
t0984
Взглянув на кризис.... А не пошел бы нафиг админ??? Легче нанять студента.. пусть сидит за 3000рублей... А не профи... за 100000.... Если все пашет.. то зачем он нужен...
А вот пункты самые правильные...
только я бы не ограничивал флешки, а поставил бы контроль за их использованием...
Типа Девлока...
И добавил один пункт.. Все лицензия... Если что, не форум рвать..и самому изобретать велосипед, а мозги компосировать разрабам....
И будет счастье......
 
Добавлено:
Кстати нашел на Микрософте, что MRT  тоже борется с КИДО....
Так что можно запустить и его на всех машинах....

Всего записей: 137 | Зарегистр. 27-11-2007 | Отправлено: 09:31 02-03-2009
sumchanin_Yuri



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Texnar_POLITEX
То что ты привел, это просто описание вируса и как с ним бороться , а вот тут "Развертывание средства удаления вредоносных программ для Microsoft Windows в среде организации" здесь как раз то как с ним бороться в масштабах организации.  
А я спрашивал о конктретных примерах и опыте работе с вирусом , ведь не все пользуються Касперским, что на нем свет клином сошелся, при всем моем к нему уважении (к антивирусному пакету как таковому) ?  
А как Симантек, Макафи и другие антивирусы у них же то же есть какие-то методы излечения вируса повсеместно (в масштабах организации). -;
 
Michaael
Ну вот пошли местные "разборки" с t0984, он вообще-то дело говорит, только вот вопрос как тогда происходит обмен внутри сети, особенно если объемы информации очень большие,. Кроме того - чем это все реализовано, кроме разумется понятных вещей (опломбирования и т.п.)? Хороше если студент будет толковый и все сделает как надо и как должно быть, а если нет ?
 
t0984
Наверное посчасливилось работать в организациях, где он лично закладывает все основы информационной безопасности, и руководство любезно ему это разрешает, а как быть если нет?
 
 
 

Всего записей: 1162 | Зарегистр. 02-01-2002 | Отправлено: 10:29 02-03-2009 | Исправлено: sumchanin_Yuri, 10:31 02-03-2009
Michaael

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sumchanin_Yuri
Да нет... это сарказм..... на счет t0984
 
А конкретно метод борьбы есть и у микрософта....
Я описал как я его зарубил в пердыдущих постах...  
у меня стоит ForeFront.. на касперском мир не сошелся....

Всего записей: 137 | Зарегистр. 27-11-2007 | Отправлено: 11:34 02-03-2009
t0984

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Michaael
 
>t0984  
>Взглянув на кризис.... А не пошел бы нафиг админ??? Легче нанять студента.. пусть >сидит за 3000рублей... А не профи... за 100000.... Если все пашет.. то зачем он нужен...  
а кто по твоему это все настраивал? Студент у него есть - типа чтоб в отпуск смог сходить спокойно. Уровень все равно не тот - на машинах без тотала и партишнмэджик
просто в панику бросается, не говоря про батники и скрипты.
Да и получает сей админ конечно же не 100000(чай не Москва), а меньше из-за кризиса ему платить не будем - с руками оторвут, наученные общением со студентами. Пусть лучше новое осваивает и внедряет.
 
> вот пункты самые правильные...  
Выстраданный опыт! - Принимаются дополнения и изменения.
 
>только я бы не ограничивал флешки, а поставил бы контроль за их использованием...  
>Типа Девлока...  
Логично! Пока ждем новой корпоративной версии где это заявлено.
 
>И добавил один пункт.. Все лицензия... Если что, не форум рвать..и самому изобретать >велосипед, а мозги компосировать разрабам....  
Это однозначно. Был случай с новейшим вирусом на virustotal никто не ловил - послали, по договору время реакции на неизвестные вирусы 72 часа - справились за 8.(терпимо)
>И будет счастье......  
Абсолютно согласен. А что есть счастье? Это состояние спокойствия и удовлетворенности от проделанной работы.
 
>Кстати нашел на Микрософте, что MRT  тоже борется с КИДО....  
>Так что можно запустить и его на всех машинах....
Используем иногда, как и CureIt.
Кстати о ForeFront - какова цена вопроса?

Всего записей: 32 | Зарегистр. 06-04-2006 | Отправлено: 13:11 02-03-2009
Mushroomer



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос  только по обновлениям безопасности в операционных системах: достаточно поставить обновление 958644, чтобы предотвратить распространение Kido? Или нужны еще какие-то обновления? То, что желательно ставить обновления безопасности я в курсе.

Всего записей: 22839 | Зарегистр. 19-01-2002 | Отправлено: 14:12 02-03-2009
Michaael

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
t0984

Цитата:
стати о ForeFront - какова цена вопроса?  

http://www.dials.ru/main.phtml?/shop/price
но гдето по 500р за рабочее место в год.. плюс сервер...  
это так для справки.... Мне понравился FF единственное не можем подрубить его к Exchange .... что то глючит собака....
 
 
 
Добавлено:
t0984

Цитата:
>только я бы не ограничивал флешки, а поставил бы контроль за их использованием...  
>Типа Девлока...  
Логично! Пока ждем новой корпоративной версии где это заявлено.

Да заявленно.. Работает оно.... devicelock  

Всего записей: 137 | Зарегистр. 27-11-2007 | Отправлено: 15:59 02-03-2009
ingvar1972



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mushroomer

Цитата:
Вопрос  только по обновлениям безопасности в операционных системах: достаточно поставить обновление 958644, чтобы предотвратить распространение Kido? Или нужны еще какие-то обновления? То, что желательно ставить обновления безопасности я в курсе.

Кроме KB958644 я, по-минимуму, ставлю еще :
1. KB957097 - "...позволяющая удаленному злоумышленнику, прошедшему проверку подлинности, нарушить защиту компьютера с системой Microsoft Windows и получить возможность управления им"
2. KB958687 - ".. позволяющая удаленному злоумышленнику, который не прошел проверку подлинности, поставить под угрозу безопасность компьютера и получить возможность управления им"
3. KB967715 - "...чтобы устранить ошибку, при которой функции автозапуска не отключаются должным образом"
 
ЗЫ. Этот список для систем, где установлен XP SP3. Если его нет, добавляются KB885250, KB921883.  
Для серверов, которые у меня все с SP2, минимально необходимо KB958644, KB957097 и KB958687.
Вообще-то KB958644, KB957097 и KB958687 закрывают последовательно одну и ту же уязвимость.

Всего записей: 1253 | Зарегистр. 09-04-2006 | Отправлено: 16:42 02-03-2009 | Исправлено: ingvar1972, 16:57 02-03-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Эпидемия червя Kido, Conficker, Downadup


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru