Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Эпидемия червя Kido, Conficker, Downadup

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Открыть новую тему     Написать ответ в эту тему

HAngel



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Kido (также известный под именами Conficker, Downadup) - это компьютерный червь, использующий уязвимость операционных систем Microsoft Windows.

Быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам. Также он может распространяться через USB-накопители.
 
Краткое описание(взято с сайта касперского):
Подробнее...
 
Симптомы заражения:
- блокировка учетных записей в домене
- некоторые из служб операционной системы отключены (например, Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender and Error Reporting Services)
- контроллеры домена медленно отвечают на запросы клиентов
- черезмерная загруженность локальной сети
- недоступность сайтов windows update и сайтов антивирусного ПО
 
Зараженные компьютеры в локальной сети можно обнаружить при помощи: Подробнее...
 
Если у вас есть подозрение, что ваш копьютер заражен этим трояном и с этой машины есть доступ в интернет, то вы можете проверить заражен ли этот компьютер перейдя по ссылке http://www.confickerworkinggroup.org/infection_test/cfeyechart.html  (если компьютер заражен, то некоторые изображения не будут видны)
 
Удаление трояна: Подробнее...
 
Удаление вирусов: Общие положения...
 
Описание червя на Википедии
Постоянно обновляемый сборник инструкций для удаления и обнаружения конфикера www.dshield.org/conficker





порча ссылок в этом разделе запрещена. /emx/

Всего записей: 99 | Зарегистр. 16-10-2004 | Отправлено: 01:36 15-01-2009 | Исправлено: dmitri23, 10:13 23-10-2009
bahtey



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mushroomer
сверху 958687

Всего записей: 794 | Зарегистр. 14-12-2006 | Отправлено: 16:43 02-03-2009
CEMEH



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сегодня симантик "обрадовал" -  W32.Downadup.B

Всего записей: 237 | Зарегистр. 17-09-2006 | Отправлено: 23:28 02-03-2009
Michaael

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Много сотрудников несут его с домашних компов... Будет много работы скоро для сервис инженеров

Всего записей: 137 | Зарегистр. 27-11-2007 | Отправлено: 10:37 03-03-2009
Mushroomer



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что является (откуда идет заражение) источником заражения вируса? Флешка? Или есть возможность подцепить его из интернета?

Всего записей: 22839 | Зарегистр. 19-01-2002 | Отправлено: 15:21 03-03-2009
Michaael

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mushroomer
В основном флешка... пока сужу о моем случае....

Всего записей: 137 | Зарегистр. 27-11-2007 | Отправлено: 15:25 03-03-2009
TokImota



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
сталкивался с ним несколько раз , везде источником служили флешки ...

Всего записей: 721 | Зарегистр. 21-08-2007 | Отправлено: 15:54 03-03-2009
ingvar1972



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mushroomer

Цитата:
Что является (откуда идет заражение) источником заражения вируса? Флешка? Или есть возможность подцепить его из интернета?

 
Способы распространения kido:
1. autorun.inf + файл  .\RECYCLER\...\*.vmx на сменном носителе
2. Зараженные файлы jpeg, png, gif, bmp.
3. Вытекающий из п.2 способ - вэб-страницы, содержащие зараженные файлы  
    изображений.
4. Зараженные вложения в э-мэйл.
5. Распространение в локальной сети, используя уязвимость MS08-067
6. Распространение в сети, используя "HTTP сервер на случайном TCP порту, который
    затем используется для загрузки исполняемого файла червя на другие компьютеры".
 
Это то, что знаю я. Может кто-либо что-то добавить ?
 

Всего записей: 1253 | Зарегистр. 09-04-2006 | Отправлено: 15:57 03-03-2009
sumchanin_Yuri



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ingvar1972
Вроде как исчерпывающий список, правда  все-таки зловред приходит из Инета, а потом уже все остальное...

Всего записей: 1162 | Зарегистр. 02-01-2002 | Отправлено: 16:49 03-03-2009 | Исправлено: sumchanin_Yuri, 17:03 03-03-2009
mash99

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Говорилось не раз, но хочется повторить ещё раз. В больших сетях выключайте службу "Определение оборудования оболочки". Именно с неё, зачастую, и начинается заражение такими вирусами. Если служба не выполняется, вирусная флешка компьютеру побоку - открывается нормально, а комп не заражает, если не запустить с неё вирус вручную.
 
Отключение этой службы защищает компы не от одного конкретного вируса, а от целого класса порой достаточно тупых, опасных и не распознающихся даже сильными антивирусами.  На "подшефных" ХРях делаю так всегда и о флеш-вирусах не беспокоюсь. Только вот пользователи упорно ждут появления окошка... ну что ж, пусть учатся проводник запускать, чем вирусы разносить направо и налево.
 
Кстати, вот небольшая программка, "иммунизирующая" флешки от заражения путём создания скрытой папки autorun.inf. Работает почти незаметно и не требует ручного вмешательства что для чистой, что для заражённой флешки:
Ninja Pendisk
http://nunobrito.eu/download.php?list.4

Всего записей: 5 | Зарегистр. 23-01-2006 | Отправлено: 20:58 03-03-2009
FreemanRU



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
mash99

Цитата:
а комп не заражает

Да ну? Интересно, а как пользу открывают такую флешку
Не уж то у тебя везде стоит ТотСом/Фар?

----------
Если не получается с первого раза - прочти инструкцию. (с)
"Откуда нам знать, что такое война, если мы не знаем мира..."(с)
Записки

Всего записей: 3794 | Зарегистр. 16-07-2004 | Отправлено: 21:19 03-03-2009
ingvar1972



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sumchanin_Yuri

Цитата:
Вроде как исчерпывающий список, правда  все-таки зловред приходит из Инета, а потом уже все остальное..

Анализируя данные о зараженных сетках, я постепенно прихожу к выводу, что наибольшую опасность kido имеет для систем, имеющих выход в инет, как через программный прокси, так и через аппаратный фаер. По всей видимости, зверь, функционал и способность к "мутациям", по моему мнению, до конца еще не выяснены, способен себя "прятать" в системе и активировать свои способности по команде "хозяина" через инет, в том числе являясь "спусковым крючком" для остальных зловредов. Поэтому отсутствие прямого контакта с инетом есть высокий залог безопастности самой системы!

Всего записей: 1253 | Зарегистр. 09-04-2006 | Отправлено: 21:23 03-03-2009
pasha



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Обратил внимание - на некоторых компах в исключениях брандмауера есть запись: имя порта (случайная последовательность) и случайный номер порта (по крайней мере я не встречал 2х одинаковых). Кто-нибудь сталкивался?

Всего записей: 1207 | Зарегистр. 27-10-2002 | Отправлено: 21:40 03-03-2009
CEMEH



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
На "подшефных" ХРях делаю так всегда и о флеш-вирусах не беспокоюсь. Только вот пользователи упорно ждут появления окошка... ну что ж, пусть учатся проводник запускать, чем вирусы разносить направо и налево.

То есть если юзер клацает правой кнопкой по флешке и выбирает из контекста "открыть" то ничего не будет. Если просто дважды клацает по флешке то открывает то, что в контексте выделено черным (auto, например)
Я так и делал до тех пор пока черным в контексте было "открыть", а там авторан.inf И очень удивился окошку "открыть с помощью..." (выбор программы)
 
Для подшефных надо софтину писать "безоговорочно удалять autoran.inf со сменных носителей"
 
pasha

Цитата:
Обратил внимание - на некоторых компах в исключениях брандмауера есть запись: имя порта (случайная последовательность) и случайный номер порта (по крайней мере я не встречал 2х одинаковых). Кто-нибудь сталкивался?

Я сегодня видел. Галку снял, больше не заморачивался. А что это?

Всего записей: 237 | Зарегистр. 17-09-2006 | Отправлено: 22:40 03-03-2009
LeshiyRUS

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Через Kidokiller удалил "Net-Worm.Win32.Kido", однако обновить  NOD32 так и не вышло. Использование таких вещей как "RootkitRevealer" и  "f-downadup" тоже не к чему ни привело. Помогло следующее:  
 
http://forum.factorial.ru/index.php?act=Print&client=printer&f=28&t=41824
 
"В Windows 2000, XP Professional (для Windows XP Home смотреть ниже), 2003, Vista, 2008 Server необходимо запустить оснастку для редактирования групповой политики gpedit.msc ("Пуск" -> "Выполнить" -> ввести "gpedit.msc", без кавычек -> Ок). После чего выбрать: "Конфигурация компьютера" -> "Административные шаблоны" -> "Система" -> "Отключить автозапуск" ->Выбрать "Включить" -> в пункте "Отключить автозапуск на:" выбрать "на всех дисководах" . Далее перезагрузите компьютер."
 
Полностью отключил автозапуск, перезагрузил и все заработало. NOD32 сразу обновился и вот оно желанное  
 
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\YX2LST69\ppteisfx[1].jpg - Win32/Conficker.AA червь - удален

Всего записей: 1 | Зарегистр. 03-03-2009 | Отправлено: 23:22 03-03-2009
mash99

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
FreemanRU
 

Цитата:
а как пользу открывают такую флешку  

 
чаще -- через "окна папки" или проводник. Реже -- через диалог "Открыть" вёрда/экселя...
Главное: служба выключена <=> нет механизма распространения вирусов.

Всего записей: 5 | Зарегистр. 23-01-2006 | Отправлено: 00:36 04-03-2009
Black_Lung



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У юзера должно быть заблочено все абсолютно чего нет списке разрешения. А кто список делает? Если заразили сеть то виноваты в это только админы. Да и правельный одмин себе тоже должен все блочить.  
У меня нет антивира вообще патчи ставлю не чаще раз в месяц и все ок.
 
 

Всего записей: 275 | Зарегистр. 09-10-2008 | Отправлено: 11:47 04-03-2009
sumchanin_Yuri



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mash99
В рекомендациях приведенных ранее давалась ссылка на AutorunDisinfector который, кроме того ещё и удаляет некоторые виды вирусов, а не просто отключает автозагрузку (как Ninja Pendisk), а за аналог спасибо.
Нашел ещё одно описание Kido Новая версия Downadup: вопросы и ответы может кому-то будет интересно...

Всего записей: 1162 | Зарегистр. 02-01-2002 | Отправлено: 12:42 04-03-2009
pasha



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sumchanin_Yuri
Суперсодержательная статья!

Всего записей: 1207 | Зарегистр. 27-10-2002 | Отправлено: 22:01 04-03-2009 | Исправлено: pasha, 22:02 04-03-2009
FreemanRU



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
mash99

Цитата:
чаще -- через "окна папки" или проводник

При "щелчке" на диске в проводнике срабатывает авторан (то, что записано в autorun.inf)

----------
Если не получается с первого раза - прочти инструкцию. (с)
"Откуда нам знать, что такое война, если мы не знаем мира..."(с)
Записки

Всего записей: 3794 | Зарегистр. 16-07-2004 | Отправлено: 22:01 04-03-2009
adSka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sumchanin_Yuri

Цитата:
ещё одно описание Kido  

ето мы уже всё видели... а что там нового?

Всего записей: 130 | Зарегистр. 13-11-2006 | Отправлено: 00:39 05-03-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Эпидемия червя Kido, Conficker, Downadup


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru