Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Эпидемия червя Kido, Conficker, Downadup

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Открыть новую тему     Написать ответ в эту тему

HAngel



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Kido (также известный под именами Conficker, Downadup) - это компьютерный червь, использующий уязвимость операционных систем Microsoft Windows.

Быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам. Также он может распространяться через USB-накопители.
 
Краткое описание(взято с сайта касперского):
Подробнее...
 
Симптомы заражения:
- блокировка учетных записей в домене
- некоторые из служб операционной системы отключены (например, Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender and Error Reporting Services)
- контроллеры домена медленно отвечают на запросы клиентов
- черезмерная загруженность локальной сети
- недоступность сайтов windows update и сайтов антивирусного ПО
 
Зараженные компьютеры в локальной сети можно обнаружить при помощи: Подробнее...
 
Если у вас есть подозрение, что ваш копьютер заражен этим трояном и с этой машины есть доступ в интернет, то вы можете проверить заражен ли этот компьютер перейдя по ссылке http://www.confickerworkinggroup.org/infection_test/cfeyechart.html  (если компьютер заражен, то некоторые изображения не будут видны)
 
Удаление трояна: Подробнее...
 
Удаление вирусов: Общие положения...
 
Описание червя на Википедии
Постоянно обновляемый сборник инструкций для удаления и обнаружения конфикера www.dshield.org/conficker





порча ссылок в этом разделе запрещена. /emx/

Всего записей: 99 | Зарегистр. 16-10-2004 | Отправлено: 01:36 15-01-2009 | Исправлено: dmitri23, 10:13 23-10-2009
userrus

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да читал, майкрософт конечно виднее, но данные политики предполагают полную блокировку записи планировщика заданий даже для администратора вообще, а указанные мною только по сети, а в интерактивном режиме (консоль или терминал) можно. Полную блокировку Software\Microsoft\Windows NT\CurrentVersion\Svchost но есть и легитимные установки ее использующие (хоть и не часто), и не останавливает запись вредоноса system32, который потом героически будет удаляться антивирусом. Спорно все это.
 
Добавлено:
может хотите сказать что описанное работать не будет?

Всего записей: 88 | Зарегистр. 27-09-2005 | Отправлено: 14:34 29-04-2009
S1NT3Z



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А ходили слухи что 3 мая вирус прекратит свою работу. Оказалось только слухи.

Всего записей: 80 | Зарегистр. 23-06-2006 | Отправлено: 09:25 04-05-2009
heleo

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ситуация такая, после  заражения kido  пришлось пролечит все компы, в основном система Win XP pro SP2 естественно заплатки были поставлены, но так же есть 20 компов с Win 2k SP3 которые находятся в отдельной локалке из 60и машин под управлением Win2003 (тоже вылечен и пропатчен). Попробовал обновить  часть 2к ов до SP4 и поставил заплатки (Windows2000-KB914389-x86-RUS, Windows2000-KB921883-x86-RUS, Windows2000-KB923414-x86-RUS). В итоге после включеня зараженных компов пропатченные снова подхватывают заразу + пропатченые XP в той же локалки после атаки выдают сообщения о падении svhost, что само по себе не критично, но сильно раздражает. Можно как нибудь Win2k окончательно вылечить?

Всего записей: 16 | Зарегистр. 26-06-2006 | Отправлено: 12:56 05-05-2009
rkhodjaev



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 Сетевые ресурсы пропадают, на Терминальном сервере Print Spooler занимает 95-100% и очень медленно работают подключенные юзера, а когда отключаешь пользователи могут подключится нормально и работает. Есть ВПН сервер, оттуда идет и конфикер, то есть там сейчас нет Security Updates, потому что когда ставишь то маршрутизация пропадает.
   Не подскажите, это конфикер и как решать проблему.

Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 16:13 05-05-2009
Molt



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
кросспостинг, еще один сетевой сканер на Kido

----------
"Give me the place to stand, and I shall move the earth" — Archimedes

Всего записей: 1337 | Зарегистр. 07-11-2004 | Отправлено: 16:59 05-05-2009
Nuts2002

Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Итак, на ноутбуке с вистой х32 Kido подпортил запуск шелла, теперь при загрузке не запускается оболочка. Червячка-то я удалил, а вот как восстановить запуск Explorer, не знаю. Может тупо добавить в реестр?

Всего записей: 487 | Зарегистр. 13-03-2007 | Отправлено: 16:09 06-05-2009
BagIra

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Nuts2002
 
1) Если существует, удалить ветку реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
2) Проверить значение:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
если другое - заменить на приведенное выше
3) В этой ветке:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
добавить значение, если оно отсутствует:
"Shell"="SYS:Microsoft\Windows NT\CurrentVersion\Winlogon"

Всего записей: 27 | Зарегистр. 24-05-2004 | Отправлено: 18:03 06-05-2009
Mushroomer



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Nuts2002
В avz в восстановлении системы должна быть соответствующая микропрограмма. Не знаю правда насколько корректно она работает в Vista
 
Добавлено:
BagIra
Цитата:
HKEY_LOCAL_MACHINE\SOFTWARE\
Насколько я помню в Vista другие ссылки в реестре.

Всего записей: 22839 | Зарегистр. 19-01-2002 | Отправлено: 21:27 06-05-2009
anpsoft



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
я правильно понял что в AVZ нет резидентного модуля ?
 
а почему интересно автор не сделает, ну хотя бы по более упрощенной схеме чем основная программа
 

Всего записей: 120 | Зарегистр. 13-10-2002 | Отправлено: 01:19 07-05-2009
icea

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
еще нужно отключить (stop, disable) все шедулеры на ВСЕХ ПК в сети (с помощью sc ).. они называются At0..AtN время на их выполнение (старт) с 17 до 18-19 часов. конечно созданы под SYSTEM.

Всего записей: 36 | Зарегистр. 23-04-2008 | Отправлено: 02:12 07-05-2009
sJey



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Обнаружен баг, после применения сего ... отключается раскладка клавы, пока что буду думать как исправить.
 
У кого домен. В GP "Computer configuration" перевести в disable службу шедулер. Админам дать права read. В GP так же поставить в автозапуск службы, автообновление и BITS. Плюс для подстраховки в "User configuration" в логон поместил батник с содержанием:
 
net use w: \\ip сервера\сетевая папка > nul
net use w: /delete >nul
net use w: \\ip сервера\сетевая папка
copy w:\wsus.reg "C:\Documents and  
Settings\All Users\Application Data"
cd "C:\Documents and Settings\All Users\Application Data"
regedit.exe /s "C:\Documents and Settings\All Users\Application Data\wsus.reg"
wuauclt.exe /detectnow
 
Содержание WSUS.reg:
 
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://сервер wsus"
"WUStatusServer"="http://сервер wsus"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"AUOptions"=dword:00000003
"AutoInstallMinorUpdates"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000003
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"NoAutoUpdate"=dword:00000000
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:00000030
"ResucheduleWaiteTime"=dword:0000003c
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000f
"UseWUServer"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]  
"NoDriveTypeAutoRun"=dword:00000000  
"NoWelcomeScreen"=dword:00000001
 
P.S Так же в рег файле сразу поставил блокировку автозапуска flash и cd.
P.S 2 - Если у пользователей урезаны права и wsus.reg не применяется, то в GP дать права на запись в реестр к веткам...
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate  
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
 
Прошло больше часа - машины не заражаются.

Всего записей: 81 | Зарегистр. 21-05-2003 | Отправлено: 05:53 14-05-2009 | Исправлено: sJey, 14:41 14-05-2009
bahtey



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sJey
для тех у кого есть сервер wsus,вы такое хотели добавить и забыли об этом.

Всего записей: 794 | Зарегистр. 14-12-2006 | Отправлено: 12:32 14-05-2009
VovaMozg



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
sJey
смысл все равно сводится к основным обязанностям сисадмина. Обновления -необходимый элемент. У кого вовремя пришьли обновления у тех собственно и проблем нет Ну и естественно разумная раздача прав пользователям+антивирусная защита. Даже большая сеть такими элементарными вещами предотвращается от лишних нападок на ура.

----------
В конце концов причина причин оказалась в начале начал...

Всего записей: 761 | Зарегистр. 02-06-2005 | Отправлено: 12:36 14-05-2009
anpsoft



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
эти чертовы вирусы в этом году, вкупе с появлением инета в сетке, привели косвенно к падению производительности всего парка компов на фирме, из за антивирусов и экранов.
 
 
а память добавить весьма затруднительно, компам нужны ddr400 в основном и некоторым вообще еще более раннюю подавай, а ее фиг найти не говоря уж о бешенных ценах.
 

Всего записей: 120 | Зарегистр. 13-10-2002 | Отправлено: 10:06 15-05-2009
icea

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а что можете посоветовать по борьбе с этим вирусом и другими при таких условиях
приносные устроства пользователей  ноутбки, нетбуки.  
т.е. на них крутиться Ось как правило для домашнего пользования т.е в домен ввести не получиться -> как результат прав в ОС пользовательских ноубуков никаких, вручную ж ходить их чистисть не будешь? (в нашей сети пользовательских ноутов перевалило за 100 ).
 
какими методами можно бороться с вирусами на юзерских ноутах?
конечно есть вариана баны по IP-MAC-Port или что то еще есть?
 

Всего записей: 36 | Зарегистр. 23-04-2008 | Отправлено: 00:19 17-05-2009
bahtey



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
icea
в топку и из окна все приносные и домашние компы...
давече как недавно, одна мадам засрать хотела рабочую сетку(везде уже заплатки были),приносила флешку..с ней провел беседу - она в отпор,мол муж сказал что с работы принесла, подкосячила рабочий комп и на файлообменнике понасоздоалось параши.
мда...
 
Добавлено:
icea
"есть вариана баны по IP-MAC-Port"
так.
 
Добавлено:
anpsoft
как вариант все в реестре поотключать автораны (сопуствуя исключить их вообще запуск).запретить создавать "левые" папки на дисках. и можно не заморачиваться на памяти особо.

Всего записей: 794 | Зарегистр. 14-12-2006 | Отправлено: 11:10 19-05-2009
rusl2



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KK_v3.4.7 http://support.kaspersky.ru/faq/?qid=208636215

Всего записей: 130 | Зарегистр. 22-01-2007 | Отправлено: 01:29 21-05-2009
icea

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
как относитесь к бану по мак адресу с использованием такой длл? (конечто при условии что уровень пользователя ПК низкий, и\или нет у него на ПК админских прав )
 
__http://blogs.technet.com/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx

Всего записей: 36 | Зарегистр. 23-04-2008 | Отправлено: 03:35 30-05-2009
100_let



Ньюби
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Добрый день) есть такой вопрос( возможно не очень умный)
 
если сервера имеют последние заплатки и kido на них уничтожен -но являются файл-сервером -
 
то есть пользователи имеют возможность сохранять свои документы на этих серверах
 
если мы имеем в этом случае
 
а) раб станция -зараженная kido
b) Сервер c обновлениями и без kido
 
c a) копируется файл на b)  
 
сервер не может быть заражен по причине установленных обновлений
либо раз файл копируется то может быть занесен и kido
 
?
 
заранее спасибо) очень важно понять это)

Всего записей: 1322 | Зарегистр. 03-02-2003 | Отправлено: 22:23 30-05-2009
icea

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
100_let:
 
файловый сервер где хранятся профиля и\или сетевые диски?  
 
если да то.. вирус там будет (скорее всего храниться что тоже не очень хорошо...  ) (( антивирус должен его сразу отлавливать (антивирус файлового сервера).  
 
заражений файлового сервера не замечено (антивирус отлавливает, а так кто его знает этот кидо... )

Всего записей: 36 | Зарегистр. 23-04-2008 | Отправлено: 23:09 30-05-2009 | Исправлено: icea, 23:13 30-05-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Эпидемия червя Kido, Conficker, Downadup


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru