ZAnuX
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Доброе время суток. Хочу поедлиться своей историей) Выйдя в понедельник 2 февраля обнаружил странную вещь, на серверах были отключены парочка служб, таких как "Сервер", "Вторичный вход в систему", и еще какие-то, не помню). Начались обильные звонки юзверей, о том что у них не было доступа к расшаренным ресурсам. и то, что учетные записи блокируются. Далее KIS 8.0.0.454 начал выдавать сообщение Intrusion.Win.NETAPI.buffer-overflow.exploit (атака с определенного айпи адреса по 445 порту). Выяснилось, что это проделки вируса Net-Worm.Win32.Kido.fj. Вычитали статьи в интернете, и начали ставить заплатки KB958644, KB957097, KB958687, KB921883 и антивирь, где он не стоял, KIS 8.0.0.506. Дополнительно прибивали вирь утилиткой от касперского Kidokiller в безопасном режиме, далее опять прогон касперским. В принципе вирь убивался (c:\windows\system32\[произвольные символы].dll, c:\Document and settings\Юзверь\Local Settings\Temporary Internet Files\[произвольные символы].bmp или .jpg, c:\Recycler\....\[произвольные символы].vmx), но почему то на следующий день атаки с вылеченного компа возобновлялись. но не со всех. Помогала повторная проверка. А на сервере по началу вылетал процесс svchost, также в "Назначенных заданиях" появлялись и до сих пор поялвяются задачи At1, At2,.... (причем если посмотреть в свойства задачи, было видно запланированный запуск rundll32.exe [произвольные символы].dll каждый день и в определенное время). На сервере в журнале событий в Безопасности постоянно генерируются сообщения об отказе аутентификации, то есть как я понел вирь с зараженного компа пытается подобрать пароли с разными учетными записями в домене, причем по подсчету где-то 11 попыток в секунду. Короче борьба продолжается, и похоже займет еще не одну неделю... Может найдется какой-то универсальный метод |