Эта статья призвана помочь пользователям и специалистам, предоставив консолидированную информацию о черве Conficker, способах защиты и восстановления зараженных систем.

Общая информация о черве Conficker

23 октября 2008 года корпорация Microsoft выпустила обновление по информационной безопасности MS08-067, чтобы устранить уязвимость в службе сервера ОС Windows, которая на момент выпуска обновления подвергалась лишь редким узконаправленным и ограниченным атакам. Уязвимость могла позволить анонимному злоумышленнику успешно получить полный контроль над уязвимой системой через сетевую атаку. Данный вектор атак традиционно описывается как сетевой «червь». После выпуска обновления MS08-067 Центр Microsoft по защиты от вредоносного ПО (Malware Protection Center или MMPC) обнаружил два варианта червя Win32/Conficker в открытом Интернете:

Читать дальше на Microsoft Technet (http://technet.microsoft.com/ru-ru/security/dd452420.aspx)


См. также Руководство: борьба с KIDO\CONFICKER в сети (рабочая группа) (http://forum.oszone.net/post-1145010-7.html) (из личного опыта volk1234)

Червь известен так же под именем Downadup и Kido.
В MS очень заинтересованы в поимке автора, даже предложили по данному сабжу 250 000$

Finally, we have announced a US$250,000 reward for information that results in the arrest and conviction of those responsible for illegally launching the Conficker worm. >> (http://blogs.technet.com/msrc/archive/2009/02/12/conficker-activity-update.aspx)

Кто их знает, может просто хотят человеку присудить MVP или вовсе пригласить на работу, им такие специалисты в группу безопасности нужны: знает как ломать - поможет как защитить.

Есть отличная утилита по лечению червя: http://support.kaspersky.ru/wks6mp3/error?qid=208636215
Она бесплатная и позвляет спокойно скачать установить обновление с сайта майкрософта и перезагрузиться.
Пробовал утилиту от Доктора - она не на всех машинах работает и довольно сильно тормозит.

Да, KidoKiller - утилита неплохая! Находит эту мерзость быстро! Но если ПК подключен к сети, локальной или удалённой, гарантии того что Conficker не появится опять нет никаких! Для сети, да и для домашнего пользования, лучше всего использовать антивирусное програмное обеспечение способное проводить проверку "на лету".
Кстати, установка обновлений от Microsoft тоже не всегда помогает! Лично мне с этой проблемой помог справиться NOD 32 с последними обновлениями! А утилита от Доктора вообще не видит Conficker.

Скажите а как вирус распространяется?
т.е. он у меня в сети все за раз не пройти не установить решить делать поэтапно:
1. Форматирую машинку, устанавливаю SP3 + все обновление по май
2. устанавливаю Аваст, обновляю базу
3. вкл в сеть
и увы через некоторое время машина заражена (
что не так в мои шагах?

koos, см. ссылку в шапке - там пять пунктов.

На личном опыте, так сказать
Руководство: борьба с KIDO\CONFICKER в сети (рабочая группа). V.2.0

(в моем случае в сети 50 компьютеров+файлопомойка без домена, DHCP, DNS сервер без AD, прокся)

Определение заражения:
Лезем в реестр и проверяем параметр netsvcs в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
если в списке служб в самом конце есть бессмысленный набор букв(типа xpprdjj) и вы не можете ассоциировать это название с легальными службами (у каждой службы кроме длинного есть короткое имя например - Автоматическое обновление: Wuauserv) - ( Можно посмотреть в остнастке службы либо с помощью любой другой утилиты, например, autoruns)
http://wiki.oszone.net/images/d/dd/Beb_kido.JPG

Вышесказанное относится к модификациям вируса Win32/Conficker.A - .C. Более новая модификация Win32/Conficker.D записывает свою службу в параметре netsvcs
не в конец списка, а в произвольное место списка, что усложняет ее поиск! Вот таблица типичных "валидных" служб для примера (взял отсюда (http://support.microsoft.com/kb/962007/ru) ):
http://wiki.oszone.net/images/6/6f/Table.PNG

- Служба, выделенная красным — это пример записи, которую создает вирус Win32/Conficker в папаметре netsvcs в разделе реестра SVCHOST.
- Реальный список служб может включать дополнительные записи в зависимости от программ, установленных в системе.
- В таблице указаны службы, запускаемые в конфигурации Windows по умолчанию.
Запись, добавляемая в список вирусом Win32/Conficker, может служить примером техники запутывания. В выделенной записи вируса первая буква кажется буквой «L» в нижнем регистре, но на самом деле это буква «I» в верхнем регистре. Из-за начертания шрифта, используемого в операционной системе, буква «I» в верхнем регистре похожа на букву «L» в нижнем регистре.

Вобщем если есть неопознанная служба поздравляю - скорее всего вы счастливый обладатель самого новейшего вируса :)
http://wiki.oszone.net/images/0/05/Beb_kido3.JPG
Также надо проверить ветку реестра
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
Если такая есть это точно Kido. Однако не во всех модификациях вируса такая ветка создается.

После этого в сети и на каждом компьютере необходим целый комплекс противовирусных мероприятий:

I В сети предприятия .
1. Планируется глобальная политика безопастности - способ входа в систему длинна пароля, количество попыток при вводе неправильного пароля, меняются все пароли на сложные не меньше 6 знаков, раздаем права доступа на NTFS, Всех выгоняем из УЗ Администратора. Вобщем вспоминаем за что платят админам деньги :)

2. Закрываем на всех компьютерах ВСЕ общие папки, в т.ч. на серверах. Это заодно будет стимулом быстрее перевести всех на файловый сервер и быстрее пролечить сеть :)
Легче всего эту задачу выполнить - остановив на каждом компьютере службу Server.

3. В настройках прокси\брэндмауэра запрещаем P2P сети! Это важно- именно по этому протоколу зараза обменивается информацией и обновляется.

4. Заодно можно на время отключить сетевую службу Доступ к файлам и принтерам, дабы закрыть 139, 445 порт( я так не делал, а просто запретил порты на проксе\DNS)

5. Отключить сервер и полноценно проверить его без доступа к сети. Установить на него заплатки (все необходимые). Используйте Microsoft Baseline Security Analizer (http://www.microsoft.com/downloads/details.aspx?FamilyID=F32921AF-9DBE-4DCE-889E-ECF997EB18E9&displaylang=en) .(нужен интернет, так что делайте до отключения сети).


II. На каждом компьютере отдельно. (в т.ч. на серверах)



1. Удаляем сначала вирусную службу определенную ранее из списка служб в параметре netsvcs (в конце должна быть пустая строка) и убив саму службу в
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services + удалив указанную в соответстующей вирусу ветке dll-ку.

Здесь интересный момент: Зайдя, например, в случае как на картинке, в раздел реестра, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rhlnccbs вы не увидите весь раздел и имени запускаемой dll. Вирус использует наше же оружие - он закрывает через разрешения доступ к своей ветке всем кроме System. Чтобы справится с вирусом меняем разрешения на ветку: Заходим в Разрешения для данной ветки - нажимаем Дополнительно, затем выбираем галочку 'Наследовать от родительского объекта...', и вуаля- видим ветку вирусного драйвера целиком с путем и имененм dll- вот и попался голубчик!

Удаляем ветку, если она есть HKLM\SYSTEM\CurrentControlSet\Services\netsvcs

2. Запрещаем доступ к ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost для всех на изменение значений.
ПКМ на разделе SvcHost- Разрешения- добавить пользователя Все (на англ ОС- Everyone)-
далее в раздел дополнительно и выбрав пользователя Все задаем ему специальное разрешение( в данном случае запрещение :)) - запрещаем право ЗАДАНИЕ ЗНАЧЕНИЯ
http://wiki.oszone.net/images/1/12/Beb_kido2.JPG

Важно: При закрытии этой ветки реестра на запись становится невозможным устанавливать новые службы использующие Svchost. На время лечения ветка должна быть закрыта на всех компьютерах сети!!! Иначе процедура лечения бессмысленна !
Подробнее о нюансах связанных с блокированием ветки реестра Svchost см. в замечаниях... (http://forum.oszone.net/post-1216669-43.html)

3. Удаляем как советует майкрософт запланированные задания:
at /delete /yes

4. Качаем и устанавливаем обновление WindowsXP-KB958644.


Прямая ссылка (http://download.microsoft.com/download/5/2/6/526af6ed-32cc-4924-b631-faee10a0e6a9/WindowsXP-KB958644-x86-RUS.exe)
Также установите MS08-068 (http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx) MS09-001 (http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx)

5. Отключаем автозапуск (http://support.microsoft.com/kb/967715) , службу планировщика.

6. Для удобства большинство действий можно сделать Bat- файлом(ветки реестра лучше править вручную):
Пример (по окончании компьютер перезагрузится):

@Echo off
Net stop server
Net stop ShellHWDetection
AT /Delete /Yes
Net stop Schedule

Rem Заплатка отключения автозапуска, скачайте ее перед запуском :)

Start /wait WindowsXP-KB967715-x86-RUS.exe /passive /nobackup /norestart

Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul
Reg Add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul
Reg Delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f >nul
Reg Add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" >nul
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v HonorAutorunSetting /t REG_DWORD /d 0x00000001 /f >nul

Rem Заплатка АнтиКидо, скачайте перед запуском :)

Start /wait WindowsXP-KB958644-x86-RUS.exe /passive /norestart /forcerestart

7. Проверяем компьютер антивирусным сканером. В моем случае заражение сопровождалось другим вирусом -csrcs прописывающемся в Winlogon.

8. Обязательно соберите у всех пользователей флэшки (даже под угрозой увольнения), поудалять с флешек и корневых разделов дисков autorun.inf и папку\файл RECYCLED и RECYCLER и защитите их с помощью FlashDisinfector, либо сами создайте скрипт:
md "буква флэшки:\autorun.inf"
type nul > "\\?\буква флэшки:\autorun.inf\lpt3.In Memory on Flash_Disinfector"
attrib.exe +h +r +s +a "буква флэшки:\autorun.inf"


Ставим нормальный антивирус и обновляем его регулярно(не реже каждого дня). Поставьте известный хороший антивирус (Мне известны три: Антивирус Касперского, Dr.Web, Symantec\Norton). И проведите этим самым антивирусным сканером полную проверку всех единиц компьютерной техники в сети.


Для уверенности(или если вам непонятны действия описанные выше):
Скачиваем и запускаем какуюнибудь утилиту для удаления kido (bitdefender (http://www.bdtools.net/download/dcleaner.zip), kidokiller (http://data2.kaspersky.com:8080/special/KK_v3.4.7.zip)). Здесь (http://support.kaspersky.ru/faq/?qid=208636215) можно почитать как использовать kidokiller

А также Некоторые замечания по профилактике/лечению win32.Kido/Confickier (http://forum.oszone.net/post-1216669-43.html)

volk1234,

А какой это - "нормальный" - антивирус? (Ваше мнение)

IMHO
Semantec\Norton - сервера

DrWeb - рабстанции

Почему: дрвеб - мало места занимает, не грузит комп, обновления очень маленькие и часто выходят - в отличие от некоторых других компаний.

Каспер тоже неплох - но я его неперевариваю. Смысл ставить этого тормоза...
Наоборот, на сервера DrWeb неподходит - какието глюки, и в т.ч. с ADТолько давайте не будем развивать офтопик и спорить на эту тему. Я только свое мнение сказал.

volk1234, как по мне то Semantec\Norton сервер + NOD32 рабочие станции

прекратите флэйм плиз, ко всем относится, и к контрибуторам тоже.
Есть же тема кто каким антивирусом пользуется (http://forum.oszone.net/thread-26939.html)
Вот написал на свою голову.

Чуток доработал мануал по борьбе с кидо в сети (http://forum.oszone.net/post-1145010-7.html). Добавил картинок. :)

Добавил в мануал ссылку на Microsoft Baseline Security Analizer.
Добавил важное примечание по закрытии ветки svchost.

Добрый день. Лечим сеть от kido.ih Сеть была в запущенном состоянии. В общем процесс долгий.
Действуем по алгоритму.

Серваки все чистые, проверяли. Одновременно все заражённые компы от сети не отсоеденить. Приходится перебирать.
1. Отсоединяем комп от сети,
2. Ставим sp3 если он не стоял. Ребут.
3. Накатываем пакет обновлений по сегодняшний день, включающий необходимые для лечения три пресловутые заплатки. Ребут.
4. Выключаем каспера, если он стоял.
5. Запускаем утилитку КК.exe. Ребут.
6. Подрубаем комп в сеть.
7. Устанавливаем каспера, если не стоял.

С удивлением на некоторых машинках через пару часиков обнаружил вот такое:
http://pic.ipicture.ru/uploads/090730/thumbs/f7Y136b5cY.jpg (http://ipicture.ru/Gallery/Viewfull/21499152.html)

Как такое может быть? Ведь патч закрывает порты, каспер стоит.

P.S. Ещё пару вопросов.
1. Полностью вылеченная машинка, с SP3 и нужными обновлениями, подключается в заражённую сеть с чистым КД. Пользователь продолжает работать в программе. Серверная часть так же на чистом сервере. Что происходит? Машинка заразится?
2. Атакующие машинки - какое отличие у них, от просто заражённых? Или любая заражённая может стать атакующей? Я имею ввиду сетевые атаки.
[/quote]


P.S.S. Админ, разворачивающий каспера и отвечающий за информационную безопастность, в отпуске, а нам знаний чуть не хватает. Пардон.

В логах каспера нужно найти информацию об атаке (там будет указан ip адресс атакующего).
Еще как вариант на Кд в логах безопасности (может быть а может и нет) отследить заблокирование учетной записи (если это массово) и выявить имя вызывающего компа (вот эти компы в первую очередь нужно лечить)

а почему три я ставил 5:
KB885250
KB921883
KB957097
KB958644
KB958687

Diesel315,

ставим вабще все обновления, просто на счёт трёх, фром каспесрки:

Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001 (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его). (http://support.kaspersky.ru/faq/?qid=208636215)

Спасибо за советы ))

gavBTR
Так вы ничего не вылечите, максимум локализуете на время проблему.

Вот я на своем опыте описал: http://forum.oszone.net/post-1145010-7.html

Разновидность не так важна, как общее для всех свойство внедрятся в svchost, поэтому обязательно закрывать ветку реестра, иначе будете бегать от компа к компу -без толку.

Читайте мануал если останутся вопросы с удовольствием помогу...

volk1234,
расстроил ты меня начальник, ох расстроил...
почитал, возник ряд вопросов, попытаюсь сам, если что спрошу. Хочу только уточнить, инфицированные машинки, есть атакующие, есть просто содержащие заразу, почему одни атакуют, другие просто инфицированы?

Они все распрастранители. Т.е. неверно выбран термин. Вирус размножается сам. Подбирает простейшие пароли к админке.

Если например какой то критерий его не устроил - закрыта дыра обновлением, не запущен планировщик заданий, пользователь не имеет прав админа (точно я не зню критериев) вирус не лезит на этот комп.
Но распрастраняется пулей- только успел поставить винду, подрубил к сети перезагрузил - уже залез и залочил доступ к сайту drweb , поэтому я и обнаружил его :)

ЗЫ. Мануал написан моим потом. (к счастью без крови обошлось, просто с 8 до 20.00 2 недели на работе) :)
Поэтому учитесь на моих ошибках, а не на своих. Я тоже сначала несерьезно отнесся к этому вирусу...

Добавил в мануал описание как найти удалить dll-файл вируса.
Добавил имя еще одной папки которую надо удалить с флэшек пользователей.
Добавил в пример скрипта запуск установки заплатки WindowsXP-KB967715-x86-RUS.exe