(в моем случае в сети 50 компьютеров+файлопомойка без домена, DHCP, DNS сервер без AD, прокся)
Определение заражения:
Лезем в реестр и проверяем параметр
netsvcs в ветке
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
если в списке служб в
самом конце есть бессмысленный набор букв(типа xpprdjj) и вы не можете ассоциировать это название с легальными службами (у каждой службы кроме длинного есть короткое имя например -
Автоматическое обновление: Wuauserv) - ( Можно посмотреть в остнастке службы либо с помощью любой другой утилиты, например, autoruns)
Вышесказанное относится к модификациям вируса
Win32/Conficker.A - .C. Более новая модификация
Win32/Conficker.D записывает свою службу в параметре
netsvcs
не в конец списка, а в произвольное место списка, что усложняет ее поиск! Вот таблица типичных "валидных" служб для примера (взял
отсюда ):
- Служба, выделенная красным — это пример записи, которую создает вирус Win32/Conficker в папаметре
netsvcs в разделе реестра
SVCHOST.
- Реальный список служб может включать дополнительные записи в зависимости от программ, установленных в системе.
- В таблице указаны службы, запускаемые в конфигурации Windows по умолчанию.
Запись, добавляемая в список вирусом Win32/Conficker, может служить примером техники запутывания. В выделенной записи вируса первая буква кажется буквой «L» в нижнем регистре, но на самом деле это буква «I» в верхнем регистре. Из-за начертания шрифта, используемого в операционной системе, буква «I» в верхнем регистре похожа на букву «L» в нижнем регистре.
Вобщем если есть неопознанная служба поздравляю - скорее всего вы счастливый обладатель самого новейшего вируса
Также надо проверить ветку реестра
Код:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
Если такая есть это точно Kido. Однако не во всех модификациях вируса такая ветка создается.
После этого в сети и на
каждом компьютере необходим целый комплекс противовирусных мероприятий:
I В сети предприятия .
1. Планируется глобальная политика безопастности - способ входа в систему длинна пароля, количество попыток при вводе неправильного пароля, меняются все пароли на сложные не меньше 6 знаков, раздаем права доступа на NTFS, Всех выгоняем из УЗ Администратора. Вобщем вспоминаем за что платят админам деньги
2. Закрываем на всех компьютерах ВСЕ общие папки, в т.ч. на серверах. Это заодно будет стимулом быстрее перевести всех на файловый сервер и быстрее пролечить сеть
Легче всего эту задачу выполнить - остановив на каждом компьютере службу
Server.
3. В настройках прокси\брэндмауэра запрещаем P2P сети! Это важно- именно по этому протоколу зараза обменивается информацией и обновляется.
4. Заодно можно на время отключить сетевую службу
Доступ к файлам и принтерам, дабы закрыть 139, 445 порт( я так не делал, а просто запретил порты на проксе\DNS)
5. Отключить сервер и полноценно проверить его без доступа к сети. Установить на него заплатки (все необходимые). Используйте
Microsoft Baseline Security Analizer .(нужен интернет, так что делайте до отключения сети).
II. На каждом компьютере отдельно. (в т.ч. на серверах)
1. Удаляем сначала вирусную службу определенную ранее из списка служб в параметре netsvcs (
в конце должна быть пустая строка) и убив саму службу в
Код:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
+ удалив указанную в соответстующей вирусу ветке dll-ку.
Здесь интересный момент: Зайдя, например, в случае как на картинке, в раздел реестра,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rhlnccbs вы не увидите весь раздел и имени запускаемой dll. Вирус использует наше же оружие - он закрывает через разрешения доступ к своей ветке всем кроме System. Чтобы справится с вирусом меняем разрешения на ветку: Заходим в Разрешения для данной ветки - нажимаем Дополнительно, затем выбираем галочку '
Наследовать от родительского объекта...', и вуаля- видим ветку вирусного драйвера целиком с путем и имененм dll- вот и попался голубчик!
Удаляем ветку, если она есть
Код:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
2. Запрещаем доступ к ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost для всех на изменение значений.
ПКМ на разделе SvcHost- Разрешения- добавить пользователя
Все (на англ ОС- Everyone)-
далее в раздел дополнительно и выбрав пользователя Все задаем ему специальное разрешение( в данном случае запрещение
) - запрещаем право ЗАДАНИЕ ЗНАЧЕНИЯ
Важно: При закрытии этой ветки реестра на запись становится невозможным устанавливать новые службы использующие Svchost. На время лечения ветка должна быть закрыта на всех компьютерах сети!!! Иначе процедура лечения бессмысленна !
Подробнее о нюансах связанных с блокированием ветки реестра Svchost см.
в замечаниях...
3. Удаляем как советует майкрософт запланированные задания:
Код:
at /delete /yes
4. Качаем и устанавливаем обновление WindowsXP-KB958644.
Также установите
MS08-068 MS09-001
5.
Отключаем автозапуск , службу планировщика.
6. Для удобства большинство действий можно сделать Bat- файлом(ветки реестра лучше править вручную):
Пример (по окончании компьютер перезагрузится):
Код:
@Echo off
Net stop server
Net stop ShellHWDetection
AT /Delete /Yes
Net stop Schedule
Rem Заплатка отключения автозапуска, скачайте ее перед запуском :)
Start /wait WindowsXP-KB967715-x86-RUS.exe /passive /nobackup /norestart
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul
Reg Add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul
Reg Delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f >nul
Reg Add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" >nul
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v HonorAutorunSetting /t REG_DWORD /d 0x00000001 /f >nul
Rem Заплатка АнтиКидо, скачайте перед запуском :)
Start /wait WindowsXP-KB958644-x86-RUS.exe /passive /norestart /forcerestart
7. Проверяем компьютер антивирусным сканером. В моем случае заражение сопровождалось другим вирусом -csrcs прописывающемся в Winlogon.
8. Обязательно соберите у всех пользователей флэшки (даже под угрозой увольнения), поудалять с флешек и корневых разделов дисков autorun.inf и папку\файл RECYCLED и RECYCLER и защитите их с помощью FlashDisinfector, либо сами создайте скрипт:
Код:
md "буква флэшки:\autorun.inf"
type nul > "\\?\буква флэшки:\autorun.inf\lpt3.In Memory on Flash_Disinfector"
attrib.exe +h +r +s +a "буква флэшки:\autorun.inf"
Ставим нормальный антивирус и обновляем его регулярно(не реже каждого дня). Поставьте известный хороший антивирус (Мне известны три: Антивирус Касперского, Dr.Web, Symantec\Norton). И проведите этим самым антивирусным сканером полную проверку всех единиц компьютерной техники в сети.
Для уверенности(или если вам непонятны действия описанные выше):
Скачиваем и запускаем какуюнибудь утилиту для удаления kido (
bitdefender ,
kidokiller).
Здесь можно почитать как использовать kidokiller
