Червь Conficker: Защита ОС Windows от вредоносного ПО Conficker.A и Conficker.B
Эта статья призвана помочь пользователям и специалистам, предоставив консолидированную информацию о черве Conficker, способах защиты и восстановления зараженных систем.
Общая информация о черве Conficker 23 октября 2008 года корпорация Microsoft выпустила обновление по информационной безопасности MS08-067, чтобы устранить уязвимость в службе сервера ОС Windows, которая на момент выпуска обновления подвергалась лишь редким узконаправленным и ограниченным атакам. Уязвимость могла позволить анонимному злоумышленнику успешно получить полный контроль над уязвимой системой через сетевую атаку. Данный вектор атак традиционно описывается как сетевой «червь». После выпуска обновления MS08-067 Центр Microsoft по защиты от вредоносного ПО (Malware Protection Center или MMPC) обнаружил два варианта червя Win32/Conficker в открытом Интернете: Читать дальше на Microsoft Technet См. также Руководство: борьба с KIDO\CONFICKER в сети (рабочая группа) (из личного опыта volk1234) |
Червь известен так же под именем Downadup и Kido.
В MS очень заинтересованы в поимке автора, даже предложили по данному сабжу 250 000$ Цитата:
|
Есть отличная утилита по лечению червя: http://support.kaspersky.ru/wks6mp3/error?qid=208636215
Она бесплатная и позвляет спокойно скачать установить обновление с сайта майкрософта и перезагрузиться. Пробовал утилиту от Доктора - она не на всех машинах работает и довольно сильно тормозит. |
Да, KidoKiller - утилита неплохая! Находит эту мерзость быстро! Но если ПК подключен к сети, локальной или удалённой, гарантии того что Conficker не появится опять нет никаких! Для сети, да и для домашнего пользования, лучше всего использовать антивирусное програмное обеспечение способное проводить проверку "на лету".
Кстати, установка обновлений от Microsoft тоже не всегда помогает! Лично мне с этой проблемой помог справиться NOD 32 с последними обновлениями! А утилита от Доктора вообще не видит Conficker. |
Скажите а как вирус распространяется?
т.е. он у меня в сети все за раз не пройти не установить решить делать поэтапно: 1. Форматирую машинку, устанавливаю SP3 + все обновление по май 2. устанавливаю Аваст, обновляю базу 3. вкл в сеть и увы через некоторое время машина заражена ( что не так в мои шагах? |
koos, см. ссылку в шапке - там пять пунктов.
|
На личном опыте, так сказать
Руководство: борьба с KIDO\CONFICKER в сети (рабочая группа). V.2.0 А также Некоторые замечания по профилактике/лечению win32.Kido/Confickier |
volk1234,
А какой это - "нормальный" - антивирус? (Ваше мнение) |
IMHO
Только давайте не будем развивать офтопик и спорить на эту тему. Я только свое мнение сказал. |
volk1234, как по мне то Semantec\Norton сервер + NOD32 рабочие станции
|
прекратите флэйм плиз, ко всем относится, и к контрибуторам тоже.
Есть же тема кто каким антивирусом пользуется Вот написал на свою голову. |
Чуток доработал мануал по борьбе с кидо в сети. Добавил картинок. :)
|
Добавил в мануал ссылку на Microsoft Baseline Security Analizer.
Добавил важное примечание по закрытии ветки svchost. |
Лечим сетку от kido.ih, есть вопросы.
Добрый день. Лечим сеть от kido.ih Сеть была в запущенном состоянии. В общем процесс долгий.
Действуем по алгоритму. Серваки все чистые, проверяли. Одновременно все заражённые компы от сети не отсоеденить. Приходится перебирать. 1. Отсоединяем комп от сети, 2. Ставим sp3 если он не стоял. Ребут. 3. Накатываем пакет обновлений по сегодняшний день, включающий необходимые для лечения три пресловутые заплатки. Ребут. 4. Выключаем каспера, если он стоял. 5. Запускаем утилитку КК.exe. Ребут. 6. Подрубаем комп в сеть. 7. Устанавливаем каспера, если не стоял. С удивлением на некоторых машинках через пару часиков обнаружил вот такое: Как такое может быть? Ведь патч закрывает порты, каспер стоит. P.S. Ещё пару вопросов. 1. Полностью вылеченная машинка, с SP3 и нужными обновлениями, подключается в заражённую сеть с чистым КД. Пользователь продолжает работать в программе. Серверная часть так же на чистом сервере. Что происходит? Машинка заразится? 2. Атакующие машинки - какое отличие у них, от просто заражённых? Или любая заражённая может стать атакующей? Я имею ввиду сетевые атаки. [/quote] P.S.S. Админ, разворачивающий каспера и отвечающий за информационную безопастность, в отпуске, а нам знаний чуть не хватает. Пардон. |
В логах каспера нужно найти информацию об атаке (там будет указан ip адресс атакующего).
Еще как вариант на Кд в логах безопасности (может быть а может и нет) отследить заблокирование учетной записи (если это массово) и выявить имя вызывающего компа (вот эти компы в первую очередь нужно лечить) а почему три я ставил 5: KB885250 KB921883 KB957097 KB958644 KB958687 |
Diesel315,
ставим вабще все обновления, просто на счёт трёх, фром каспесрки: Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001 (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его). Спасибо за советы )) |
gavBTR
Так вы ничего не вылечите, максимум локализуете на время проблему. Вот я на своем опыте описал: http://forum.oszone.net/post-1145010-7.html Разновидность не так важна, как общее для всех свойство внедрятся в svchost, поэтому обязательно закрывать ветку реестра, иначе будете бегать от компа к компу -без толку. Читайте мануал если останутся вопросы с удовольствием помогу... |
volk1234,
расстроил ты меня начальник, ох расстроил... почитал, возник ряд вопросов, попытаюсь сам, если что спрошу. Хочу только уточнить, инфицированные машинки, есть атакующие, есть просто содержащие заразу, почему одни атакуют, другие просто инфицированы? |
Они все распрастранители. Т.е. неверно выбран термин. Вирус размножается сам. Подбирает простейшие пароли к админке.
Если например какой то критерий его не устроил - закрыта дыра обновлением, не запущен планировщик заданий, пользователь не имеет прав админа (точно я не зню критериев) вирус не лезит на этот комп. Но распрастраняется пулей- только успел поставить винду, подрубил к сети перезагрузил - уже залез и залочил доступ к сайту drweb , поэтому я и обнаружил его :) ЗЫ. Мануал написан моим потом. (к счастью без крови обошлось, просто с 8 до 20.00 2 недели на работе) :) Поэтому учитесь на моих ошибках, а не на своих. Я тоже сначала несерьезно отнесся к этому вирусу... |
Добавил в мануал описание как найти удалить dll-файл вируса.
Добавил имя еще одной папки которую надо удалить с флэшек пользователей. Добавил в пример скрипта запуск установки заплатки WindowsXP-KB967715-x86-RUS.exe |
volk1234,
по-меньше бы снобизму остальным админам на админских форумах. спасибо большое )) |
сори за флуд, скажите каспер интеренет секьюрити 7, видит эту заразу?
|
Видеть то видит, но не все он может удалить - потому, что вирус сидит внутри svchost процесса и его не завершишь отдельно, а если завершить svchost - компьютер перезагрузится. Даже если удалить все следы вируса c HDD - он то останется в памяти и мониторит свою dll-ку и когда ее удаляет антивирус - создает новую. Кроме того, по сети вирус может сново вернутся- если вы не отключили планировщик заданий и не сменили пароли на более сложные.
Выход в блокировании ветки реера svchost на запись. У меня 3 офиса работают с залоченной веткой и ничего. Только если чтонибудь серезное устанавливаешь, вроде WSUS'a, надо разлочивать ветку - ибо в svchost таким программам надо свою валидную службу прописать... Используйте одну из множества утилит по удалению kido - Kido Killer от касперского и обязательно поставьте обновления рекомендуемые в статье майкрософт в шапке! |
Цитата:
|
IWTK, вы немного не понимаете того что безопасность вашего ПК это не только антивирус (Любой из признанных!!!), это комплекс решений для предотвращения рисков разного характера что бы они не стали угрозами вашей безопасности.
- Длинный и сложный пароль (Пароли, для всего свой) - Программные решения (заплатки, антивирус, фаервол, регулярные проверки сканерами альтернативных фирм своей системы, резервное копирование, шифрование данных и тд и тп) - Аппаратные решения З.Ы. ну главное в этом деле психология пользователя, важна ли для него безопасность в сети и готов ли он учится и стараться её обеспечить |
IWTK
Самое главное - не работайте под учетной записью администратора !!!!!! Пока вы этого не поймете вы постоянно будете иметь головную боль ! У меня у одного недавно комп не загрузился в одном из офисов (10 PC) - я под админом защел, вирус прописался в userinit и не давал загрузится рабочему столу. Все остальные пользователи работающие с ограниченными правами - работали совершенно нормально. И второе УЗ Администратора должна быть переименованна и пароль должен быть не менее 8 символов !!! Количество попыток на его ввод -4 и блокировка на 5 минут после них.... Вот тогда ставьте любой антивирус и вирусы будут в глубокой задумчивости... Ибо они с вашими правами ограниченными не смогут записыватся в папку Windows, реестр и устанавливать драйверы и службы. Другой вопрос - готовы ли вы к "сложностям" в виде захода под администратором для установки программ или запуска их от имени администратора с паролем на 8 букв. Большинство пользователей неготовы - им элементарно лень. Но своих 250 человек я заставил :))) Надеюсь вы поняли, что ни какспер ни любой другой антивирус на земле не завалит ВСЕ вирусы. Кидо один из таких - именно поэтому и поднялась такая шумиха - мол все антивирусны бессильны. А антивирусные авторы и не заявляли никогда, что их программы защищают на 100%. В любом случае у них (антивирусописателей) есть универсальный отход - " вы не поставили все обновления для Windows и не скачали последние антивирусные базы"..... Не обижайтесь, что бы вам было понятнее, переведу Ваш вопрос в бытовую плоскость: А если я буду держать руку в кармане и кошелек прикреплю цепью - меня ограбят или нет ? :) Обновил инструкцию - добавил ссылок на анти кидо утилиты, закрыл на картинке имя пользователя - он сильно морально страдал бедняжка. :) |
Важное уточнение:
также выявлен баг при закрытии ветки реестра svchost на запись при установки пакета обновления SP3 для Windows XP/ Симптомы теже самые - SP3 не может быть успешно установлен, в событиях имеются отметки, что несколько служб не смогли успешно стартовать...Еще бы как им стартовать то без доступа к реестру. Ничего страшного в этом нет, разлочиваем ветку и устанавливаем SP3. Вообще я надеюсь понятно было , что рекомендации по залочиванию этой ветки были временными. Хотя я эксперимент продолжаю. По сути в грамотно спланированной сети -с правами пользователя, кидо не смог бы распрастранится и не надобыло бы прописывать зарпет для Всех, мы живем не в идеальом мире... |
zeroua, volk1234, да я готов к 8 символам. я работаю только под своей учетной записью. администратора я вообще не трогаю. при установке windows пароль поставил и готово.
\ Цитата:
Цитата:
Цитата:
как залочить и разлочить ветку и какую? я обновляю через wsus. дистрибутив сразу sp3 идет. через wsus на последний момент было 67 обновлений. в частности оаашсу, net., и там всякого. Ароде все. пока. ребята можно с кем из Вас списать онлайн что бы Вы мне помогли настроить защиту да и подробно расказать в мелких деталях про все это. Читать статьи у меня как то не получаеться. статьи там по мелким изменения да н6е вопрос, например как прошить тот или другой телефон и всякое такое. а вот по безопастности, у меня с ними со статьями будут большие проблемы. |
IWTK, о ну тут много чего нужно, начинаем читать так сказать:
Базовая концепция системы безопасности ОС Windows семейства NT Безопасный Интернет.Универсальная защита для Windows ME – Vista Руководство по настройке Windows для максимально эффективной защиты от вирусов., Протокол v1.2 Десять непреложных законов безопасности vladbez.spaces.live.com Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor доп. см. здесь З.Ы. также рекомендую отдельно форумы: http://virusnet.info http://virusinfo.info/forum ну и наш конечно :) З.Ы. настроить не проблема, проблема найти грань между тем от чего нужно отказаться и тем что стоит оставить, эту грань должен понять тот человек, специалист который будет настраивать ту или иную систему, вы должны четко выразить цели (защита домашнего ПК, защита офисного ПК, защита корпоративной/личной, важной информации) применить программный, аппаратный и организационный комплекс мер по обеспечению сохранности информации и целостности системы. Безопасность в каждом отдельном случае должен обеспечивать тот кому за нее платят либо тот для кого она важна, в вашем случае её должны обеспечивать вы сами для этого нужно учится самому (читать, пробовать и тд и тп) и учить других, тех с кем ваша "безопасность" соприкасается ... |
Есть комп,на него шла ранее атака Kido, Nod 32 2.7 её отсекал.
Прогонял Kidokiller-ом,заплатки поставил Просмотрел реестр на компе - вирусных веток не обнаружил. Но. Периодически вылетает сообщение о том,что обнаружен вирь в %System. Сам файл не находится. И если запускаю Kidokiller - показывает infected jobs 2(3 или 5 бывает). Как вылечить? |
Цитата:
Потому как эта учетная запись создаваемая при установке имеет права администратора. Майкрософт осознала и в Висте ввела революционный принцип UAC. Да он раздражает, но цель была достигнута. K.gusarch Читайте в шапке, мой способ, только раздел II. Смените пароль если он есть (возможно вирус пролазит к вам снова по сети подбирая ваш простейший пароль) Смените имя учетной записи администратор(и пароль на ней) Пароли должны быть сложными! Проверьте флэшки свои. В общем читайте мануал ! |
Пароли непростые, не менее 10 символов,буквы,цифры,регистр.
Попробую с именами. |
Обнаружил следующее.
Conficker создаёт задание в Windows\Tasks с названием At1.job Внутри команда: rundll32.exe oossm,aidwuf В определённое время (16.00) задание запускается, и Nod блокирует и помещает в карантин файл samqi.n из System32. Задание удаляю руками или Kidokiller-ом - спустя некоторое время появляется. Что посоветуете? Машины win2003,нужные заплатки стоят. В реестре, ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost и HKLM\SYSTEM\CurrentControlSet\Services\netsvcs в порядке |
Ветку svchost заблокировал.
Посмотрю появится ли снова. |
Цитата:
Цитата:
Эти порты нужны для нормального функционирования рабочей группы. Но без пароля и имени администратора вирус не может задавать запланированнфе задания. Отсюда: 1) если он пролазит через сеть, у вас либо несколько У.З. администратора. проверьте все ли записи запороленны и сложный ли пароль, особенно встроенная у.з. - та которая называется Администратор. Вообще отключите все лишние у.з. В идеале оставьте 2 вашу Пользователя и с правами Администратора. 2) если о пролазит не через сеть - значит не долечили на HDD или флэшку. Цитата:
Приведите параметр netsvcs из ветки Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost |
Параметр netsvc:
|
K.gusarch
используйте пожалуйста теги [more] и [code]... |
Я ошибся, нет у меня ветки HKLM\SYSTEM\CurrentControlSet\Services\netsvcs.
Нашёл хороший скрипт,проверяет подозрительные скрытые файлы: net view /DOMAIN:тут пишем свой домен > comps.txt for /f "eol=K skip=4 tokens=1" %%i in (comps.txt) do ( if exist %%i\c$\windows\system32 dir /A:H %%i\c$\windows\system32 >> C:\SysReport01.txt if exist %%i\c$\winnt\system32 dir /A:H %%i\c$\winnt\system32 >> C:\SysReport01.txt ) |
Посмотрел ваш параметр netsvc, зловредов нет, значит правильно заблокировали ее.
Только надо определить откуда лезет вирус. Сколько у вас активных учетных записей? |
Спасибо,нашёл причину.
Слабый пароль учетки с правами админа. Вот выяснить бы ещё откуда он ломится. Больше ста. Примерно представляю с какого места он может идти. |
Цитата:
|
Хороший скрипт для nmap
nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 xx.xx.xx.xx/24 Обнаружил заражённые машины в сети. |
Некоторые замечания по профилактике/лечению win32.Kido/Confickier
Здесь запишу некоторые общие моменты, которые не стоит раскрывать в руководстве. |
Переработал руководство для соответствования реалиям времени.
Добавил как искать службу win32.Kido/Confickier.D Добавил таблицу типовых служб в параметре netsvcs Правки смысловые и стилистические. Отдельным постом вынес некоторые замечания... |
OSAM v5.0 без проблем отображает и удаляет Conficker, соответственно, искать вручную не нужно. Просто запустили, просканировались - получили результат. Сняли галочку, удалили. :-)
Пример: Более подробная информация в этой ветке. |
Мне помогла вот эта софтинка http://www.mcafee.com/us/enterprise/confickertest.html. сканирует указанный диапазон IP и показывает какие из ПК заражены, а дальше хоть Anti-Downadup хоть KidoKiller.
PS обновления это СИЛА!!!!!! |
всем привет. хочу поделится своим опытом по борьбе с Кидо (так короче писать).
Была сеточка доменная с Windows Server 2003 без сервис пака. На сервере стоял Сумантек без обновлений, на клиентах антивиря не было вообще. Да и сеть была изолированная от интерента физически. И вот проскочил Кидо в сеть, думаю через флешку. И начались проблемы у клиентов - сетевые приложения отваливаются. При этом на сервере проблем нет, Сумантек ругается постоянно, что что-то находит. Сервисы не отваливаются. Накатил я всем клиентам обновления WindowsXP-KB957097-x86-RUS.exe WindowsXP-KB958687-x86-RUS.exe WindowsXP-KB958644-x86-RUS.exe - самое главное. После обновлений проблемы прекратились. Вроде можно подумать - работает, и пусть работает. Нет решил до конца сеть очистить. Перым делом установил у себя второй комп, с антивирем Касперским 6 триал. Начал проверять им - находит, но не удаляет. А ко многим клиентам вооще коннекта нет. Брендмауэр блочит. Ну думаю, сча я через GPO брендмауэр настрою. Куда там... Windows Server 2003 без сервис пака не знает, что такое брендмауэр. Делать нечего, выгнал всех в пятницу из сети, установил SP1 и затем SP2. И тут... Сервер начал вылетать из сети. И это с SP2... И тут я понял в чём касяк, полез за обновлениями для сервера: WindowsServer2003-KB957097-x86-RUS.exe WindowsServer2003-KB958644-x86-RUS.exe WindowsServer2003-KB958687-x86-RUS.exe И всё работает как надо. Но при этом Кидо то ещё в сети есть. Сейчас настраиваю централизованно брендмауэр через GPO. Как только будет будет доступ у всех через шары - есть замечательная утилка от MS - windows-kb890830-v2.14.exe - средство удаления вредоносных программ от 9 (или 8) сентября... Замечательно справляется с Кидо. Даже то, что не может удалить ни Сумантек, ни Каспер, ни даже Cureit - удаляет на раз два. А вот и статья, в которой описывается как развернуть MRТ в доменной среде. При запуске компа включается проверка в фоновом режиме. Надеюсь вам поможет. :) |
А как же насчет окончательного излечения вашей сети?
На когда запланировали ? :) Кидо 100 % еще остался на компьютерах. Указанные вами обновления важны, но их надо было ставить до заражения - они закрывают "дырку" через которую вирус пролазил на компьютеры. Если он уже на них, надо пролечить все компьютеры до конца... Если mrt и удалит файлы вируса - надо почистить мусор в реестре, собрать все флэшки и тд по пунктам... Если что пишите... |
Цитата:
Цитата:
Цитата:
Цитата:
да прибудет с нами Сила! |
Цитата:
Заплатки ему как мертвому припарки, если он уже на компьютере. Сколько у вас компьютеров в сети? Если меньше 50 - ходить ногами, делать как в написанно в руководстве. |
Цитата:
Цитата:
А я хочу на всех централизованно. |
Еще раз предлагаюсвой вариант
Пусть вас не отпугивает название - в рабочей группе. Вы можете централизованно залочить ветку реестра и отменить задания запланированные. Заплатки поставить. Обойти компьютеры все равно придется. Насчет - "вылечил один компьютер" еще раз напишу - пока не залочите ветку svchost и не проведете комплекс мер будете бегать от одного компьютера к другому. Почитайте эту ветку форума. |
Цитата:
|
Время: 06:48. |
Время: 06:48.
© OSzone.net 2001-