[volk1234]

прекратите флэйм плиз, ко всем относится, и к контрибуторам тоже.
Есть же тема кто каким антивирусом пользуется
Вот написал на свою голову.

[volk1234]

Чуток доработал мануал по борьбе с кидо в сети. Добавил картинок.

[volk1234]

Добавил в мануал ссылку на Microsoft Baseline Security Analizer.
Добавил важное примечание по закрытии ветки svchost.

[gavBTR]

Добрый день. Лечим сеть от kido.ih Сеть была в запущенном состоянии. В общем процесс долгий.
Действуем по алгоритму.

Серваки все чистые, проверяли. Одновременно все заражённые компы от сети не отсоеденить. Приходится перебирать.
1. Отсоединяем комп от сети,
2. Ставим sp3 если он не стоял. Ребут.
3. Накатываем пакет обновлений по сегодняшний день, включающий необходимые для лечения три пресловутые заплатки. Ребут.
4. Выключаем каспера, если он стоял.
5. Запускаем утилитку КК.exe. Ребут.
6. Подрубаем комп в сеть.
7. Устанавливаем каспера, если не стоял.

С удивлением на некоторых машинках через пару часиков обнаружил вот такое:


Как такое может быть? Ведь патч закрывает порты, каспер стоит.

P.S. Ещё пару вопросов.
1. Полностью вылеченная машинка, с SP3 и нужными обновлениями, подключается в заражённую сеть с чистым КД. Пользователь продолжает работать в программе. Серверная часть так же на чистом сервере. Что происходит? Машинка заразится?
2. Атакующие машинки - какое отличие у них, от просто заражённых? Или любая заражённая может стать атакующей? Я имею ввиду сетевые атаки.
[/quote]


P.S.S. Админ, разворачивающий каспера и отвечающий за информационную безопастность, в отпуске, а нам знаний чуть не хватает. Пардон.

[Diesel315]

В логах каспера нужно найти информацию об атаке (там будет указан ip адресс атакующего).
Еще как вариант на Кд в логах безопасности (может быть а может и нет) отследить заблокирование учетной записи (если это массово) и выявить имя вызывающего компа (вот эти компы в первую очередь нужно лечить)

а почему три я ставил 5:
KB885250
KB921883
KB957097
KB958644
KB958687

[gavBTR]

Diesel315,

ставим вабще все обновления, просто на счёт трёх, фром каспесрки:

Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001 (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его).

Спасибо за советы ))

[volk1234]

gavBTR
Так вы ничего не вылечите, максимум локализуете на время проблему.

Вот я на своем опыте описал: http://forum.oszone.net/post-1145010-7.html

Разновидность не так важна, как общее для всех свойство внедрятся в svchost, поэтому обязательно закрывать ветку реестра, иначе будете бегать от компа к компу -без толку.

Читайте мануал если останутся вопросы с удовольствием помогу...

[gavBTR]

volk1234,
расстроил ты меня начальник, ох расстроил...
почитал, возник ряд вопросов, попытаюсь сам, если что спрошу. Хочу только уточнить, инфицированные машинки, есть атакующие, есть просто содержащие заразу, почему одни атакуют, другие просто инфицированы?

[volk1234]

Они все распрастранители. Т.е. неверно выбран термин. Вирус размножается сам. Подбирает простейшие пароли к админке.

Если например какой то критерий его не устроил - закрыта дыра обновлением, не запущен планировщик заданий, пользователь не имеет прав админа (точно я не зню критериев) вирус не лезит на этот комп.
Но распрастраняется пулей- только успел поставить винду, подрубил к сети перезагрузил - уже залез и залочил доступ к сайту drweb , поэтому я и обнаружил его

ЗЫ. Мануал написан моим потом. (к счастью без крови обошлось, просто с 8 до 20.00 2 недели на работе)
Поэтому учитесь на моих ошибках, а не на своих. Я тоже сначала несерьезно отнесся к этому вирусу...

[volk1234]

Добавил в мануал описание как найти удалить dll-файл вируса.
Добавил имя еще одной папки которую надо удалить с флэшек пользователей.
Добавил в пример скрипта запуск установки заплатки WindowsXP-KB967715-x86-RUS.exe