[volk1234]

Цитата K.gusarch:

Примерно представляю с какого места он может идти. »

С любого, где не проведены мероприятия указанные в статье майрософта или моего мини руководства.

[K.gusarch]

Хороший скрипт для nmap
nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 xx.xx.xx.xx/24

читать дальше »

Host script results:
| smb-check-vulns:
| MS08-067: CHECK DISABLED (remove 'safe=1' argument to run)
| Conficker: UNKNOWN; not Windows, or Windows with disabled browser service (CLEAN); or Windows with crashed browser service (possibly INFECTED).
| | If you know the remote system is Windows, try rebooting it and scanning
| |_ again. (Error NT_STATUS_OBJECT_NAME_NOT_FOUND)
|_ regsvc DoS: CHECK DISABLED (add '--script-args=unsafe=1' to run)

Обнаружил заражённые машины в сети.

[volk1234]

Некоторые замечания по профилактике/лечению win32.Kido/Confickier

Здесь запишу некоторые общие моменты, которые не стоит раскрывать в руководстве.

читать дальше »

Хотя появление этого зловреда было ожидаемым, всех застала врасплох его живучесть, возможность проникать "практически везде", и скорость распространения, а также способ обмена информацией и обновления.

---

Замечание 1

Особенности заражения этим вирусом:
Проникновение:
1) проникновение на компьютер через уязвимость в OC
2) путем подбора пароля для УЗ Администратора
Заражение:
1) Устанавливает службу с случайным именем
2) Защищает ветку этой службы через удаления разрешений для всех
3) Записывает службу на запуск в составе системных служб в процессе svchost (параметр реестра netsvcs)
4) Устанавливает запланированное задание на запуск себя же (на случай удаления)
5) Записывается на съемные диски для распространения и последующего заражение того же компьютера, через автозапуск
6) Использует протокол P2P для обмена информацией с автором и обновления.

Лечение вручную описано в руководстве, однако многие спотыкаются на одном и том же моменте:
Учетные записи пользователя - или пароль простой или просто забывают, что кроме самого пользователя на компьютере есть еще и встроенная УЗ Администратор, на которую никто не потрудился поставить пароль (что лучше) или же пароль очень простой. В идеале включенно и запоролено должно быть 2 УЗ - Пользователь и Администратор.

---

Замечание 2

Особенности лечения этого вируса:

Алгоритм действий:

Код:

Отключить сетевой кабель
|
Удалить вирусную запись из ключа реестра netsvcs
|
Заблокировать изменение раздела реестра SVChost через разрешения
|
Удалить вирусную службу из реестра и вирусную dll с диска.
|
Удалить запланированные задания, отключить автозапуск.
|
Сменить и усложнить пароли для всех УЗ
|
Проверить компьютер антивирусным монитором на отсутствие "закладок"
|
Установить обновление KB958644
|
Перезагрузить кломпьютер

Если Kido\Confickier не лечится, не спешите писать о новой неизлечимой версии, 99% вы пропустили один из пунктов вышепреведенного алгоритма.

---

Замечание 3

Проблемы:

Основная проблема - это блокирование ветки

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

При обычном использовании компьютера дома или в офисе это не вызывает абсолютно никаких проблем. Но при попытке установить новую системную службу вы получите отказ в доступе!

Эта ошибка, особенно в офисных сетях, где централизованно устанавливаются программы и обновления может доставить много проблем, если забыть о блокировании ветки на изменение. Поэтому если администраторов больше одного - предупреждайте вашего коллег о проделанных действиях!

При закрытии этой ветки реестра на запись становится невозможным добавить новую роль сервера, установить WSUS. Невозможна установка SP3 для Windows XP.
Вариант решения - возвращаем разрешения на запись в эту ветку Всем, устанавливаем необходимые службы и закрываем ветку снова.
Кстати если промахнетесь и запретите данную ветку на ЧТЕНИЕ ЗНАЧЕНИЯ Вас ждут невообразимые и непредсказуемые глюки ОС (сам наблюдал), будте внимательны.

[volk1234]

Переработал руководство для соответствования реалиям времени.
Добавил как искать службу win32.Kido/Confickier.D
Добавил таблицу типовых служб в параметре netsvcs
Правки смысловые и стилистические.
Отдельным постом вынес некоторые замечания...

[Online Solutions]

OSAM v5.0 без проблем отображает и удаляет Conficker, соответственно, искать вручную не нужно. Просто запустили, просканировались - получили результат. Сняли галочку, удалили. :-)

Пример:


Более подробная информация в этой ветке.

[CASHis]

Мне помогла вот эта софтинка http://www.mcafee.com/us/enterprise/confickertest.html. сканирует указанный диапазон IP и показывает какие из ПК заражены, а дальше хоть Anti-Downadup хоть KidoKiller.

PS обновления это СИЛА!!!!!!

[exo]

всем привет. хочу поделится своим опытом по борьбе с Кидо (так короче писать).
Была сеточка доменная с Windows Server 2003 без сервис пака.
На сервере стоял Сумантек без обновлений, на клиентах антивиря не было вообще.
Да и сеть была изолированная от интерента физически.
И вот проскочил Кидо в сеть, думаю через флешку. И начались проблемы у клиентов - сетевые приложения отваливаются.
При этом на сервере проблем нет, Сумантек ругается постоянно, что что-то находит. Сервисы не отваливаются.
Накатил я всем клиентам обновления
WindowsXP-KB957097-x86-RUS.exe
WindowsXP-KB958687-x86-RUS.exe
WindowsXP-KB958644-x86-RUS.exe - самое главное.
После обновлений проблемы прекратились. Вроде можно подумать - работает, и пусть работает. Нет решил до конца сеть очистить.
Перым делом установил у себя второй комп, с антивирем Касперским 6 триал.
Начал проверять им - находит, но не удаляет. А ко многим клиентам вооще коннекта нет. Брендмауэр блочит.
Ну думаю, сча я через GPO брендмауэр настрою. Куда там...
Windows Server 2003 без сервис пака не знает, что такое брендмауэр.
Делать нечего, выгнал всех в пятницу из сети, установил SP1 и затем SP2.
И тут... Сервер начал вылетать из сети. И это с SP2... И тут я понял в чём касяк, полез за обновлениями для сервера:
WindowsServer2003-KB957097-x86-RUS.exe
WindowsServer2003-KB958644-x86-RUS.exe
WindowsServer2003-KB958687-x86-RUS.exe
И всё работает как надо. Но при этом Кидо то ещё в сети есть.
Сейчас настраиваю централизованно брендмауэр через GPO.
Как только будет будет доступ у всех через шары - есть замечательная утилка от MS - windows-kb890830-v2.14.exe - средство удаления вредоносных программ от 9 (или 8) сентября...
Замечательно справляется с Кидо. Даже то, что не может удалить ни Сумантек, ни Каспер, ни даже Cureit - удаляет на раз два.

А вот и статья, в которой описывается как развернуть MRТ в доменной среде. При запуске компа включается проверка в фоновом режиме.
Надеюсь вам поможет.

[volk1234]

А как же насчет окончательного излечения вашей сети?
На когда запланировали ?
Кидо 100 % еще остался на компьютерах. Указанные вами обновления важны, но их надо было ставить до заражения -
они закрывают "дырку" через которую вирус пролазил на компьютеры. Если он уже на них, надо пролечить все компьютеры до конца...
Если mrt и удалит файлы вируса - надо почистить мусор в реестре, собрать все флэшки и тд по пунктам...
Если что пишите...

[exo]

Цитата volk1234:

А как же насчет окончательного излечения вашей сети? На когда запланировали ? Кидо 100 % еще остался на компьютерах. »

Цитата exo:

Сейчас настраиваю централизованно брендмауэр через GPO. Как только будет будет доступ у всех через шары »

что-то политика не особо, ещё хочу бесплатный антивирь от МС установить, но что-то на ХР не ставится...

Цитата volk1234:

но их надо было ставить до заражения »

лечу комп, ставлю заплатки - шансов пролезть меньше.

Цитата volk1234:

Если что пишите... »

обязательно.

да прибудет с нами Сила!

[volk1234]

Цитата exo:

лечу комп, ставлю заплатки - шансов пролезть меньше. »

Вирус уже пролез в вашу сеть. А без антивирусов и обновлений - 100% ваших компьютеров заражено. Вирус распространяется по сети.
Заплатки ему как мертвому припарки, если он уже на компьютере.

Сколько у вас компьютеров в сети? Если меньше 50 - ходить ногами, делать как в написанно в руководстве.