|
Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Вопрос - Червь Conficker: Защита ОС Windows от вредоносного ПО Conficker.A и Conficker.B |
|
Вопрос - Червь Conficker: Защита ОС Windows от вредоносного ПО Conficker.A и Conficker.B
|
(*.*) Сообщения: 36491 |
Профиль | Сайт | Отправить PM | Цитировать Эта статья призвана помочь пользователям и специалистам, предоставив консолидированную информацию о черве Conficker, способах защиты и восстановления зараженных систем.
Общая информация о черве Conficker 23 октября 2008 года корпорация Microsoft выпустила обновление по информационной безопасности MS08-067, чтобы устранить уязвимость в службе сервера ОС Windows, которая на момент выпуска обновления подвергалась лишь редким узконаправленным и ограниченным атакам. Уязвимость могла позволить анонимному злоумышленнику успешно получить полный контроль над уязвимой системой через сетевую атаку. Данный вектор атак традиционно описывается как сетевой «червь». После выпуска обновления MS08-067 Центр Microsoft по защиты от вредоносного ПО (Malware Protection Center или MMPC) обнаружил два варианта червя Win32/Conficker в открытом Интернете: Читать дальше на Microsoft Technet См. также Руководство: борьба с KIDO\CONFICKER в сети (рабочая группа) (из личного опыта volk1234) |
|
------- Отправлено: 19:05, 19-02-2009 |
Старовер Сообщения: 1708
|
Профиль | Отправить PM | Цитировать Цитата K.gusarch:
|
|
------- Отправлено: 10:59, 10-09-2009 | #41 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 19
|
Профиль | Отправить PM | Цитировать Хороший скрипт для nmap
nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 xx.xx.xx.xx/24 Обнаружил заражённые машины в сети. |
Отправлено: 08:16, 11-09-2009 | #42 |
Старовер Сообщения: 1708
|
Профиль | Отправить PM | Цитировать Некоторые замечания по профилактике/лечению win32.Kido/Confickier
Здесь запишу некоторые общие моменты, которые не стоит раскрывать в руководстве. |
------- Последний раз редактировалось volk1234, 04-10-2009 в 01:41. Отправлено: 16:53, 11-09-2009 | #43 |
Старовер Сообщения: 1708
|
Профиль | Отправить PM | Цитировать Переработал руководство для соответствования реалиям времени.
Добавил как искать службу win32.Kido/Confickier.D Добавил таблицу типовых служб в параметре netsvcs Правки смысловые и стилистические. Отдельным постом вынес некоторые замечания... |
------- Последний раз редактировалось volk1234, 14-09-2009 в 14:16. Отправлено: 18:53, 11-09-2009 | #44 |
Новый участник Сообщения: 30
|
Профиль | Сайт | Отправить PM | Цитировать OSAM v5.0 без проблем отображает и удаляет Conficker, соответственно, искать вручную не нужно. Просто запустили, просканировались - получили результат. Сняли галочку, удалили. :-)
Пример: Более подробная информация в этой ветке. |
------- Отправлено: 17:06, 21-09-2009 | #45 |
Старожил Сообщения: 234
|
Профиль | Отправить PM | Цитировать Мне помогла вот эта софтинка http://www.mcafee.com/us/enterprise/confickertest.html. сканирует указанный диапазон IP и показывает какие из ПК заражены, а дальше хоть Anti-Downadup хоть KidoKiller.
PS обновления это СИЛА!!!!!! |
Отправлено: 07:44, 28-09-2009 | #46 |
Ветеран Сообщения: 12417
|
Профиль | Отправить PM | Цитировать всем привет. хочу поделится своим опытом по борьбе с Кидо (так короче писать).
Была сеточка доменная с Windows Server 2003 без сервис пака. На сервере стоял Сумантек без обновлений, на клиентах антивиря не было вообще. Да и сеть была изолированная от интерента физически. И вот проскочил Кидо в сеть, думаю через флешку. И начались проблемы у клиентов - сетевые приложения отваливаются. При этом на сервере проблем нет, Сумантек ругается постоянно, что что-то находит. Сервисы не отваливаются. Накатил я всем клиентам обновления WindowsXP-KB957097-x86-RUS.exe WindowsXP-KB958687-x86-RUS.exe WindowsXP-KB958644-x86-RUS.exe - самое главное. После обновлений проблемы прекратились. Вроде можно подумать - работает, и пусть работает. Нет решил до конца сеть очистить. Перым делом установил у себя второй комп, с антивирем Касперским 6 триал. Начал проверять им - находит, но не удаляет. А ко многим клиентам вооще коннекта нет. Брендмауэр блочит. Ну думаю, сча я через GPO брендмауэр настрою. Куда там... Windows Server 2003 без сервис пака не знает, что такое брендмауэр. Делать нечего, выгнал всех в пятницу из сети, установил SP1 и затем SP2. И тут... Сервер начал вылетать из сети. И это с SP2... И тут я понял в чём касяк, полез за обновлениями для сервера: WindowsServer2003-KB957097-x86-RUS.exe WindowsServer2003-KB958644-x86-RUS.exe WindowsServer2003-KB958687-x86-RUS.exe И всё работает как надо. Но при этом Кидо то ещё в сети есть. Сейчас настраиваю централизованно брендмауэр через GPO. Как только будет будет доступ у всех через шары - есть замечательная утилка от MS - windows-kb890830-v2.14.exe - средство удаления вредоносных программ от 9 (или 8) сентября... Замечательно справляется с Кидо. Даже то, что не может удалить ни Сумантек, ни Каспер, ни даже Cureit - удаляет на раз два. А вот и статья, в которой описывается как развернуть MRТ в доменной среде. При запуске компа включается проверка в фоновом режиме. Надеюсь вам поможет. |
------- Отправлено: 11:05, 28-09-2009 | #47 |
Старовер Сообщения: 1708
|
Профиль | Отправить PM | Цитировать А как же насчет окончательного излечения вашей сети?
На когда запланировали ? Кидо 100 % еще остался на компьютерах. Указанные вами обновления важны, но их надо было ставить до заражения - они закрывают "дырку" через которую вирус пролазил на компьютеры. Если он уже на них, надо пролечить все компьютеры до конца... Если mrt и удалит файлы вируса - надо почистить мусор в реестре, собрать все флэшки и тд по пунктам... Если что пишите... |
------- Отправлено: 11:15, 28-09-2009 | #48 |
Ветеран Сообщения: 12417
|
Профиль | Отправить PM | Цитировать Цитата volk1234:
Цитата exo:
Цитата volk1234:
Цитата volk1234:
да прибудет с нами Сила! |
||||
------- Отправлено: 12:04, 28-09-2009 | #49 |
Старовер Сообщения: 1708
|
Профиль | Отправить PM | Цитировать Цитата exo:
Заплатки ему как мертвому припарки, если он уже на компьютере. Сколько у вас компьютеров в сети? Если меньше 50 - ходить ногами, делать как в написанно в руководстве. |
|
------- Отправлено: 12:11, 28-09-2009 | #50 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Доступ - Помогите восстановить систему после вируса(Conficker.B Kido.ep) | mishanya85 | Microsoft Windows 2000/XP | 8 | 25-07-2010 01:41 | |
[решено] вирус Win32/Conficker.Gen | sure777 | Лечение систем от вредоносных программ | 3 | 09-10-2009 12:49 | |
[решено] Win32/Conficker.AA | lynxxx | Лечение систем от вредоносных программ | 13 | 27-05-2009 08:10 | |
Worm:Win32/Conficker (II) | inf-45 | Лечение систем от вредоносных программ | 2 | 10-03-2009 08:35 | |
Подозрение на червь | Сет | Программное обеспечение Windows | 7 | 26-10-2007 17:43 |
|