[Admiral]

Червь известен так же под именем Downadup и Kido.
В MS очень заинтересованы в поимке автора, даже предложили по данному сабжу 250 000$

Цитата MSRC ->Conficker Activity Update:

Finally, we have announced a US$250,000 reward for information that results in the arrest and conviction of those responsible for illegally launching the Conficker worm. >>

Кто их знает, может просто хотят человеку присудить MVP или вовсе пригласить на работу, им такие специалисты в группу безопасности нужны: знает как ломать - поможет как защитить.

[Dolce Vita]

Есть отличная утилита по лечению червя: http://support.kaspersky.ru/wks6mp3/error?qid=208636215
Она бесплатная и позвляет спокойно скачать установить обновление с сайта майкрософта и перезагрузиться.
Пробовал утилиту от Доктора - она не на всех машинах работает и довольно сильно тормозит.

[crouler]

Да, KidoKiller - утилита неплохая! Находит эту мерзость быстро! Но если ПК подключен к сети, локальной или удалённой, гарантии того что Conficker не появится опять нет никаких! Для сети, да и для домашнего пользования, лучше всего использовать антивирусное програмное обеспечение способное проводить проверку "на лету".
Кстати, установка обновлений от Microsoft тоже не всегда помогает! Лично мне с этой проблемой помог справиться NOD 32 с последними обновлениями! А утилита от Доктора вообще не видит Conficker.

[koos]

Скажите а как вирус распространяется?
т.е. он у меня в сети все за раз не пройти не установить решить делать поэтапно:
1. Форматирую машинку, устанавливаю SP3 + все обновление по май
2. устанавливаю Аваст, обновляю базу
3. вкл в сеть
и увы через некоторое время машина заражена (
что не так в мои шагах?

[Vadikan]

koos, см. ссылку в шапке - там пять пунктов.

[volk1234]

На личном опыте, так сказать

Руководство: борьба с KIDO\CONFICKER в сети (рабочая группа). V.2.0

читать дальше »

(в моем случае в сети 50 компьютеров+файлопомойка без домена, DHCP, DNS сервер без AD, прокся)

Определение заражения:
Лезем в реестр и проверяем параметр netsvcs в ветке

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

если в списке служб в самом конце есть бессмысленный набор букв(типа xpprdjj) и вы не можете ассоциировать это название с легальными службами (у каждой службы кроме длинного есть короткое имя например - Автоматическое обновление: Wuauserv) - ( Можно посмотреть в остнастке службы либо с помощью любой другой утилиты, например, autoruns)


Вышесказанное относится к модификациям вируса Win32/Conficker.A - .C. Более новая модификация Win32/Conficker.D записывает свою службу в параметре netsvcs
не в конец списка, а в произвольное место списка, что усложняет ее поиск! Вот таблица типичных "валидных" служб для примера (взял отсюда ):


- Служба, выделенная красным — это пример записи, которую создает вирус Win32/Conficker в папаметре netsvcs в разделе реестра SVCHOST.
- Реальный список служб может включать дополнительные записи в зависимости от программ, установленных в системе.
- В таблице указаны службы, запускаемые в конфигурации Windows по умолчанию.
Запись, добавляемая в список вирусом Win32/Conficker, может служить примером техники запутывания. В выделенной записи вируса первая буква кажется буквой «L» в нижнем регистре, но на самом деле это буква «I» в верхнем регистре. Из-за начертания шрифта, используемого в операционной системе, буква «I» в верхнем регистре похожа на букву «L» в нижнем регистре.

Вобщем если есть неопознанная служба поздравляю - скорее всего вы счастливый обладатель самого новейшего вируса

Также надо проверить ветку реестра

Код:

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs

Если такая есть это точно Kido. Однако не во всех модификациях вируса такая ветка создается.

После этого в сети и на каждом компьютере необходим целый комплекс противовирусных мероприятий:

I В сети предприятия .

1. Планируется глобальная политика безопастности - способ входа в систему длинна пароля, количество попыток при вводе неправильного пароля, меняются все пароли на сложные не меньше 6 знаков, раздаем права доступа на NTFS, Всех выгоняем из УЗ Администратора. Вобщем вспоминаем за что платят админам деньги

2. Закрываем на всех компьютерах ВСЕ общие папки, в т.ч. на серверах. Это заодно будет стимулом быстрее перевести всех на файловый сервер и быстрее пролечить сеть
Легче всего эту задачу выполнить - остановив на каждом компьютере службу Server.

3. В настройках прокси\брэндмауэра запрещаем P2P сети! Это важно- именно по этому протоколу зараза обменивается информацией и обновляется.

4. Заодно можно на время отключить сетевую службу Доступ к файлам и принтерам, дабы закрыть 139, 445 порт( я так не делал, а просто запретил порты на проксе\DNS)

5. Отключить сервер и полноценно проверить его без доступа к сети. Установить на него заплатки (все необходимые). Используйте Microsoft Baseline Security Analizer .(нужен интернет, так что делайте до отключения сети).

II. На каждом компьютере отдельно. (в т.ч. на серверах)

1. Удаляем сначала вирусную службу определенную ранее из списка служб в параметре netsvcs (в конце должна быть пустая строка) и убив саму службу в

Код:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

+ удалив указанную в соответстующей вирусу ветке dll-ку.

Здесь интересный момент: Зайдя, например, в случае как на картинке, в раздел реестра, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rhlnccbs вы не увидите весь раздел и имени запускаемой dll. Вирус использует наше же оружие - он закрывает через разрешения доступ к своей ветке всем кроме System. Чтобы справится с вирусом меняем разрешения на ветку: Заходим в Разрешения для данной ветки - нажимаем Дополнительно, затем выбираем галочку 'Наследовать от родительского объекта...', и вуаля- видим ветку вирусного драйвера целиком с путем и имененм dll- вот и попался голубчик!

Удаляем ветку, если она есть

Код:

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs

2. Запрещаем доступ к ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost для всех на изменение значений.
ПКМ на разделе SvcHost- Разрешения- добавить пользователя Все (на англ ОС- Everyone)-
далее в раздел дополнительно и выбрав пользователя Все задаем ему специальное разрешение( в данном случае запрещение ) - запрещаем право ЗАДАНИЕ ЗНАЧЕНИЯ


Важно: При закрытии этой ветки реестра на запись становится невозможным устанавливать новые службы использующие Svchost. На время лечения ветка должна быть закрыта на всех компьютерах сети!!! Иначе процедура лечения бессмысленна !
Подробнее о нюансах связанных с блокированием ветки реестра Svchost см. в замечаниях...

3. Удаляем как советует майкрософт запланированные задания:

Код:

 at /delete /yes

4. Качаем и устанавливаем обновление WindowsXP-KB958644.

читать дальше »

Прямая ссылка

Также установите MS08-068 MS09-001

5. Отключаем автозапуск , службу планировщика.

6. Для удобства большинство действий можно сделать Bat- файлом(ветки реестра лучше править вручную):
Пример (по окончании компьютер перезагрузится):

Код:

@Echo off
Net stop server
Net stop ShellHWDetection
AT /Delete /Yes
Net stop Schedule

Rem Заплатка отключения автозапуска, скачайте ее перед запуском :)

Start /wait WindowsXP-KB967715-x86-RUS.exe /passive /nobackup /norestart

Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul
Reg Add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul
Reg Delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f >nul
Reg Add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" >nul
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v HonorAutorunSetting /t REG_DWORD /d 0x00000001 /f >nul

Rem Заплатка АнтиКидо, скачайте перед запуском :)

Start /wait WindowsXP-KB958644-x86-RUS.exe /passive /norestart /forcerestart

7. Проверяем компьютер антивирусным сканером. В моем случае заражение сопровождалось другим вирусом -csrcs прописывающемся в Winlogon.

8. Обязательно соберите у всех пользователей флэшки (даже под угрозой увольнения), поудалять с флешек и корневых разделов дисков autorun.inf и папку\файл RECYCLED и RECYCLER и защитите их с помощью FlashDisinfector, либо сами создайте скрипт:

Код:

md "буква флэшки:\autorun.inf"
type nul > "\\?\буква флэшки:\autorun.inf\lpt3.In Memory on Flash_Disinfector"
attrib.exe +h +r +s +a "буква флэшки:\autorun.inf"

Ставим нормальный антивирус и обновляем его регулярно(не реже каждого дня). Поставьте известный хороший антивирус (Мне известны три: Антивирус Касперского, Dr.Web, Symantec\Norton). И проведите этим самым антивирусным сканером полную проверку всех единиц компьютерной техники в сети.


Для уверенности(или если вам непонятны действия описанные выше):
Скачиваем и запускаем какуюнибудь утилиту для удаления kido (bitdefender , kidokiller). Здесь можно почитать как использовать kidokiller

А также Некоторые замечания по профилактике/лечению win32.Kido/Confickier

[GSergey]

volk1234,

А какой это - "нормальный" - антивирус? (Ваше мнение)

[volk1234]

IMHO

читать дальше »

Semantec\Norton - сервера

DrWeb - рабстанции

Почему: дрвеб - мало места занимает, не грузит комп, обновления очень маленькие и часто выходят - в отличие от некоторых других компаний.

Каспер тоже неплох - но я его неперевариваю. Смысл ставить этого тормоза...
Наоборот, на сервера DrWeb неподходит - какието глюки, и в т.ч. с AD

Только давайте не будем развивать офтопик и спорить на эту тему. Я только свое мнение сказал.

[zeroua]

volk1234, как по мне то Semantec\Norton сервер + NOD32 рабочие станции