|
Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Вопрос - Червь Conficker: Защита ОС Windows от вредоносного ПО Conficker.A и Conficker.B |
|
Вопрос - Червь Conficker: Защита ОС Windows от вредоносного ПО Conficker.A и Conficker.B
|
(*.*) Сообщения: 36491 |
Профиль | Сайт | Отправить PM | Цитировать Эта статья призвана помочь пользователям и специалистам, предоставив консолидированную информацию о черве Conficker, способах защиты и восстановления зараженных систем.
Общая информация о черве Conficker 23 октября 2008 года корпорация Microsoft выпустила обновление по информационной безопасности MS08-067, чтобы устранить уязвимость в службе сервера ОС Windows, которая на момент выпуска обновления подвергалась лишь редким узконаправленным и ограниченным атакам. Уязвимость могла позволить анонимному злоумышленнику успешно получить полный контроль над уязвимой системой через сетевую атаку. Данный вектор атак традиционно описывается как сетевой «червь». После выпуска обновления MS08-067 Центр Microsoft по защиты от вредоносного ПО (Malware Protection Center или MMPC) обнаружил два варианта червя Win32/Conficker в открытом Интернете: Читать дальше на Microsoft Technet См. также Руководство: борьба с KIDO\CONFICKER в сети (рабочая группа) (из личного опыта volk1234) |
|
------- Отправлено: 19:05, 19-02-2009 |
Старовер Сообщения: 1708
|
Профиль | Отправить PM | Цитировать прекратите флэйм плиз, ко всем относится, и к контрибуторам тоже.
Есть же тема кто каким антивирусом пользуется Вот написал на свою голову. |
------- Отправлено: 17:56, 17-06-2009 | #11 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Старовер Сообщения: 1708
|
Профиль | Отправить PM | Цитировать Чуток доработал мануал по борьбе с кидо в сети. Добавил картинок.
|
------- Отправлено: 17:07, 01-07-2009 | #12 |
Старовер Сообщения: 1708
|
Профиль | Отправить PM | Цитировать Добавил в мануал ссылку на Microsoft Baseline Security Analizer.
Добавил важное примечание по закрытии ветки svchost. |
------- Отправлено: 15:18, 17-07-2009 | #13 |
Пользователь Сообщения: 86
|
Профиль | Отправить PM | Цитировать Добрый день. Лечим сеть от kido.ih Сеть была в запущенном состоянии. В общем процесс долгий.
Действуем по алгоритму. Серваки все чистые, проверяли. Одновременно все заражённые компы от сети не отсоеденить. Приходится перебирать. 1. Отсоединяем комп от сети, 2. Ставим sp3 если он не стоял. Ребут. 3. Накатываем пакет обновлений по сегодняшний день, включающий необходимые для лечения три пресловутые заплатки. Ребут. 4. Выключаем каспера, если он стоял. 5. Запускаем утилитку КК.exe. Ребут. 6. Подрубаем комп в сеть. 7. Устанавливаем каспера, если не стоял. С удивлением на некоторых машинках через пару часиков обнаружил вот такое: Как такое может быть? Ведь патч закрывает порты, каспер стоит. P.S. Ещё пару вопросов. 1. Полностью вылеченная машинка, с SP3 и нужными обновлениями, подключается в заражённую сеть с чистым КД. Пользователь продолжает работать в программе. Серверная часть так же на чистом сервере. Что происходит? Машинка заразится? 2. Атакующие машинки - какое отличие у них, от просто заражённых? Или любая заражённая может стать атакующей? Я имею ввиду сетевые атаки. [/quote] P.S.S. Админ, разворачивающий каспера и отвечающий за информационную безопастность, в отпуске, а нам знаний чуть не хватает. Пардон. |
Отправлено: 10:11, 31-07-2009 | #14 |
Ветеран Сообщения: 611
|
Профиль | Отправить PM | Цитировать В логах каспера нужно найти информацию об атаке (там будет указан ip адресс атакующего).
Еще как вариант на Кд в логах безопасности (может быть а может и нет) отследить заблокирование учетной записи (если это массово) и выявить имя вызывающего компа (вот эти компы в первую очередь нужно лечить) а почему три я ставил 5: KB885250 KB921883 KB957097 KB958644 KB958687 |
------- Отправлено: 13:02, 31-07-2009 | #15 |
Пользователь Сообщения: 86
|
Профиль | Отправить PM | Цитировать Diesel315,
ставим вабще все обновления, просто на счёт трёх, фром каспесрки: Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001 (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его). Спасибо за советы )) |
Отправлено: 14:28, 31-07-2009 | #16 |
Старовер Сообщения: 1708
|
Профиль | Отправить PM | Цитировать gavBTR
Так вы ничего не вылечите, максимум локализуете на время проблему. Вот я на своем опыте описал: http://forum.oszone.net/post-1145010-7.html Разновидность не так важна, как общее для всех свойство внедрятся в svchost, поэтому обязательно закрывать ветку реестра, иначе будете бегать от компа к компу -без толку. Читайте мануал если останутся вопросы с удовольствием помогу... |
------- Отправлено: 17:42, 31-07-2009 | #17 |
Пользователь Сообщения: 86
|
Профиль | Отправить PM | Цитировать volk1234,
расстроил ты меня начальник, ох расстроил... почитал, возник ряд вопросов, попытаюсь сам, если что спрошу. Хочу только уточнить, инфицированные машинки, есть атакующие, есть просто содержащие заразу, почему одни атакуют, другие просто инфицированы? |
Отправлено: 23:15, 31-07-2009 | #18 |
Старовер Сообщения: 1708
|
Профиль | Отправить PM | Цитировать Они все распрастранители. Т.е. неверно выбран термин. Вирус размножается сам. Подбирает простейшие пароли к админке.
Если например какой то критерий его не устроил - закрыта дыра обновлением, не запущен планировщик заданий, пользователь не имеет прав админа (точно я не зню критериев) вирус не лезит на этот комп. Но распрастраняется пулей- только успел поставить винду, подрубил к сети перезагрузил - уже залез и залочил доступ к сайту drweb , поэтому я и обнаружил его ЗЫ. Мануал написан моим потом. (к счастью без крови обошлось, просто с 8 до 20.00 2 недели на работе) Поэтому учитесь на моих ошибках, а не на своих. Я тоже сначала несерьезно отнесся к этому вирусу... |
------- Отправлено: 20:26, 01-08-2009 | #19 |
Старовер Сообщения: 1708
|
Профиль | Отправить PM | Цитировать Добавил в мануал описание как найти удалить dll-файл вируса.
Добавил имя еще одной папки которую надо удалить с флэшек пользователей. Добавил в пример скрипта запуск установки заплатки WindowsXP-KB967715-x86-RUS.exe |
------- Последний раз редактировалось volk1234, 02-08-2009 в 12:05. Отправлено: 00:25, 02-08-2009 | #20 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Доступ - Помогите восстановить систему после вируса(Conficker.B Kido.ep) | mishanya85 | Microsoft Windows 2000/XP | 8 | 25-07-2010 01:41 | |
[решено] вирус Win32/Conficker.Gen | sure777 | Лечение систем от вредоносных программ | 3 | 09-10-2009 12:49 | |
[решено] Win32/Conficker.AA | lynxxx | Лечение систем от вредоносных программ | 13 | 27-05-2009 08:10 | |
Worm:Win32/Conficker (II) | inf-45 | Лечение систем от вредоносных программ | 2 | 10-03-2009 08:35 | |
Подозрение на червь | Сет | Программное обеспечение Windows | 7 | 26-10-2007 17:43 |
|