Вирусы
- Автор темы Marinka
- Дата начала
Touareg
to kalon epieikes
На здоровье.
Лишь бы помогло, зараза изворотливая и охотно мутирует.
Заплатка MS08-067 закрывает только один из путей распространения, вобщем то этот вирус демонстрирует фактическое бессилие всех ведущих производителей антивирусов, имеет смысл мониторить активность на 445 порту, проверить список назначенных заданий в таск шедулере (а если есть возможность вообще его отключить), осматривать папку windows\system на предмет наличия подозрительных файлов размером около 160kb и поменять пароли на админских учетках на устойчивые к перебору тоже не помешает.
По некоторым сведениям все существующие утилиты от симантек, касперского, микрософт, др.веб и системные заплатки только блокируют дальнейшее распространение kido (он же conficker, он же downadup), надежного механизма автоматического лечения мне не известно.
Cosinus
Новичок
был был приятно удивлен данным вирусом... машину вылечили удалили левые dll из систем32 вычистили всю гадость но удалить сервис не получается ) даже из командной строки пишет что сервис заблокирован
но ведь мы все такие умные и знаем что сервисы содержатся в реестре <_<
загружаемся с ERD лезем в реестр находим каку и пытаемся килл ее... но не тут то было :huh: - заблокировано :huh: остальные ключи удаляются нормально оО
неужели даже спомошью сторонней системы (а в данном случае на ядре Linux) не удается удалить ключ из реестра?
хорошая зараза )
но скажу вот что после всех проведенных операций вируса не обнаружено... в сервисах просто висит незапускаемая служба... тк отсутсвуют файлы но система после лечения уже совсем совсем не стабильна
->выход пока тока один копируем тока нужные документы... базы и прочее и килл систему (данная операция занимает порядка 2 - 3 часов вместе с резервированием данных - в зависимости от объема время может меняться)
но ведь мы все такие умные и знаем что сервисы содержатся в реестре <_<
загружаемся с ERD лезем в реестр находим каку и пытаемся килл ее... но не тут то было :huh: - заблокировано :huh: остальные ключи удаляются нормально оО
неужели даже спомошью сторонней системы (а в данном случае на ядре Linux) не удается удалить ключ из реестра?
хорошая зараза )но скажу вот что после всех проведенных операций вируса не обнаружено... в сервисах просто висит незапускаемая служба... тк отсутсвуют файлы но система после лечения уже совсем совсем не стабильна
->выход пока тока один копируем тока нужные документы... базы и прочее и килл систему (данная операция занимает порядка 2 - 3 часов вместе с резервированием данных - в зависимости от объема время может меняться)
AlexXx
Местный
http://forum.ru-board.com/topic.cgi?forum=...69&start=20
хорошая статья по удалению
хорошая статья по удалению
Touareg
to kalon epieikes
Cosinus
Новичок
ну уже поздно, машина вылечена и отправлена куда надо...
а вообще просто было интересно то что для сторонней системы запрет...
amk
Новичок
KidoKiller очень успешно с этой заразой борется - я вручную выводил заразу, намного больше времени тратил, а результат одинаков.
PS: Автор вируса видимо не стал другие пакости устраивать, так по мелочи, за это ему большое человеческое спасибо.
Рано спасибо говорите
1 апреля ещё не наступило.
http://www.vega-int.ru:8080/phorum/index.p...t&p=1057094
Touareg
to kalon epieikes
Дауж, сетку шатнуло непадецки и до сих пор местами лихорадит.
amk
Новичок
Дауж, сетку шатнуло непадецки и до сих пор местами лихорадит.
Ну шатнуло и шатнуло - ну десяток компьютеров всего заболело,
а народ жалуется - под 2000 легло - вот это проблема, видимо поздно заметили.
В данном случае сетку шатает то, что если есть хотя бы один больной клиентский компьютер, то вирь
устраивает блокировку учётных записей на контроллере домена и народ залогинится не может,
сам видел как за какие-то полчаса более 400 account-ов заблокировалось. Главное не дать
этомы вирю на контроллер домена просочиться. А больных от сети отключать и лечить автономно.
А если на контроллере домена поставить какой нибудь наблюдатель за сетевыми пакетами -
COMMVIEW или IRIS - то значение MAC адреса этого больного очень быстро находится.
Ну а далее уже всё просто.
(Почему-то для атаки сетевой этот вирь контроллер домена предпочитает.)
Touareg
to kalon epieikes
Против таких автоматических атак с перебором паролей админских учетных записей полезно переименование встроенной учетки administrator и создание пользователя administrator с правами юзера, вряд ли sid спрашивает).
Ну и устойчивый к перебору пароль, своевременное обновление системы и антивируса, и исходное состояние лог оф само собой.
Запрет на блокировку учетных записей действенно, но как то экстремально).
Ну и устойчивый к перебору пароль, своевременное обновление системы и антивируса, и исходное состояние лог оф само собой.
Запрет на блокировку учетных записей действенно, но как то экстремально).
~SToNeWinD~
Новичок
я че тут экстримального?!
есть ж администратор!вот если администратора,то да....
есть ж администратор!вот если администратора,то да....
Steeply
Skynet
Берешь Администратора и переименовываешь его в Васю Пупкина.
Уже как ни какая а минимальная защита достигнута.
amk
Новичок
В том то и дело, что Администраторов уже не один а более 5, и имена их совсем на прототип не похожи.
Просто в домене достаточно просто узнать имена пользователей, особенно активных в данный момент.
Замечено, что KIDO в домене никогда не блокирует записи "локальных" пользователей (на контроллере домена),
что в моём случае просто счастье - хоть как-то можно в систему войти и не ждать 30 минут.
Иполит
Новичок
+1, надо просто Linux ставить