Вирусная эпидемия: в домене блокируются учетные записи пользователей.

73 thoughts on “Вирусная эпидемия: в домене блокируются учетные записи пользователей.”

  1. Обязательно отключите службу Автозапуска в пределах сети!!!

  2. Здравствуйте! У меня Касперский выявил 6 вирусов типа Net-Worm.32.Kido.hf , при этом говорит, что удалить не может, так как файлы не найдены. Я жесткий чайник, в компьютерах не разбираюсь, обратиться не к кому. Не могли бы вы мне составить полную инструкцию по удалению этого вируса. Помогите, пожалуйста!!!!Почему Касперский не может их обезвредить?

  3. Это их решение :) Может быть я его конечно и просмотрел, но вчера облазил сайт Касперского и не нашел именно рекомендаций по удалению. То, что он его видит — это было ясно и раньше, но видя, не удалял. Вот в чем проблема.
    И опять же реакция «ответчиков» на форуме неоднозначная, согласитесь? В приведенной мной ветке, есть рекомендации по установке критического обновления, вышедшего еще в октябре. А вот рекомендаций по удалению вируса из системы либо ссылок на описание его нет…
    Юля, перейдите по первой из ссылок предыдущего комментария, там есть достаточно подробные инструкции по удалению именно средствами антивируса Касперского. А вот и утилита удаления от Касперского.
    Имя, каюсь, видимо и правда прощелкал… Но парни с форума могли бы быть поточнее…

  4. Уязвимость, эксплуатируемая этим червём (и другими эксплоитами) опубликована 22 октября 2008г., Майкрософт выпустил патчи для всех уязвимых ОС 23 октября. Почти 3 месяца было у админов, чтобы их расставить, и надо же — беда обрушилась внезапно! ;)

    Ну и не запретить авторан с removable devices в наше время… МОЛОДЦЫ!

  5. Согласен на все сто процентов! Мало того, у нас в корпоративной сети как раз все хорошо. А у клиента, ОЧЕНЬ крупного предприятия, где существует целый отдел информационной безопасности, просто полный обвал произошел. И я, выполняющий у них роль внешнего консультанта по AD и Exchange, писал им письма, что это за гадость, как выглядит, как защититься и как вылечиться. И никаких рекомендаций по комплексу мер при возникновении инцидентов безопасности даже слушать не захотели, ни о каком изолировании зараженных машин «не могло быть и речи», и теперь сеть с огромным числом филиалов просто лежит. А все дело — в грамотном использовании WSUS. IMHO, конечно :)

  6. WSUS, регулярное обновление антивируса и, прежде всего, разумная политика ИБ побеждают всё! ;)

  7. От 23 октября патч? А я то начал паниковать, запускать вручную автопадейт на серверах… Да и SMB в интернет прикрыт. Теперь я спокоен.

  8. Вот, на мой взгляд, лишний довод в пользу с таким нетерпением ожидаемого Stirling. Как говорит Артем, а он в нем уже большой дока, он даже без наличия описания перекрыл бы аномальную активность средствами NAP.
    И второй вывод, который я сделал для себя — эпоха одноядерных антивирусов подходит к концу.

  9. Закрытие SMB из Интернета не спасёт. Основной способ распространения вируса в нынешних условиях — через флэшки.

    Я бы не стал так уж уповать на NAP — я знакомился с реализацией NAP на Windows Server 2008 и с Cisco NAC. И то, и другое требует очень больших усилий при администрировании, специфической сетевой инфраструктуры и даёт неочевидный выхлоп.
    У себя на предприятии мы решили отложить внедрение этого решения на неопределённый срок, хотя 802.1х работает давно.

    Уж поверьте мне на слово, в этом списке ориентируюсь довольно хорошо ;)

  10. Да я собственно никого учить и не пытаюсь :) Сам учусь. Но судя по статистике людям это помогло. Я тут еще новость обнаружил:
    В настоящий момент, компания Microsoft выпустила обновление для своих утилит Malicious Software Removal Tool и Definition Update for Windows Defender, в которую добавили описание вируса Conficker.B (по классификации Computer Associates) или WORM_DOWNAD.AD (по классификации Trend). Рекомендуется срочно установить данное обновление на все рабочие станции и серверы в сети.
    Установка возможна средствами WSUS, либо альтернативными способами, например описанным в статье Microsoft.
    Я установил данное обновление на два сервера, после чего, запущенный инструмент для удаления данного вируса от Лаборатории Касперского ничего подозрительного не нашел.
    В первую очередь рекомендуется обновить серверы корневой инфраструктуры (контроллеры домена, почтовые серверы)
    Так же не забудьте об обновлении KB958644, которое закрывает критическую уязвимость и предотвращает повторное заражение.

  11. У меня сервер (windows server 2003 enterprise edition sp1) контроллер домена.
    Лечил его всеми выше указанными способами, заплатка KB958644 так и не устанавливается (setup could not verify the integrity of the file update.inf Make sure the cryptographic service is running on this computer). В System Logs по-прежнему большое количества событий SAM, а в Security Logs много событий с Event ID 565, учетные записи хаотично, то блокируются, то работают как положено.
    Я уже не знаю куда смотреть, где искать проблемы. Направьте пожалуйста на путь истинный, а то совсем плохо.

  12. Vladimir, каждый случай конечно же уникален. Давайте попробуем разобраться в проблеме. Вышлите мне по адресу krylov@webzavod.ru следующую информацию:
    1. Полный вывод команды netdiag -v (файл лога после выполнения будет находиться в каталоге запуска, обычно С:\Documents and Settings\, под именем Netdiag.txt)
    2. Полный вывод команды netstat -b
    3. Список запущенных сервисов, отсортировав их по типу запуска, меня интересует тип Automatic (все сервисы с типом Automatic, необходим их статус.)
    4. Запускали ли Вы последнюю версию MSRT (Malicious Software Removal Tool)? Запуска, как такового не требуется, нужно установить утилиту в виде обновления и перезагрузить сервер
    5. Нак клиентские компьютеры были ли установлены обновления KB958644 и последняя версия MSRT или Windows Defender?
    6. Скачайте утилиту Касперского и запустите ее без ключей, покажите вывод.
    Думаю должно хватить… Можете также переслать Security, System и Application логи, экспортировав их в формате .evt

  13. 1) Данный вирус запускается оригинальным SVCHOST.EXE с параметром заражённой библиотеки (random_name).dll (размер зависит от штамма), лежащей в SYSTEM32 (атрибут библиотеки установлен в «скрытый» или «системный»). Необходимо проверить права доступа для этой библиотеки. Как правило, кроме системы, никому доступ не разрешён. После переустановки прав (напр., Администраторы=полный доступ), можно убить его UNLOCKERом.
    2) В реестре найти запись о запускаемом вирусном сервисе. Необходимо искать абсолютно пустой (без параметров и подключей) ключ в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services (например HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dpiixcu), и также переустановить права доступа для ветки. Тогда (после обновления содержимого по F5) появится вся инфа, в т.ч. в подветке PARAMETERS ключ ServiceDll с именем и путём к вирусной библиотеке.
    3) В файловом менеджере (не ПРОВОДНИК !!!) необходимо также проверить подпапки в «Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5», где вирус под видом кешированных фалов прячет свои копии.

  14. DIMON, слишком много телодвижений. В относительно живой системе MSRT убивает его мгновенно. А вообще он много чего еще генерит, например HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\»[RANDOM NAME]» или HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\»TcpNumConnections» = «00FFFFFE»
    Прячет он себя вот таким вот способом:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\»CheckedValue» = «0», и что самое обидное, модифицирует несколько API в памяти, в частности:
    DNS_Query_A
    DNS_Query_UTF8
    DNS_Query_W
    Query_Main
    sendto
    Все эти его выкрутасы пытаться устранять руками — занятие на любителя…

  15. Очень сильно пострадали мои сервера от этого вируса. Много сервисов постродало. AD поднялся, пользователи почти довольны, сейчас пытаюсь DNS поднять, GP тоже в отключке.
    Атаки до сих пор продолжаются.
    Но я поставил McAfee и к моему удивлению он какраз блокирует SVCHOST.EXE с параметром заражённой библиотеки: Blocked by Buffer Overflow Protection C:\WINDOWS\System32\svchost.exe!*::KERNEL32.LoadLibraryA = *.

  16. и еще: KB958644 на сервера 2003 так и не ставится, а на пользовательские ХР ставиться только после проверки MSRT и только в безопасном режиме. Может есть какие-то не стандартные способы всетаки поставить это обновление?

  17. Vladimir, конечно есть — ставить обновления регулярно. Сбои операционной системы, приводящие практически к полной ее неработоспособности, не возникают сразу. Это казус. Сначала в системе накапливаются ошибки, сбои, потом происходит глобальный сбой. Я бы на Вашем месте проверил системы несколькими разными антивирусами перед началом установки. Возможно, имеет смысл проверить при помощи, например Dr.Web, запущенного с Live CD, т.е. когда все системные библиотеки разблокированы.
    P.S. Т.к. логов от Вас я так и не увидел, очень трудно оценить всю картину в целом, по отрывочным событиям.

  18. 1 | Олег Крылов
    Январь 14th, 2009 at 16:19

    Обязательно отключите службу Автозапуска в пределах сети!!!

    Что это значит? Я посмотрел службы в настройке системы…нет такой.

  19. Смотря где искать. Обычно это делается в групповых политиках.
    Сделать это можно при помощи подраздела Административные шаблоны > Компоненты Windows > Политики автозапуска разделов Конфигурация компьютера и Конфигурация пользователя оснастки Редактор объектов групповой политики (консоль gpedit.msc). Политики этих подразделов представлены ниже.

    1.)Вариант работы автозапуска по умолчанию. Данная групповая политика позволяет определить, будет ли операционной системе разрешено обрабатывать содержимое файла autorun.inf. С ее помощью изменяется значение параметра REG_DWORD типа NoAutorun, расположенного в ветви реестра SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer.
    2.)Отключить автозапуск. Данная групповая политика позволяет полностью отключить механизм автозапуска для любого типа носителя. Она изменяет значение параметра REG_DWORD типа NoDriveTypeAutoRun, расположенного в ветви реестра SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer.
    3.)Не устанавливать флажок «Всегда выполнять выбранное действие». Позволяет запретить отображение флажка Всегда выполнять для в диалоге Автозапуск. Эта групповая политика изменяет значение параметра REG_DWORD типа DontSetAutoplayCheckbox, расположенного в ветви реестра SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer.

    На домашних компьютерах, особенно все варианты Home Edition, решают эту проблему правкой реестра:
    1) Пуск -> выполнить -> regedit
    2) открыть ветку HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
    3) Создать новый раздел
    4) Переименовать созданный раздел в Explorer
    5) В этом разделе создать ключ NoDriveTypeAutoRun

    Допустимые значения ключа:
    0x1 — отключить автозапуск на приводах неизвестных типов
    0x4 — отключить автозапуск сьемных устройств
    0x8 — отключить автозапуск НЕсьемных устройств
    0x10 — отключить автозапуск сетевых дисков
    0x20 — отключить автозапуск CD-приводов
    0x40 — отключить автозапуск RAM-дисков
    0x80 — отключить автозапуск на приводах неизвестных типов
    0xFF — отключить автозапуск вообще всех дисков.

    Значения могут комбинироваться суммированием их числовых значений.

    Значения по умолчанию:
    0x95 — Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков)
    0x91 — Windows XP (отключен автозапуск сетевых и неизвестных дисков)
    Комментарий: в XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому выше описан процесс его создания. Для остальных версий создавать не надо, он уже есть, просто исправьте его.

  20. После заражения серверов, установка заплаток KB958644, прогон Malicious Software Removal Tool, удаление Запланированных заданий вида at1.job, at2.job, запускающих «runddl32.exe -параметры», всё ещё мониториться вирусная активность. Пропатченный и проверенный сервер лезет определять IP 67.215.65.132(opendns.com). Решено изолировать и перезалить сервера из образов, с установкой обновлений KB958644 перед тем, как выпустить в интернет или локальную сеть.

    Дополнение/исправление к 22-му посту:

    Кнопка Пуск — Выполнить: gpedit.msc
    Открыть плюсики: Конфигурация пользователя — Административные шаблоны
    Выделить папку Система (а не «Компоненты Windows»)
    С правой стороны отыскать строчку — Отключить автозапуск
    Два левых щелчка по этой строчке — выбрать пункт Включен
    Вместо «CD-Rom» выбрать «Все диски»

  21. Eugene, спасибо за дельное замечание. А по поводу проблемы, Вы уверены, что кроме этого вируса нет других зверей?

  22. у меня что-то похожее, и посему вопрос:
    этот зверь он сидит на серваке или может с локальной машины долбится на сервер?

  23. Возможны оба варианта. Если сервер не имеет соответствующей заплатки, то может быть и на сервере. Но подборо паролей может идти и с клиентской машины. Нужно проверять, одним словом.

  24. Даже удалив вирус, не получается установить патчи на контроллер домена :( Пишет, что нет прав на обновление Windows 2003 Server. Похоже в реестре ключи вирус подправил, даже с правами админа не дает. Кто-нибудь знает где крутить? Спасибо.

  25. Попробуйте через RunAs, явно указав учетные данные администратора.

  26. ДА сколько раз говорили уже, что MS-RPC дыряв? В сетях на базе Windows нужно строго ограничивать различный трафик…

  27. To 29 | Олег Крылов

    через Run As тоже не устанавливается

  28. 2 Олег Крылов:
    > Обязательно отключите службу Автозапуска в пределах сети!!!
    Чушь собачья, обновлять нужно просто и систему и антивирус, а такие советы это как бабкино лекарство ;)

  29. Чушь-не чушь, но тем кто пренебрег этими двумя простыми правилами отключение автозапуска может помочь. Причем первое описание вируса появилось два дня спустя после начала эпидемии. Так что антивирус курит :)

  30. > Причем первое описание вируса появилось два дня спустя после начала эпидемии.
    А обновление устраняющее уязвимость появилось ещё в ноябре :D

  31. В октябре. Если быть точнее :) А совсем точно 23 октября 2008 года.

  32. А есть ли средства для определения «активной» машинки в сети? Скажем, которая стучится к АД подбирая пароли.

  33. Средства с использованием «одного нажатия» я не встречал. Сам использовал анализ Security Logs контроллера, обычно там указан IP-adress либо NetBIOS-имя атакующего компьютера. Фильтр логов по событию —> Экспорт в Excel —> 10 минут работы в Excel —> у меня на руках список зараженных хостов.
    Вот Вам пример события:
    Event Type: Failure Audit
    Event Source: Security
    Event Category: Account Logon
    Event ID: 672
    Date: 14.01.2009
    Time: 13:33:57
    User: NT AUTHORITY\SYSTEM
    Computer: DC3
    Description:
    Authentication Ticket Request:
    User Name: Администратор
    Supplied Realm Name: COMPANY.COM User ID: —
    Service Name: krbtgt/COMPANY.COM
    Ticket Options: 0×40810010
    Result Code: 0×6
    Client Address: 10.73.16.110 — адрес атакующего клиента.

  34. To Albina: Sorry! Совсем забегался… Не могли бы Вы показать часть лога установки обновлений, расположенного по адресу: %WinDir%\WindowsUpdate.log
    Лучше вышлите его по адресу: krylovATwebzavodDOTru(don’t spam)

  35. TO Олег Крылов: у меня все события в разделе «Безопасность» имеют тип «Аудит успехов» … пр чем отображаются ВСЕ записи, ничего не фильтруется … то бишь нет ни одного неуспешного подключения … загадка.

  36. Net-Worm.Win32.Kido.da заразил сетку 64 компа с серваком AD. После 2 недельного буйства по удалению тела с компов отключению сетки и не спящих ночей на работе тело удалилю Прочитал кучу форумов, был в шоке. Использовал и заплатки и антивири каспера и симантека. Короче ща блокируется самопроизвольно учетки пользователей в AD. Помогите люди добрые снять эту долбаную блокировку. :)

  37. Всем в Group Policy :)
    To Pavel: В Domain Controller Security Policy в Audit Policy проверьте, что для Security Log разрешена запись событий Logon Failure. Если разрешена, то посмотрите при помощи netstat-b с какой машины больше всех коннектов на 445 порт.
    To Alex: В Domain Security Policy в разделе Account Lockout Policy смените значение Account Lockout Treshold на 0. В этом случае Вы снимите блокировку учетных записей. Но это ОБХОДНОЕ РЕШЕНИЕ, позволяющее сохранить работоспособность системы на время решения проблемы. Проверьте Security Log на наличие событий об отказах авторизации, и посмотрите с каких клиентов осуществляются попытки авторизации. И займитесь их здоровьем. По окончании лечения, смените значение Account Lockout Treshold на любое приемлемое.

  38. В статье от DR.WEB по этому вирусу указано, что для закрытия уязвимости надо установить 3 патча от Микрософт

    • Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
    1. MS08-067 ;
    2. MS08-068;
    3. MS09-001.

  39. Eugene, thanx! :)
    Вот чем радует Dr.Web, это тем, что его сканирующий движок находит заразу, пусть даже неправильно классифицируя. У меня в первый же день, 11.01.09 нашел заразу, которую классифицировал, как Sector5. (который и оказался в итоге Conficker’ом) Это старый вирус и имеет совершенно другой механизм. Но тот-же Trend — просто ничего не видел, а тут хоть намек на причину такой активности.
    А вот чем Доктор расстраивает — никаких сравнений. Только собственная классификация… Жаль. Многие люди могут искать решение, используя классификаторы других компаний, но на сайт Dr.Web не попадут, к сожалению.
    Да и поздновато. 16 числа…

  40. жаль ветка обсуждения остановилась, ибо вирус живет и процветает. Облазив кучу форумов понял, что тотже кидокиллер подходит для разновидности Kido.bm например, но под Kido.ih оказался совершенно беспомощным. симантиковский инструмет что-то удалил из реестра, CureIt от веба удалил автораны и .vmx, на которых касперский плакался об отсутствии прав (после это каспер начал отлавливать создаваемые вновь файлы). В реестре, после ручной чистки, записей заново не появляется (по крайней мере в тех ветках, куда отправляют статьи касперского, майкрософта и т.д.).

    Но с час назад касперский, который исправно удалял еще не заблокированные вирусные .dll начал присылать письма о заражении такого вида:

    «Событие Лечение невозможно произошло на компьютере WS-USER в домене DOMAIN в Wed Feb 04 11:46:53 2009
    Файл C:\WINDOWS\System32\lfqnax.fdy не вылечен: неизлечим.»

    т.е. теперь рандомными стали не только имена файлов, но и их расширение…

    p.s. если пост покажется несколько сумбурным, приношу свои извинения, ибо уже 5-й день без выходных пытаюсь избавить родное предприятие от заразы и голова уже не очень в свежем состоянии

    да и еще.
    «В Domain Security Policy в разделе Account Lockout Policy смените значение Account Lockout Treshold на 0»
    сменил. учетки продолжают блокироваться

  41. т.е. искать решение надо уже по худшему варианту:
    1) сеть УЖЕ заражена
    2) контроллеры домена и пр. сервера в том числе
    3) какимто образом вирус подобрал таки пароль к админовскому аккаунту и теперь заплатки от майкрософта помочь не могут ибо вирус ходит по сети вполне легальным методом, а не пытаясь (или видимо точнее «не только пытаясь») вломиться по 445 и другим портам

  42. Алексей, тема не совсем уж чтобы закрыта. Просто время — страшный дефицит. MSRT пытались использовать?
    По поводу политики: попробуйте поменять тот же параметр в Default Domain и Domain Controller Policy. Проверьте логи на предмет проблем применения политик.
    Если вопрос совсем плачевный — пишите в почту. Адрес есть выше в комментариях.

  43. Олег, за политики спасибо, действительно помогло
    Я выслал Вам файл, который нашел у себя на машине. Есть подозрение, что это вирус. Подробнее в теле письма
    ПОЖАЛУЙСТА, если сможете — помогите понять что именно данный файл делает. Жду ответа с нетерпением

    з.ы. это был bat-file, так что если сами не запустите работать не будет :)

  44. Не понимаю, в ходе какого процесса, на каком этапе распостранения происходит перебер к учетной записи, соответсвенно блокировка, если настроена политика ?

  45. Точнее, от куда он берет учетные записи к которым перебирает пороли ? Блокируются учетные записи пользователей, проверяешь с какого айпи, идешь на этот айпи там нету профиля залоченного пользователя… и не было там ни когда поскольку машина находиться в другом городе ?

  46. Ужас!Меня так задолбали эти вирусы и шпионки.
    Буду внимательнее.

  47. Огромную благодарность выражаю Олегу Крылову. Прочитал ваши коменты и получилось найти машины на которых был этот вирь, теперь в АД учетки не лочаться. Огромное вам спасибо, побольше бы таких людей :) Емайл вымышленный :_)

  48. Следует так же отметить , что вирус изменяет настройки TCP-IP — прописывает свои DNS — 208.67.220.220 и 208.67.222.222

  49. Олег обращаюсь к вам за помощью, в конторе где я работаю есть 3 сервера (AD, Exchange, Fileserver) и 45 рабочих станций. Все серверы и РС заражены этим вирусам, в домене заблокированы все учетные записи. Поставил обновление (KB958644) на все машины и утилитку от Symantec, ничего не помогает. Пожалуйста объясните по шагов о что надо делать.

    Заранее вам спасибо!

    С уважением, Asylan

  50. Уже неделю вычищаем с серверов Conficker — ни пять заплаток от Микрософт (MS06-040(KB921883), MS08-067(KB958644), MS08-068(KB957097), MS09-001(KB958687), установлена даже MS08-078(KB960714) для IE), ни регулярные проверки всем чем только можно — утилитой касперского KIDO.Killer(KasLAB), KLWK_v12.0.0.20 (наследница CLRAV) тоже частично Касперский, ни BitDefender Removal Tool_v1.22 (вообще ничего не видит), ни Symantec FixDownadup_v1.0.7 (сначала фиксил, сейчас у него все ок при зараженной машине), ни майкрософтовский хваленый Malicious Removal Tool (ака KB890830)_v2.7 (хотя при явных признаках, описанных в комментах выше, лечит) — все бесполезно.
    Полное сканирование на серверах всех дисков этими утилитами уже делал, да не один раз, сами утилиты запускаю чуть ли не каждый час.
    CureIT от DrWEb особо Confickerэом тоже не занимается (ну как NOD — увидит готовый кусок в System32 — вот кричит тогда), однако ж находит другие трояны, которые были пропущены и последним касперским, и распоследним NOD.
    Учетки вроде уже не блокируются, сайты доступны, реестр чист (в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services), явных файлов нет, темпы очищены, диски просканированы.
    И все равно — регулярно NOD кричит «Засек файл dgfyrt-хрень-всякая в System32 — удален!», и регулярно же появляются новые задачи в Планировщике от пользователя System.
    Так что меняйте-не меняйте пароли, а друган Conficker преспокойно уже запускается от имени самой системы.
    Самое неприятное у нас — остановка системных служб (Server, Обозреватель компьютеров) и блокировка NOD’ом (или системой?) всякой сетевой активности (вплоть до лечения перезагрузкой) при алерте «А вас в System32 Conficker! Успешно удален!». Хвост-то очередной удалила, а сервер уже для пользователей недоступен — ни рпинтеры, ни шаринги, ни всякая другая сетевая деятельность.
    Вообще вирус удачный — ощущение, что Микрософт к нему руку сама приложила.
    Играться играется, гадости мелкие пакости делает, но зато как виртуозно…
    И что делать еще — непонятно, ни одна утилита, якобы призванная бороться, не помогает окончательно победить.
    На пользовательских ПК вообще тихий ужас — вычищенные и пропатченные Windows заражаются тут же, не успеешь отойти, все тормозит, инет не работает, принтера по полчаса выводят странички и т.д.

  51. З.Ы.
    ТАк что боюсь, все «технические описания» от Симантек-Касперского-Доктора имеют ценность только при первом обнаружении вируса — а иначе утилиты вычищали бы все остатки.

  52. P.P.S.
    Развлекаюсь, читая сводку с фронтов:
    28.11.2008
    Microsoft предупреждает о появлении новых вирусов для недавно пропатченной уязвимости

    15.01.2009
    PandaLabs обнаружила новое семейство червей Conficker

    19.01.2009
    Червь Conflicker/Downadup заразил почти девять миллионов компьютеров (рекомендации по удалению)
    Компания F-Secure опубликовала в своем блоге новые данные

    27.01.2009
    Темпы распространения червя Conficker снизились

    06.02.2009
    Крупнейший российский поставщик электроэнергии ОАО «РусГидро» отрапортовал о полной и безоговорочной победе над вирусом

    11.02.2009
    Французский флот стал жертвой сетевого червя Conficker

    13.02.2009
    Проблемы в связи с распространением червя Conficker стали настолько серьезными, что в корпорации Microsoft приняли решение о назначении награды в 250 000 долларов. Кроме этого, Microsoft пытается остановить размножение этого червя, который, как принято считать, ответственен за развертывание самого большого из когда-либо существовавших ботнетов.

    _______________________________________________
    Так что не стесняйтесь, рапортуйте о победе — не вы один такой :)))

  53. По поводу паролей — наши пароли вообще не несли никакой смысловой нагрузки (окромя того что были просто паролями :)), и уж тем более не попадали в список подбираемых паролей, предложенный Symantec. Однако ж результат взлома есть. Если он напрямую ломает базу SAM — так смена паролей тоже ничего не даст. И потом, зачем ему администратор, если он свои процессы запускает как System? Нее, ребята однозначно не называли друг друга «кулцхакерами» и не гонялись за новыми версиями «конструкторов троянов» из инета. И что-то сдается мне, автор не один человек, а «инициативная группа товарищей».
    И я, в свою очередь, все-таки склоняюсь к мнению, что Conficker просто зашел не через наглухо закрытую дверь (прямой взом или подбор ключа), не через зарешеченное окно (где-то что-то подглядел), а через открытую и даже не задымленную дымовую трубу — руки просто у Майкрософт туда не дотянулись (времени видать не было) решетку поставить.
    А ведь есть еще вход в погреб, окна в подвал, скрытые проходы между стенами и уйма неизвестных тайных подземных ходов… :D

  54. Привет всем! Прошу прощения, трудности со временем.
    Вирус уже модифицировался, и не раз. Поэтому ловить его получается все реже. Сегодняшний вечер посвящу разбирательствам с ним. И обязательно отпишусь по результатам. Буду очень благодарен за любые сведения, как то логи систем, подозрительные файлы (строго в RAR-архивах!!!), выгрузки реестра. Присылайте в почту: krylovATwebzavodDOTru. (AT=@, DOT=».»).

  55. По поводу методов входа и авторов:
    — Вход либо через уязвимость в SMB, при распространении по сети, либо прямой запуск со съемных носителей. Эпидемия разразилась сразу после Новогодних праздников, когда народ поволок на работу флешки с фоторепортажами с гуляний.
    — Авторы — есть мнение, правда не проверял, что это группа украинских товарищей. Ходят слухи, что Conficker не стартует на машинах с украинской локалью, но опять же это не проверено. Кто бы это ни был, похоже на подготовку плацдарма к DDoS-атакам.

  56. Сообщение 37
    [q]Фильтр логов по событию –> Экспорт в Excel –> 10 минут работы в Excel –> у меня на руках список зараженных хостов.[/q]
    Вы прежде чем Excel советовать узнали бы любимые ограничения MS. На странице — не более 65500 строк.
    Может просто не влезьть.
    Да и событий в логах может не быть — за все время у нас ни одной попытки подбора к базе SAM или Event Type: Failure Audit на контроллере домена.

  57. Ну а кто Вам запрещает задать временной интервал? Что ограничит объем. К процессу нужно подходить творчески :)
    А в Domain Controller Policy Failure Audit включен?

  58. Да, согласен, аудит отказа был отключен.
    Но доступ к SAM фиксируется — нарушений не было.

  59. Ирония судьбы — установил последние апдейты, после перезагрузки НАЧАЛОСЬ… К счастью нашол этот пост:)
    Олегу спасибо, на Озоне не раз меня спасал, вот и тут сегодня…:)
    надеюсь, поможет

  60. Я прибыл в этот топик дабы помочь вам. Конфикер обновился. БитДиффендер выпустила «первую утилиту, предназначенную для полного удаления из заражённой системы червя Conficker» Ссылка: http://www.downadup.org/

  61. Добавил в свои закладки. Теперь буду вас намного почаще читать!

  62. Классная статья, кстати автору хочу предложить установить от яндекс.денег фишку на сайт “Дай рубль”. Я бы дал, так сказать на поддержание.

  63. Спасибо за статью.. Актуально мне сейчас.. Взяла себе еще перечитать.

  64. Предлагаю рассылку рекламы:
    -на форумы 15$ на 30000 форумов
    -на доски 6$ на 10000
    -регистрация в каталогах 6$ на 6000
    E-mail: nov98@mail.ru
    Базы свежие, использую лицензионную программу с распознованием капчи.

  65. Предлагаю рассылку рекламы:
    -на форумы 20$ на 30000 форумов
    -на доски 6$ на 10000 досок
    -регистрация в каталогах 6$ на 6000 каталогов
    -ручная регистрация влюбых ресурсах 0.2$ за регистрацию
    -за 50$ 1000 уникальных посетителей
    -делаю сайты от 30$ баннеры от 10$
    E-mail: rot789@mail.ru
    Базы свежие, использую лицензионную программу с распознованием капчи.

  66. Делаю сайты как простые так и сложные. Простые от 30$ около 100 готовых шаблонов.
    Сложные от 100$ около 100 готовых шаблонов. На сайт могу поставить аудио,видео,флеш,форму обратной связи,
    фотогалерею,слайд шоу, регистрацию,подписку на новости,поисковик,форум,гостевую,каталог ссылок,
    доску объявлений, и др.Также делаю баннеры,есть около 40 готовых и под заказ, готовые 10$ под заказ 25$.
    Раскручиваю сайты рассылкой рекламы на доски 7$-9000, каталоги 7$-6000, форумы 20$-31000, есть ручная рассылка 0.2$ за регистрацию.
    Есть вариант комплексной раскрутки — рассылка на общетематические ресурсы + сбор баз тематических ресурсов и рассылка по ним
    +система пирамидой раскрутки 1000$ все последующие рассылки по всем базам 100$ или на абонплате 200$ в месяц.
    Также предлагаю раскрутку под конкретное число посетителей 100$ за 1000 уникальных посетителей (не накрутка)
    .Делаю сбор баз любых ресурсов под заказ. hot476@mail.ru

  67. — изготовление баннеров от 10$ сайты от 30$
    — рассылка рекламных сообщеий на 30000 форумов — 20$
    — на 10000 досок — 7$
    — в 6000 каталогов — 7$
    -рассылка на тематические сайты (каталоги,форумы и др.) — сбор базы
    + рассылка 60$. Следующие рассылки 10-20$.Собраные базы отдам Вам.
    -рассылка рекламы в ручную на любые ресурсы интернета 0.2$ за каждую регистрацию (не меньше 200 регистраций)
    -комплексная раскрутка сайтов 1000$ разовая + 200$ в месяц за рассылки или по договорености.
    -Рассылка на E-mail (только по Вашим базам подписчиков) 20$ на 150000 адресов. Можно на меньшие объемы но не меньше 10$
    -сбор баз любых ресурсов под заказ
    -поиск информации в интернете 10$
    E-mail:roma494@mail.ru

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s