Вирусы, мать их...

[Hamster]

По сути авторан инф - не вирус, а остальные папки он у меня рубает.

 

[Lion3D.cg]

Ввиду того, что ситуация начинает выходить из под контроля попытаюсь систематизировать знания об обсуждаемой проблеме. Судя по информации собранной в интернете мы имеем дело с новейшим очень сильно продвинутым сетевым червём :!:

1. Похоже никакого отношения к червю

You must be registered for see links

(ява-скрипт и подмена мак адресов) наш сегодняшний зверёк не имеет (хотя могу и ошибаться).

2. Краткое описание зверя - Сетевой червь, использующий для проникновения на компьютер достаточно «свежую» критическую уязвимость, описанную в бюллетене безопасности Microsoft

You must be registered for see links

. Червь может также загружать и выполнять произвольные файлы.

You must be registered for see links

- общий список где видно какими антивирусами зверь был впервые зафиксирован и под какими именами. - основные имена по которым идёт обсуждение в интернете - Net-Worm.Win32.Kido в разных модификациях (по классификации лаборатории Касперского), и Win32 Conficker в разных модификациях (по классификации Майкрософт и NOD32)

3. Краткое описание уязвимости

You must be registered for see links

(KB958644)

Уязвимость существует из-за ошибки в библиотеке netapi32.dll при обработке RPC запросов в службе Server. Удаленный пользователь может с помощью специально сформированного RPC запроса вызвать переполнение буфера в стеке и вызвать отказ в обслуживании системы или выполнить произвольный код на целевой системе с привилегиями учетной записи SYSTEM.

Технические подробности уязвимости

Уязвимость существует в библиотеке netapi32.dll из-за ошибки в механизме подсчета аргументов функции wcscpy_s(dest, len, source), расширяемой макрос _tcscpy_s(previousLastSlash, pBufferEnd - previousLastSlash, ptr + 2); который в цикле while() обрабатывает большое количество постоянно обновляемых аргументов.

Потенциальная опасность уязвимости

Уязвимость может эксплуатироваться анонимным пользователем на Windows 2000/XP/2003 и аутентифицированным пользователем на Windows Vista/2008. Для успешной эксплуатации уязвимости атакующему потребуется получить доступ к RPC интерфейсу системы. По умолчанию, межсетевой экран (МСЭ) включен на Windows XP SP2, Windows Vista и Windows Server 2008. Итак, злоумышленник может воспользоваться уязвимость в следующих случаях:

1. МСЭ отключен
2. МСЭ включен, но также разрешена служба доступа к файлам и принтерам

Windows 2000 – удаленное выполнение кода и отказ в обслуживании
Windows XP SP2 – удаленное выполнение кода и отказ в обслуживании (DEP без ASLR)
Windows Server 2003 – удаленное выполнение кода и отказ в обслуживании (DEP без ASLR)
Windows Vista - отказ в обслуживании (DEP+ASLR)
Windows Server 2008 - отказ в обслуживании (DEP+ASLR)

Патчи устранения уязвимости:

Windows 2000 SP4 -

You must be registered for see links

Windows XP SP2 -

You must be registered for see links

Windows XP SP3 -

You must be registered for see links

Windows XP x64 Edition -

You must be registered for see links

Windows XP x64 Edition SP2 -

You must be registered for see links

Windows 2003 SP1 -

You must be registered for see links

Windows 2003 SP2 -

You must be registered for see links

Windows 2003 x64 Edition -

You must be registered for see links

Windows 2003 x64 Edition SP2 -

You must be registered for see links

Windows Vista 32bit All -

You must be registered for see links

Windows Vista x64 Edition All -

You must be registered for see links

4 Основные симптомы проявления активности и заражения на компьютере: (вирус имеет разные модификации поэтому не все симтомы могут проявлятся)

1. Возможны сообщения о ошибки что-то вроде "инструкция обратилась к памяти ...... память не может быть written"
2. Возможны сильное падение производительности и зависание
3. Возможно изменение темы оформления Windows на упрощённую
4. Возможно сообщение об ошибке Generic Host Process for Win32 Services с подвисанием всех сетевых сервисов.

5 Действия вируса

Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)

При запуске, червь Win32/Conficker.A создает копию в директории %System% с произвольным именем. Win32/Conficker.A c проверяет использует ли зараженная машина Windows 2000. Если да, то червь внедряет свой код в процесс services.exe.

Если операционная система отлична от Windows 2000, червь создает службу со следующими характеристиками:


Имя службы: netsvcs
Путь к файлу: %System%\svchost.exe -k netsvcs

Также создает следующий ключ реестра:

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\<worm executable filename>.dll"

Win32/Conficker.A подключается к домену trafficconverter.biz и пытается загрузить и выполнить следующие файлы:

http://trafficconverter.biz/<censored>/loadadv.exe

Worm:Win32/Conficker.X - из обсуждения на

You must be registered for see links

Поймал Conficker.X. Есть несколько вариантов как, но точно не знаю. Наиболее вероятно, что временно (около 10 минут) был открыт на вход 445 порт. Сеть доменная с двумя контролерами под win2003 ent. На контролерах и шлюзе NOD32. Обновляется через час. Все пропатчено по предложенному microsoft сценарию. Патч КВ958644 везде установлен!
Заражены контролеры, которые в свою очередь заражают клиентов. Чертов AVP ничего не видит. NOD32 борется только со следствием. Кое-как ограничил его действие, но вылечить не могу.
Проявление:
1. в system32 создаются файлы размером 157 к. с разными, но постоянным для каждой машины именем и расширением *.dll, y, q, ws. Обычным путем удалить нельзя( только в безопасном). + Доступность ВСЕ только чтение.
2. в D:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5 в подпапке с произвольным именем создаются файлы с расширением графических объектов (*.jpg, bmp, ...)
разных размеров. Это куски червя. В определенный момент ктото их собирает и появляется все тот же файл размером в 157 к. Это заготовка для нового пользователя.
3. в интернет идет непрерывное обращение по 445 порту по разным адресам.
4. периодически блокируются все учетнsе записи в АД
5. несколько раз останавливались DNS сервера
6. блокированы все сайты связанные с microsoft, AVP, NOD.

Чесно говоря мне блокировки всех пользователей уже за глаза хватает.
Есть подозрение что запуск идет через svchost.

Зараженные клиенты непонятным образом (право на создание и запись только у SYSTEM) создают в корнях DFS структур файл auturun.inf и каталог Recycled, а внем номерная папка типа "S-1-5-21-1960408961-2052111302-839522115-1000" а там файлик с расширением ws размером 157 к. И это всегда так - в паре.
На файл *.ws NOD32 говорит Conficker.X а АVP молчит. Зато с auturun.inf наоборот: NOD32 молчит а АVP определяет Trojan Win32/Agent.bcan.

На форуме касперского говорят что эта сволочь научилась использовать autorun.inf и брутить админские пароли.

Теперь знаю как они по сети размножались.
Если кто на мои грабли наступит:
1. На контролерах в system32 файл размером 157036 б (у меня odkcsr.y). Определяется NOD-ом как Conficer.X
2. На контролерах создаются назначенные задания c названием At1, At2 ... с запуском rundll32/exe odkcsr.y,<какой-то ключ> В коментарии: Составлено NetScheduleJobAdd. У меня таких заданий с разными ключами было по 5 штук.
3. На подключаемых носителях, в шарах, и корнях DFS создаются Рециклы и autorun.inf которые определяются как Conficer.АЕ
4. У клиентов в system32 файл размером 157036 б (названия разные, но расширения у всех DLL). Определяется NOD-ом как Conficer.X

При ручном лечении клиентских машин обнаружил три варианта по размерам:
157036 - большинство
160270
161547
Вычислить не сложно: атрибуты - скрытый, системный, для чтения; безопасность - всем ничего
С атрибутом "скрытый" автор лоханулся. Я не встречал ранее таких в корне system32, глубже - да.
Достаточно упорядочитьпо размеру и в вилке 150-170 кб их сразу видно просто в проводнике.

Ну кажись все уже выяснил.
Проходит он в сеть по 445 порту, используя дыры в ОС.
На контролерах размещается в system32 и создает назначенные задания. На рабочих станциях размещается там же и создает ветку в реестре [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic­es\<произвольное имя>. Сервис только для системы, по-этому поиск в реестре ничего не дает. Хорошо видно в regedt32 от Win2000 - служба отображена другим цветом. Если сам файл повредить то Гиена отображает службу желтым цветом со статусом Starting(!) (кажется так).
Клиенты вначале сканируют сеть, а потом бутят пароль пользователя "АДМИНИСТРАТОР" у других клиентов - видно по журналу событий. На одной из машин стояла родная англ. XP, а подбирался пароль все к той же записи "АДМИНИСТРАТОР" по русски!!!! И о чем это говорит?
Касперский после обновления 8.01.2009 начал определять клиентские вирусы как Kido.ih и Agent.bcan

5 Решение проблемы - антивирусы пока только обнаруживают червя но основательно с ним не борятся поэтому

советую начать с установки патчей:

You must be registered for see links

You must be registered for see links

и закрыть на вход порт 445.

You must be registered for see links

- рекомендации форума лаборатории Касперского по противодействию эпидемии этого вируса.

 

[gavron]

Вот ссылочка на майкрософт

You must be registered for see links

Nod с последними обновлениями уже его отлавливает

You must be registered for see links

Решение проблемы:
1. Скачиваем заплатку от Майкрософта (ХР должна быть с СП3)

You must be registered for see links

2. Обновляем базы антивируса.
3. Устанавливаем заплатку от Майкрософта
3. Отключаем сеть и удаляем вирус
4. Проверяем файл c:\WINDOWS\system32\drivers\etc\hosts на предмет лишних записей

Можно еще систему просканить с LiveCD от Dr.Web или еще чем с СД с актуальными базами

 

[Vladlen]

Как бороться с атакой-порт 445 IP 10.0.192.6 атакует также IP10.0.192.39 через определённое время IP не мой?

 

[mi][a]

You must be registered for see links

 

[Malder]

Как бороться с атакой-порт 445 IP 10.0.192.6 атакует также IP10.0.192.39 через определённое время IP не мой?

Закрой 445 порт в фаерволле.
Созданное Правило будет выглядеть так:
Где протокол TCP
и Где направление Входящее
и Где локальный порт 445
Блокировать эти данные
и Пометить правило как Правило с высоким приоритетом
и Игнорировать Контроль компонентов

 

[Del]

Windows Worms Doors Cleaner

Как можно закрыть порты?

Первый и самый простой вариант - это завершить работу программ или служб, которые используют эти порты (можно сказать открывают). В первую очередь это порты 135-139, 445, Это можно сделать вручную, что требует определенных знаний и навыков. Чтобы немного упростить эту задачу рекомендуется использовать небольшую программку Windows Worms Doors Cleaner, объемом всего 50 kB. Скачав ее и запустив, вы увидите приблизительно следующее окошко (на рисунке показан вариант, когда порты уже закрыты)

You must be registered for see images

Вам останется только нажать кнопки с надписью Disable и Close, после чего перезагрузить компьютер. В итоге все индикаторы должны быть зеленого цвета. Это будет означать, что порты 135-139, 445 и 5000 закрыты.
Эта методитка поможет закрыть вам всего несколько портов и ни в коем случае не заменит установку Firewall

Share.CLUB:

You must be registered for see links

(файл закачан 2009-01-13, до 2009-01-20)
Nano.telesweet:

You must be registered for see links

md5: 999f6e5c8d5c81f48afbdab7f8777323

 

[MAMONT8066]

Відповідь: Re: Вирусы, мать их...

Вот ссылочка на майкрософт

You must be registered for see links

Nod с последними обновлениями уже его отлавливает

You must be registered for see links

Решение проблемы:
1. Скачиваем заплатку от Майкрософта (ХР должна быть с СП3)

You must be registered for see links

2. Обновляем базы антивируса.
3. Устанавливаем заплатку от Майкрософта
3. Отключаем сеть и удаляем вирус
4. Проверяем файл c:\WINDOWS\system32\drivers\etc\hosts на предмет лишних записей

Можно еще систему просканить с LiveCD от Dr.Web или еще чем с СД с актуальными базами

А шо делать если эта гадина нипускает на какой либо сайт????

Где скачать заплатки???

 

[Matrix-1]

А кто мне подскажет почему у мня блокирует все входящие подключения я даже в ДС+ немогу нечё скачять:shock:

 

[Storm_10]

Вот ссылочка на майкрософт

You must be registered for see links

Nod с последними обновлениями уже его отлавливает

You must be registered for see links

Решение проблемы:
1. Скачиваем заплатку от Майкрософта (ХР должна быть с СП3)

You must be registered for see links

2. Обновляем базы антивируса.
3. Устанавливаем заплатку от Майкрософта
3. Отключаем сеть и удаляем вирус
4. Проверяем файл c:\WINDOWS\system32\drivers\etc\hosts на предмет лишних записей

Можно еще систему просканить с LiveCD от Dr.Web или еще чем с СД с актуальными базами

как выполнить удаление? если я незнаю нахождения вируса, так как нету нормального антивируса, нужен совет, а и вот что у меня в хосте находиться

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x

127.0.0.1 localhost

нету тута нечиво лишнего?