| Статистика |
Онлайн всего: 1 Гостей: 1 Пользователей: 0 |
|
Главная » 2010 » Май » 3 » Net-Worm.Win32.Kido (Conficker)
01:14 Net-Worm.Win32.Kido (Conficker) |
Если на компьютере, на котором запускается утилита, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
На сегодняшний день Это один из самых опасных и устойчивых механизмов..
Симптомы
1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buff>er-overflow.exploit.
3. Невозможно получить доступ к сайтам большинства антивирусных компаний, например, avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.
4. Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно, и возникает одна из ошибок:
* Ошибка активации. Процедура активации завершилась с системной ошибкой 2.
* Ошибка активации. Невозможно соединиться с сервером.
* Ошибка активации. Имя сервера не может быть разрешено.
описание семейства Net-Worm.Win32.Kido.
1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RAND>OM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zoriz>r.dll
2. Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
3. Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
4. Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
* http://www.getm**p.org
* http://getmyip.**.uk
* http://www.whatsmyipaddre>**.com
* http://www.whatismy**.org
* http://checkip.dyndns.***
Подготовка к удалению
1. Необходимо закрыть уязвимости, установив обновления:
* MS08-067
* MS08-068
* MS09-001
2. Установить пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложным паролем)
3. Отключите автозапуск
4. Или воспользовавшись утилитой KK.exe с ключом -a
Методики удаления
1. Скачайте утилиту, распакуйте архив в отдельную папку. Запустите.
kk_3.4.13.zip(154.1 Кб)
*Если на компьютере, на котором запускается утилита, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
2. Обладая опытом работы с командной строкой, вы можете применять ключи, которые понимает утилита
3. Или воспользоваться удобным графическим интерфейсом, который разработалDrongo, это позволит легко работать с консольной утилитой при помощи понятного интерфейса.
GUI Command for KidoKiller.zip(548.1 Кб)
Утилиты других вендоров
Утилита EConfickerRemover.exe от Eset
утилита от bitdefender
*скачайте, распакуйте файл и запустите, нажмите "Scan", если утилита ничего не найдет, появится сообщение
Утилита от Symantec - Download Removal Tool
Утилита от F-Secure - Download f-downadup.zip
Инструкции
Volk рекомендует
Руководство: борьба с KIDO\CONFICKER в сети (рабочая группа). V.2.0 (в моем случае в сети 50 компьютеров+файлопомойка без домена, DHCP, DNS сервер без AD, прокся)
Определение заражения:
Лезем в реестр и проверяем параметр netsvcs в ветке
Код:
HKEY_LOCAL_MACHINE\SOFTWA>RE\Microsoft\Windows NT\CurrentVersion\SvcHost
если в списке служб в самом конце есть бессмысленный набор букв(типа xpprdjj) и вы не можете ассоциировать это название с легальными службами (у каждой службы кроме длинного есть короткое имя например - Автоматическое обновление: Wuauserv) - ( Можно посмотреть в остнастке службы либо с помощью любой другой утилиты, например, autoruns)
Вышесказанное относится к модификациям вируса Win32/Conficker.A - .C. Более новая модификация Win32/Conficker.D записывает свою службу в параметре netsvcs не в конец списка, а в произвольное место списка, что усложняет ее поиск!
Запись, добавляемая в список вирусом Win32/Conficker, может служить примером техники запутывания. В выделенной записи вируса первая буква кажется буквой «L» в нижнем регистре, но на самом деле это буква «I» в верхнем регистре. Из-за начертания шрифта, используемого в операционной системе, буква «I» в верхнем регистре похожа на букву «L» в нижнем регистре.
Вобщем если есть неопознанная служба поздравляю - скорее всего вы счастливый обладатель самого новейшего вируса
Также надо проверить ветку реестра
Код:
HKLM\SYSTEM\CurrentContro>lSet\Services\netsvcs
Если такая есть это точно Kido. Однако не во всех модификациях вируса такая ветка создается.
После этого в сети и на каждом компьютере необходим целый комплекс противовирусных мероприятий:
I В сети предприятия .
1. Планируется глобальная политика безопастности - способ входа в систему длинна пароля, количество попыток при вводе неправильного пароля, меняются все пароли на сложные не меньше 6 знаков, раздаем права доступа на NTFS, Всех выгоняем из УЗ Администратора. Вобщем вспоминаем за что платят админам деньги
2. Закрываем на всех компьютерах ВСЕ общие папки, в т.ч. на серверах. Это заодно будет стимулом быстрее перевести всех на файловый сервер и быстрее пролечить сеть
Легче всего эту задачу выполнить - остановив на каждом компьютере службу Server.
3. В настройках прокси\брэндмауэра запрещаем P2P сети! Это важно- именно по этому протоколу зараза обменивается информацией и обновляется.
4. Заодно можно на время отключить сетевую службу Доступ к файлам и принтерам, дабы закрыть 139, 445 порт( я так не делал, а просто запретил порты на проксе\DNS)
5. Отключить сервер и полноценно проверить его без доступа к сети. Установить на него заплатки (все необходимые). Используйте Microsoft Baseline Security Analizer .(нужен интернет, так что делайте до отключения сети).
II. На каждом компьютере отдельно. (в т.ч. на серверах)
1. Удаляем сначала вирусную службу определенную ранее из списка служб в параметре netsvcs (в конце должна быть пустая строка) и убив саму службу в
Код:
HKEY_LOCAL_MACHINE\SYSTEM>\CurrentControlSet\Services
+ удалив указанную в соответстующей вирусу ветке dll-ку.
Здесь интересный момент: Зайдя, например, в случае как на картинке, в раздел реестра, HKEY_LOCAL_MACHINE\SYSTEM>\CurrentControlSet\Services\rhlnccbs вы не увидите весь раздел и имени запускаемой dll. Вирус использует наше же оружие - он закрывает через разрешения доступ к своей ветке всем кроме System. Чтобы справится с вирусом меняем разрешения на ветку: Заходим в Разрешения для данной ветки - нажимаем Дополнительно, затем выбираем галочку 'Наследовать от родительского объекта...', и вуаля- видим ветку вирусного драйвера целиком с путем и имененм dll- вот и попался голубчик!
Удаляем ветку, если она есть
Код:
HKLM\SYSTEM\CurrentContro>lSet\Services\netsvcs
2. Запрещаем доступ к ветке HKEY_LOCAL_MACHINE\SOFTWA>RE\Microsoft\Windows NT\CurrentVersion\SvcHost для всех на изменение значений.
ПКМ на разделе SvcHost- Разрешения- добавить пользователя Все (на англ ОС- Everyone)-
далее в раздел дополнительно и выбрав пользователя Все задаем ему специальное разрешение( в данном случае запрещение ) - запрещаем право ЗАДАНИЕ ЗНАЧЕНИЯ
Важно: При закрытии этой ветки реестра на запись становится невозможным устанавливать новые службы использующие Svchost. На время лечения ветка должна быть закрыта на всех компьютерах сети!!! Иначе процедура лечения бессмысленна !!!!!!
3. Удаляем как советует майкрософт запланированные задания:
at /delete /yes
4. Качаем и устанавливаем обновление WindowsXP-KB958644.
Также установите MS08-068 MS09-001
5. Отключаем автозапуск , службу планировщика.
6. Для удобства большинство действий можно сделать Bat- файлом(ветки реестра лучше править вручную):
Пример (по окончании компьютер перезагрузится):
@Echo off
Net stop server
Net stop ShellHWDetection
AT /Delete /Yes
Net stop Schedule
Rem Заплатка отключения автозапуска, скачайте ее перед запуском :)
Start /wait WindowsXP-KB967715-x86-RU>S.exe passive /nobackup /norestart
Reg Add "HKLM\SOFTWARE\Microsoft\>Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul
Reg Add "HKCU\SOFTWARE\Microsoft\>Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul
Reg Delete "HKCU\Software\Microsoft\>Windows\CurrentVersion\Explorer\MountPoints2" /f >nul
Reg Add "HKCU\Software\Microsoft\>Windows\CurrentVersion\Explorer\MountPoints2" >nul
Reg Add "HKLM\SOFTWARE\Microsoft\>Windows\CurrentVersion\policies\Explorer" /v HonorAutorunSetting /t REG_DWORD /d 0x00000001 /f >nul
Rem Заплатка АнтиКидо, скачайте перед запуском :)
Start /wait WindowsXP-KB958644-x86-RU>S.exe passive /norestart /forcerestart
7. Проверяем компьютер антивирусным сканером. В моем случае заражение сопровождалось другим вирусом -csrcs прописывающемся в Winlogon.
8. Обязательно соберите у всех пользователей флэшки (даже под угрозой увольнения), поудалять с флешек и корневых разделов дисков autorun.inf и папку\файл RECYCLED и RECYCLER и защитите их с помощью FlashDisinfector, либо сами создайте скрипт:
Код:
md "буква флэшки:\autorun.inf"
type nul > "\\?\буква флэшки:\autorun.inf\lpt3.>In Memory on Flash_Disinfector"
attrib.exe +h +r +s +a "буква флэшки:\autorun.inf"
Для уверенности(или если вам непонятны действия описанные выше):
Скачиваем и запускаем какую нибудь утилиту для удаления kido (bitdefender , kidokiller).
Хотя появление этого зловреда было ожидаемым, всех застала врасплох его живучесть, возможность проникать "практически везде", и скорость распространения, а также способ обмена информацией и обновления.
==================
Замечание 1
Особенности заражения этим вирусом:
Проникновение:
1) проникновение на компьютер через уязвимость в OC
2) путем подбора пароля для УЗ Администратора
Заражение:
1) Устанавливает службу с случайным именем
2) Защищает ветку этой службы через удаления разрешений для всех
3) Записывает службу на запуск в составе системных служб в процессе svchost (параметр реестра netsvcs)
4) Устанавливает запланированное задание на запуск себя же (на случай удаления)
5) Записывается на съемные диски для распространения и последующего заражение того же компьютера, через автозапуск
6) Использует протокол P2P для обмена информацией с автором и обновления.
Лечение вручную описано в руководстве, однако многие спотыкаются на одном и том же моменте:
Учетные записи пользователя - или пароль простой или просто забывают, что кроме самого пользователя на компьютере есть еще и встроенная УЗ Администратор, на которую никто не потрудился поставить пароль (что лучше) или же пароль очень простой. В идеале включенно должно быть 2 УЗ - Пользователь и Администратор.
==================
Замечание 2
Особенности лечения этого вируса:
Алгоритм действий:
Отключить сетевой кабель
Удалить вирусную запись из параметра реестра netsvcs
Заблокировать изменение параметра реестра netsvcs через разрешения
Удалить вирусную службу из реестра и вирусную dll с диска.
Удалить запланированные задания, отключить автозапуск.
Сменить и усложнить пароли для всех УЗ
Проверить компьютер антивирусным монитором на отсутствие "закладок"
Установить обновление KB958644
Перезагрузить кломпьютер
Если Kido\Confickier не лечится, не спешите паниковать изза новой неизлечимой версии, 99% вы пропустили один из пунктов вышепреведенного алгоритма.
==================
Замечание 3
Проблемы:
Основная проблема - это блокирование ветки
HKEY_LOCAL_MACHINE\SOFTWA>RE\Microsoft\Windows NT\CurrentVersion\SvcHost
При обычном использовании компьютера дома или в офисе это не вызывает абсолютно никаких проблем. Но при попытке установить новую системную службу вы получите отказ в доступе!
Эта ошибка, особенно в офисных сетях, где централизованно устанавливаются программы и обновления может доставить много проблем, если забыть о блокировании ветки на изменение. Поэтому если администраторов больше одного - предупреждайте вашего коллег о проделанных действиях!
Analyzer рекомендует по autorun.inf на флешках:
я делаю так:
создаем бат файл (.bat) называем его как хотим вставляем туда это:
attrib autorun.inf -r -s -h
del autorun.inf
mkdir autorun.inf
attrib autorun.inf +h +s
cd autorun.inf
mkdir 1..\
cls
exit
сохраняем, копируем созданный бат файл на флешку, запускаем и всё, в корни флешки не сможет создаться файл autorun.inf
вот скрипт для того чтобы отменить выше сделанное:
attrib autorun.inf -r -s -h
cd autorun.inf
rd 1..\
cd \
rd autorun.inf
всё также создаем файл, копируем, запускаем.
|
|
Категория: Новости |
Просмотров: 392 |
Добавил: crievereso
| Рейтинг: 0.0/0 |
|