Comments 23
Позволить заразить виртуалку… и разобрать её траффик
Самое очевидно что напрашивается — логировать соединения на 445 порт, а потом соотнести с временем возникновения ошибки
Опять же с таким вирусом не встречался, но раз он подгружаеться к svchost, он вполне может обращаться к серверу от учётной записи компьютера, т.е. надо включить аудит и посмотреть часто логинящиеся учётные записи компьютеров.
да их очень много, пользователи и в самом деле часто логинятся.
Опять же если к моему совету применить совет тов. smartov то буквально к сотне записей сводится проблема.
Судя потому, что я читал, Kido пытается заодно подобрать пароли администратора домена. Можно включить аудит отказов и посмотреть откуда лезет. Также ставил в дополнение к KB958644, еще KB957097 и KB958687. После чего, запретил через групповые политки автозапуск со всех носителей. Мой же косяк был, то что после смены прокси сервера, забыл поменять настройки сервера обновлений Нода. Он у меня почти четыре месяца не обновлялся :(
habrahabr.ru/search/?q=kido
где-то тут можно найти ссылки на прожку по вычислению кидо, правда она часто даёт ложняки
где-то тут можно найти ссылки на прожку по вычислению кидо, правда она часто даёт ложняки
KIS 2010 и Kaspersky Workspace Security (для корпоративного использования) позволяют детектить эти атаки модулем antihacker.
Можете поставить этот антивирь на один комп и подождать неск. часов. В логах появятся записи с каких компов пытается размножиться вирус.
Так же на будущее могу посоветовать вам поставить WSUS для автоматической установки заплаток. Т.к. по моим наблюдениям вирусы начинают использовать дырки в виндах через 1-2 месяца после выхода патча.
Ну и напоследок стоит отключить на всех компах автозапуск с флешек. Нелюбимый вами Kaspersky Workspace Security умеет это делать :)
Можете поставить этот антивирь на один комп и подождать неск. часов. В логах появятся записи с каких компов пытается размножиться вирус.
Так же на будущее могу посоветовать вам поставить WSUS для автоматической установки заплаток. Т.к. по моим наблюдениям вирусы начинают использовать дырки в виндах через 1-2 месяца после выхода патча.
Ну и напоследок стоит отключить на всех компах автозапуск с флешек. Нелюбимый вами Kaspersky Workspace Security умеет это делать :)
Я детектил и продолжаю kido в локалке до ужаса простым способом…
Берется машина с linux. Ей присваивается никому кроме админа неизвестный ip-адрес. На ней настраивается portsentry, которая будет слушать 445 порт и писать это все в лог-файл.
Каждый вечер можно собирать новый свежий урожай и очищать логи )
Берется машина с linux. Ей присваивается никому кроме админа неизвестный ip-адрес. На ней настраивается portsentry, которая будет слушать 445 порт и писать это все в лог-файл.
Каждый вечер можно собирать новый свежий урожай и очищать логи )
Я ***еваю от таких админов… извините. и только потом он додумался поставить заплатки… ну пипец.
Тема уже поднималась несколько раз, мне(как эникейщику) досталась разделённая на несколько независимых сетей организация. Бегаю на флешке со следующим:
KK.exe
патчи:
WindowsXP-KB957097-x86-ENU.exe
WindowsXP-KB957097-x86-ENU_SP3.exe
WindowsXP-KB957097-x86-RUS.exe
WindowsXP-KB957097-x86-RUS_SP3.exe
WindowsXP-KB958644-x86-ENU.exe
WindowsXP-KB958644-x86-ENU_SP3.exe
WindowsXP-KB958644-x86-RUS.exe
WindowsXP-KB958644-x86-RUS_SP3.exe
WindowsXP-KB958687-x86-ENU.exe
WindowsXP-KB958687-x86-RUS.exe
(для всех версий, всех вариаций, список для w2k и w2k3 не привожу, таких машин в моём круге отвестсвенности нет)
p.s.: реклама-реклама флешка с блокирокой записи, крайне полезная вещь. Во первых защищает от авторан-вирусов и вирусов типа neshta(неexplorer.exe %1), во вторых даже позволяет их (очень быстро)выявлять: открываем проводник, открываем флешку(если получаем ошибку записи на устройство — есть вирус) запускаем exe, к примеру тот же КК, (если получаем ошибку записи на устройство — есть вирус)
Меняю пароль администратора, встроенного администратора, для общих папок(samba) принудительно устанавливаются права Пользователи+Администраторы+Группа(из пользователей сети) для рабочей гуппы или группа пользователей(обчно отдел) для домена.
Конечно же блокировка автозапуска как-то @ sys does not exist (можно найти в смежных постах)
и в некоторых местах помогает настройка firewall на определённые адреса/подсети
p.s.s.: кстати на заметку: практика показала, что windows xp firewall отлично помогает от kido, допустим установки по умолчанию без sp3: если не ходить в сетевые диски/папки с кидовским автораном вируса не будет даже при сетевых атаках.
KK.exe
патчи:
WindowsXP-KB957097-x86-ENU.exe
WindowsXP-KB957097-x86-ENU_SP3.exe
WindowsXP-KB957097-x86-RUS.exe
WindowsXP-KB957097-x86-RUS_SP3.exe
WindowsXP-KB958644-x86-ENU.exe
WindowsXP-KB958644-x86-ENU_SP3.exe
WindowsXP-KB958644-x86-RUS.exe
WindowsXP-KB958644-x86-RUS_SP3.exe
WindowsXP-KB958687-x86-ENU.exe
WindowsXP-KB958687-x86-RUS.exe
(для всех версий, всех вариаций, список для w2k и w2k3 не привожу, таких машин в моём круге отвестсвенности нет)
p.s.: реклама-реклама флешка с блокирокой записи, крайне полезная вещь. Во первых защищает от авторан-вирусов и вирусов типа neshta(неexplorer.exe %1), во вторых даже позволяет их (очень быстро)выявлять: открываем проводник, открываем флешку(если получаем ошибку записи на устройство — есть вирус) запускаем exe, к примеру тот же КК, (если получаем ошибку записи на устройство — есть вирус)
Меняю пароль администратора, встроенного администратора, для общих папок(samba) принудительно устанавливаются права Пользователи+Администраторы+Группа(из пользователей сети) для рабочей гуппы или группа пользователей(обчно отдел) для домена.
Конечно же блокировка автозапуска как-то @ sys does not exist (можно найти в смежных постах)
и в некоторых местах помогает настройка firewall на определённые адреса/подсети
p.s.s.: кстати на заметку: практика показала, что windows xp firewall отлично помогает от kido, допустим установки по умолчанию без sp3: если не ходить в сетевые диски/папки с кидовским автораном вируса не будет даже при сетевых атаках.
А зачем бегать? WindowsXP-KB958644-x86-RUS.exe -q -norestart
в скрипт входа — и все ок. А беготня — это от лукавого, неправильно это.
в скрипт входа — и все ок. А беготня — это от лукавого, неправильно это.
точно-точно! Спасибо, теперь можно ещё немного проще сделать.
Всё таки перевод основной машины на nix оставляет свой отпечаток, запамятовал о параметрах.
а вот не бегать, увы, не получиться… далеко не все машины в домене, а есть ещё те, что не в сети. Хотя, если подумать, пакетик патчей за последние 3 месяца применялся по назначению только 1 раз.
Всё таки перевод основной машины на nix оставляет свой отпечаток, запамятовал о параметрах.
а вот не бегать, увы, не получиться… далеко не все машины в домене, а есть ещё те, что не в сети. Хотя, если подумать, пакетик патчей за последние 3 месяца применялся по назначению только 1 раз.
Тоже долго боролся с этой напастью, но про KIDO узнал только через 2 недели после появления проблемы.
Сама беда состояла в том, что пользователи не могли попасть в расшаренную папку на сервере (WIN 2003) или ооооочень долго ждали пока откроется, если и открывалась, то после её закрытия войти в неё заново было невозможным. А всё из-за того, что svchost.exe загружал 98% процессора, при его(процессора) вырубании сервер был уже «нетрудоспособным», а перезагрузка — это как известно полный ахтунг посреди рабочего дня (с)… Решение пришло постепенно: установил на сервер AnVir Task Manager, выбрал самый «жадный» svchost и в его потоках вырубал (простите за товтологию) самый «жадный» поток. Всё! Сервер работает как надо, перезагрузка не требуется, и КИДО больше не беспокоит. Что это был за поток и как его ампутация решила проблему, в подробности не вдавался (работает, не трогай) :)
Сама беда состояла в том, что пользователи не могли попасть в расшаренную папку на сервере (WIN 2003) или ооооочень долго ждали пока откроется, если и открывалась, то после её закрытия войти в неё заново было невозможным. А всё из-за того, что svchost.exe загружал 98% процессора, при его(процессора) вырубании сервер был уже «нетрудоспособным», а перезагрузка — это как известно полный ахтунг посреди рабочего дня (с)… Решение пришло постепенно: установил на сервер AnVir Task Manager, выбрал самый «жадный» svchost и в его потоках вырубал (простите за товтологию) самый «жадный» поток. Всё! Сервер работает как надо, перезагрузка не требуется, и КИДО больше не беспокоит. Что это был за поток и как его ампутация решила проблему, в подробности не вдавался (работает, не трогай) :)
ЗЫ: теги не сработали.
вот www.anvir.net/ сайт AnVir Task Manager
вот www.anvir.net/ сайт AnVir Task Manager
Пару дней как вылечил сеть от этой заразы. Symantec Corporate стоял насмерть, но сеть тормозила. Алгоритм действий:
1. Закрываем снаружи порты 139, 445, 5555
2. Закрываем доступ на *trafficconverter.biz/4vir/antispyware/*
3. На всех компах в автозапуске ставим лечилку D.exe от Symantec
4. После лечения ставим патч KB958644 соответственно версии и языку системы.
5. Зловред побежден.
1. Закрываем снаружи порты 139, 445, 5555
2. Закрываем доступ на *trafficconverter.biz/4vir/antispyware/*
3. На всех компах в автозапуске ставим лечилку D.exe от Symantec
4. После лечения ставим патч KB958644 соответственно версии и языку системы.
5. Зловред побежден.
Sign up to leave a comment.
Проблемы с сетевым окружением Windows 2003/XP или злобный вирус kido