Pull to refresh

Проблемы с сетевым окружением Windows 2003/XP или злобный вирус kido

Reading time 3 min
Views 14K
Статья написана для того чтобы потомки не наступали на грабли на которые наступил я.
Если на вашем сервере/локальном компьютере перестало открываться сетевое окружение с ошибкой «Ни одна из служб доступа к сети не может обработать сетевой путь» добро пожаловать


Симптомы:


В общем в один прекрасный день мне позвонил пользователь и сказал что не может по самбе законектиться на основной сервер (естественно он сказал не так, но суть передана) Я попробовал со своего компьютера набрать \\server (имя изменено для удобства понимания) и получил ошибку. хотя сервер прекрасно пинговался и все нужные порты были открыты. После перезагрузки сервера (а это как известно полный ахтунг посреди рабочего дня) сервер проработал около часа и ошибка повторилась. На самом сервере при попытке пойти по сети на любой компьютер \\user получали ошибку «Ни одна из служб доступа к сети не может обработать сетевой путь»

Анамнез


Как было сказано ранее порт 445 был открыт. Ошибка «Ни одна из служб» подтолкнуло на мысль что проблема в службах :)
Итак лезем в службы и на вскидку видим следующее: службы сервер, рабочая станция, обозреватель компьютеров упали. Запускаем — работает, минут через 10-15 снова падает. В логах приложений видим ошибку
«Ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.»
Сразу после которой падают службы

Дифференциальный диагноз 1


Гуглим…

Приходим к однозначному выводу что причиной всему некоторый вирус kido, который атакует компы сети по 445 порту, приводя к ошибке buffer-overflow. Решение — запуск kk.exe на всех компьютерах сети. kk.exe — програмка для лечения вируса kido от касперских. Сам антивирус касперского не переношу на дух, хотя проверку провел — сам касперский угроз не обнаружил, а kk.exe — нашел и по всей видимости полечил.

Лечение


Пройдя по всем компьютерам сети и запустив kk обнаружили и почистили много этой вирусни. Кроме того дабы обезопасить только что зараженные компьютеры запустили kk в режиме мониторинга «kk -m» и добавили в автозагрузку. После всех этих манипуляций вздохнули свободно, хотели отдохнуть, но не тут то было. Сервисы стали падать не так часто. Но от этого легче не стало! Кстати временное решение проблемы — зайти в свойства одного из сервисов и установить «перезапускать сервер» во всех полях закладки восстановления. Сервисы хоть и падают, но почти сразу восстанавливаются.

Дифференциальный диагноз 2


Итак стал думать почему сервисы падают пачками. И что объединяет эти сервисы. ответ оказался прост — один из svchost.exe запускал все эти сервисы. Вот полный список:
• Обозреватель компьютеров (!)
• Службы криптографии
• Диспетчер логических дисков
• Служба событий COM+
• Справка и поддержка
• Сервер (!)
• Рабочая станция (!)
• Сетевые подключения (!)
• Служба сетевого расположения
• Планировщик заданий (!)
• Вторичный вход в систему
• Уведомление о системных событиях
• Определение оборудования оболочки
• Клиент отслеживания изменившихся связей
• Инструментарий управления windows
• Автоматическое обновление
• Беспроводная настройка

В общем мысль пошла далее. Раз вирусов на сервере больше нет, значит вирус все еще есть на каких либо компьютерах сети. И он продолжает атаковать сервер. Но почему сервер от этого падает? Значит есть какаято дыра. А если есть дыра — значит должна быть заплатка. С горем пополам нашел такую заплатку для WinXP — KB958644
А уж имея название заплатки для Win2003 нашел заплатку без проблем.

Лечение часть 2


поставил заплатки на сервер и все компьютеры сети. вместо ошибки
«Ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.»
стало появляться предупреждение
«Отчет об ошибке постановки в очередь: ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.»

Итог


В принципе проблема решена, можно выписывать. Но (!) Раз атаки продолжаются значит вирус еще где то действует. Вот об этом хотелось бы спросить хабрасообщество — как выявить зараженный в сети компьютер?
Логично предположить что нужно слушать 445 порт — кто лезет, тому и по рогам. Но ведь на сервере пошарено много всего, люди лезутредактируютсоздаютсохранаютсмотрют… Как нормальный траф 445 порта отделить от вредоносного?
В комментариях жду советов, и надеюсь что в будущем моя статья поможет кому либо побыстрее разобраться с этой проблемой.

ЗЫЖ автоматическое обновление стояло, 2003 был обновлен — почему то эта заплатка не качается со всеми вместе.
Tags:
Hubs:
+2
Comments 23
Comments Comments 23

Articles