IPB

Здравствуйте, гость ( Вход | Регистрация )

Conficker - быстрый тест и патчи для XP, KIDO,Conficker , Autorun....
YS
сообщение 03-04-2009, 08:37
Сообщение #1


Призрак форума
******

Группа: Постояльцы
Сообщений: 1343
Регистрация: 12-02-2004
Пользователь №: 366



Быстрая проверка на вирус Conficker (Kido):

http://www.confickerworkinggroup.org/infec...cfeyechart.html

такой вот онлайн-тест на проверку заражения Kido. суть проста - если видны все картинки, значит вы не заражены.


PS. GMER ( можно взять с калипсо ) поможет быстро уточнить при подозрениях.... Описание ниже .
PPS. На калипсо есть полный сборник патчей , искать по слову WSUS .

Прицепленные файлы - 3 патча в архиве :

Conflicker-en.rar - для англ. XP
Conflicker-en.rar - для русской XP
Прикрепленные файлы
Прикрепленный файл  Conflicker_en.rar ( 1.88 мегабайт ) Кол-во скачиваний: 533
Прикрепленный файл  Conflicker_ru.rar ( 1.9 мегабайт ) Кол-во скачиваний: 1265
Прикрепленный файл  gmer.rar ( 271.63 килобайт ) Кол-во скачиваний: 976
 
Перейти в начало страницы
 
+Цитировать сообщение
 
Начать новую тему
Ответов (1 - 2)
YS
сообщение 03-04-2009, 21:23
Сообщение #2


Призрак форума
******

Группа: Постояльцы
Сообщений: 1343
Регистрация: 12-02-2004
Пользователь №: 366



Лечение:
Сетевой червь Win32.HLLW.Shadow.based, некоторые образцы которого также могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555, использует для своего распространения сразу несколько способов. Прежде всего — съёмные носители и сетевые диски посредством встроенного в Windows механизма автозапуска. В этом случае имя вредоносного файла является случайным и содержится в папке вида RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же структуру папок использует Корзина Windows для хранения удалённых файлов, что позволяет вирусу оставаться незаметным для пользователя.

Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.

Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.
Действия, совершаемые после запуска вируса

После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он находится, и если это процесс rundll32.exe, то внедряет свой код в системные процессы svchost.exe и explorer.exe. Затем вирус открывает в Проводнике текущую папку и прекращает свою работу.

Если Win32.HLLW.Shadow.based определяет, что он находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает её в качестве службы Windows, а также в реестр для обеспечения автозапуска после перезагрузки компьютера и останавливает работу службы обновления Windows. Далее в системе устанавливается собственная реализация HTTP-сервера, с помощью которого начинается распространение вируса по сети.

Если вирус определяет, что он находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.

В состав Win32.HLLW.Shadow.based входит драйвер, в функционал которого входит изменение в памяти системного файла tcpip.sys с целью увеличения стандартного ограничения системы на количество одновременных сетевых подключений.
Назначение Win32.HLLW.Shadow.based

Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в эту бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет.

Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений

1. Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
* MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx);
* MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx);
* MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx).

2. Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети.
3. Скачать текущую версию утилиты Dr.Web CureIt! с неинфицированного компьютера и просканировать все диски, тем самым произведя лечение системы.

Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.
Возможности антивируса Dr.Web по противодействию Win32.HLLW.Shadow.based

Т.к. сетевой червь Win32.HLLW.Shadow.based устанавливает атрибуты безопасности на свои файлы и ветки реестра средствами Windows таким образом, что чтение их стандартными средствами невозможно, то вылечить систему от этого вируса можно только сканером Dr.Web для Windows с графическим интерфейсом версии не ниже 4.44. В эти версии сканера Dr.Web встроен антируткит-модуль Dr.Web Shield™, который позволяет получать неограниченный доступ к файлам и веткам реестра, защищённым таким образом.

Файловый монитор SpIDer Guard, входящий в состав антивируса Dr.Web для Windows версий 4.44 и 5.0, при использовании актуальных обновлений вирусной базы успешно противодействует всем попыткам Win32.HLLW.Shadow.based установиться в систему.


PS. Патчи лучше ставить с WSUS offline DVD, доступно на калипсо, запускать несколько раз или пользоваться авторестартом.
Перейти в начало страницы
 
+Цитировать сообщение
YS
сообщение 04-04-2009, 09:28
Сообщение #3


Призрак форума
******

Группа: Постояльцы
Сообщений: 1343
Регистрация: 12-02-2004
Пользователь №: 366



Информация о вирусе
Вирус Net-Worm.Win32.Kido.bx (название у Касперского) пытается собирать данные пользователей и отправлять их в Интернет, используя уязвимость в коде Windows, описанную в бюллетене MS08-067. При неправильных попытках подбора пароля срабатывает правило политики безопасности - временно блокируется (lock out) учетная запись, подвергшаяся атаке. Связь с Интернетом и распространение между объектами вредоносный код пытается осуществлять по порту 445. Сам вирус прячется под разными именами (обычно в виде DLL или графических файлов во временных папках Интернета) чаще всего в c:\windows\system32\


Вред, наносимый действиями вируса
• Остановка доступа к некоторым общим дискам;
• Произвольная блокировка доменных аккаунтов;
• Нестабильная работа серверов и рабочих станций.


Превентивные меры и лечение вируса
Блокируйте порт 445. Но это действие, должно быть обдумано, так как может быть ваши приложения его используют.

На всех серверах и рабочих станциях должно обязательно стоять обновления Microsoft

Процесс излечения зараженной машины:
1. Запустить утилиту GMER.EXE и удалить подозрительные службы с ее помощью. К подозрительным относятся службы, которые утилита выделяет красным цветом, названия служб представляют собой набор латинских строчных латинских символов. На запрос утилиты о сканировании всей системы отвечаем «No». Удаление службы осуществляем, выбирая ”Delete service” в контекстном меню, вызываемом нажатием правой клавиши мыши.
Если при удалении возникает сообщение о невозможности удаления – это означает, что соответствующий ключ уже удален из реестра для верности можно запустить GMER.EXE еще раз. Такая ситуация возможна, если найдено больше одной проблемной службы.



2. Во время работы утилиты GMER.EXE проверяем, установлен ли на машине патч KB958644:
Заходим в Панель управления/Установка и удаление программ, устанавливаем галку «Показывать обновления», проверяем наличие установленного апдейта:


Если не установлен – ставим его. Сразу после установки не перегружаем машину до завершения процедуры – см. ниже.


3. Проверяем, активен ли вирус в данный момент. Во время своей активной работы вирус пытается установить соединения по 445-му порту с различными хостами Интернета. Результат команды netstat –n –b| more (или просто netstat –n –B)



4. Останавливаем процесс svchost.exe, пытающийся установить соединение. Номер процесса виден в окне с результатом работы команды netstat в правой колонке.
Для этого запускаем taskmgr, View/Select columns – ставим галку для колонки с ID процесса (PID)


И «убиваем» дерево процессов, соответствующее проблемному процессу. Завершение работы служб может потребовать некоторого времени – до 30-40 секунд.
Как альтернативу стандартному менеджеру процессов можно использовать procexp.exe, позволяющую увидеть расширенную информацию по процессам, работающим в системе.



5. После остановки проблемного процесса svchost.exe Антивирус Касперского сможет распознать и обезвредить вирус. Запускаем сканирование критичных областей системы или сканирование диска, на котором установлена ОС Windows.


6. После удаления вируса нужно перезагрузить зараженную машину и запустить полное сканирование системы.

На шаге 5 процедуры в некоторых случаях мгновенное удаление тела вируса невозможно – Касперский сначала опознает его и через некоторое время удаляет.



Также замечены случаи, когда Касперский самостоятельно не может удалить вирус, выводя соответствующее сообщение.


В этом случае можно попытаться удалить его самостоятельно:
Удалить файл, созданный троянцем в каталоге: %SYSTEM%\<название_файла>.dll
(%SYSTEM% в большинстве случаев C:\Windows\System32)

Посмотреть имя файла можно в ключе:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll
Удалить ветку реестра HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
И/ИЛИ ветку с HKLM\SYSTEM\CurrentControlSet\Services\«имя вируса».



Дополнительная информация по вирусу

Method of Infection :
When executed, Win32/Conficker.A creates a copy of itself in the %System% directory with a random filename.

Win32/Conficker.A checks whether the compromised machine is using the Windows 2000 operating system. If so, the worm injects its code in the "services.exe" process.

If the operating system is not Windows 2000, the worm creates a service with the following characteristics:

Service name: netsvcs
Path to executable: %System%\svchost.exe -k netsvcs

and adds the following registry entry:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\<worm executable filename>.dll"

Note: %System% is a variable location. The malware determines the location of the current System folder by querying the operating system. The default installation location for the System directory for Windows 2000 and NT is C:\Winnt\System32; for 95,98 and ME is C:\Windows\System; for XP and Vista is C:\Windows\System32.


Method of Distribution :
Via Exploit, Win32/Conficker.A exploits MS08-067, the Microsoft server service vulnerability, in order to propagate.

For more information on the MS08-067 vulnerability, please see our Vulnerability Encyclopedia and the relevant Microsoft Security Bulletin:

http://www.ca.com/us/securityadvisor/vulni...n.aspx?id=36809
http://www.microsoft.com/technet/security/...n/MS08-067.mspx


Payload :
Downloads and Executes Arbitrary Files
Win32/Conficker.A connects to the domain trafficconverter.biz and attempts to download and execute a file from this location:

http://trafficconverter.biz/<censored>/loadadv.exe

Conficker also downloads a reference file from the following URL:

http://www.maxmind.com/<censored>/GeoIP.dat.gz


Additional Information :
Win32/Conficker.A tries to obtain the IP address of the affected system by accessing the following websites:

www.getmyip.org
getmyip.co.uk
checkip.dyndns.org

So that only one copy of the malware runs on the system, the worm also creates a mutex in the format "Global\<random numbers>-<random numbers>". For example, "Global\19048-69485".
Перейти в начало страницы
 
+Цитировать сообщение

Ответить в данную темуНачать новую тему

 



RSS Текстовая версия Сейчас: 23rd August 2019 - 20:47