KIDO - быстро найти заражённые машины.
 

Хочу помочь молодому человеку, отловить в сетке из 80-90 компьютеров заражённые червём KIDO машины.Сетка в которой компы необслуживались нормально очень давно, сервиспаков нет, обновлений нет, антивирусы стоят на половине компьютеров из них много с просроченными лицензиями, на другой половине вааще антивирусов нет.
Сейчас он ставит патчи от Микрософта и проверяет машины кидокиллером от Касперского, но пока ничего не нашёл.

Как по быстрому найти источники заразы ?

P.S. В гугл не посылать ибо уже я там.
P.S.S. Сисадмин который обслуживает сеть в отпуске на море.

вроде все правильно делает, только после проверки кидокиллером НЕОБХОДИМО проверить обычным антивирусом
источник заразы - флешки и интернет, искать не надо :)
я бы еще все машины отключил от сети и обратно подключал только чистые машины, вот только я не уверен, что стоит сначала патчить а потом чистить, я при условии эффективности КК сначала чистил бы полностью вместе с обычным антивирем а потом патчил бы, кстати имеет смысл поставить WSUS для этого дела (если нет лицензии то пробный на месяц Win Server Web Edition прокатит для этого дела, там можно поставить WSUS а после снести)
может быть не то ищет раз ничего не нашел?

PS ну и естественно [url]http://support.kaspersky.ru/wks6mp3/error?qid=208636215[/url]

1-Анархия и Ярость >может быть не то ищет раз ничего не нашел?
Несколько раз работающие антивирусы удаляли в папке system32 заразу KIDO, плюс по сети какие-то глюки, типа отваливающихся сетевых принтеров.
Просто на один комп у него по миниму уходит минут 10-ть, а все их он будет обходить пару дней.
Если бы был способ понять с какой машины льётся зараза, то было бы быстрее пролечить её, а потом спокойно наводить порядок дальше.

"[em]компы необслуживались нормально очень давно, сервиспаков нет, обновлений нет, антивирусы стоят на половине компьютеров из них много с просроченными лицензиями, на другой половине вааще антивирусов нет[/em]" и при этом "[em]сисадмин в отпуске на море[/em]"?

Мой совет: бечь оттуда не оглядываясь! Разве что предложат заменить собой отпускника на постоянной основе с солидной прибавкой к з/п.

2-Анархия и Ярость > эту ссылку я как раз ему и переслал.

4-Ткачик >Человек 29.06 получил диплом, а 2.07 устроился на работу, бечь нельзя и некуда, надо разгребать это дерьмо. Я помогаю как могу советов, но хочется совета матёрога "вирусолова", я с такой проблемой не разу не сталкивался и даже не подозревал, что может быть настолько всё плохо...

[quote=AleM;25839775] 2-Анархия и Ярость > эту ссылку я как раз ему и переслал. 4-Ткачик >Человек 29.06 получил диплом, а 2.07 устроился на работу, бечь нельзя и некуда, надо разгребать это дерьмо. Я помогаю как могу советов, но хочется совета матёрога "вирусолова", я с такой проблемой не разу не сталкивался и даже не подозревал, что может быть настолько всё плохо... [/quote]
самый матерый вирусолов в данном случае как раз таки сайт касперского, можно несколько ускорить процесс к примеру установкой всус и устанавливать не те три заплатки а полностью все недостающие, месяцы бездействия или лени предыдущего специалиста выльются в несколько дней монотонной работы нового, в начале раюоты чел поймет необходимость планирования работы, автоматизации рутинных процессов (wsus, AD etc), отбирания прав локальных админов у пользователей, пообщается с сотрудниками, попьет чаю с плюшками, все увидят как он спас контору от краха, все не так уж и плохо, только нудно, зато надежно :)

[quote]Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
[url]http://www.getmyip.org[/url]
[url]http://getmyip.co.uk[/url]
[url]http://www.whatsmyipaddress.com[/url]
[url]http://www.whatismyip.org[/url]
[url]http://checkip.dyndns.org[/url]
[/quote]
Подымайте логи шлюза, смотрите с каких машин было обращение - значит там 99% сидит кидо.
Хотя с таким админом на шлюзе не должно быть никаких логов, но вдруг...

у кидокиллера есть режим монитора
посмотрите справку командной строки

Есть у касперского бесплатная утилита против этого вируса - kk.exe. Можно качнуть с сайта, весит около 200 килобайт.

План действий такой:
1) создать список всех компьютеров в сети (имена/IP)
2) по сети скопировать утилиту kk.exe куда-нить в известное место (на диск C: например) на все компьютеры - можно сделать с помощью psexec
3) с помощью того же psexec командой AT делаешь задание в шедулере на всех компьютерах запустить kk.exe в определенное время (через 10 минут например)
4) идешь в серверную и вырубаешь свитчи из розетки

После того, как kk отработает на всех компах - включить свитчи обратно и накатывать патч. Можно кстати это сделать тем же psexec'ом, если не поднят WSUS (а он у вас похоже не поднят).

+8 [em]Если бы был способ понять с какой машины льётся зараза[/em] - режим монитора как раз для этого
[em]матёрога "вирусолова"[/em]
есть такой матёрище) [b]Remote Admin[/b], он нас покинул и обитает теперь на железе и "Использование программ", не знаю как насчет помочь полечить, но напугать может 100%

[url]http://www.xaker.name/forvb/showthread.php?t=14725[/url]
не помню уже... но точно были сигнатуры по нету раскиданы может и немного другие....висела очень долго при желании можно сдружить с коммутаторами и гасить порт до выяснения :) а так ... лечить лечить и лечить... :)

хе. ещё та история была. отлавливал эту заразу в сети из 1600 машин.заняло неделю + 3 дня на проверку результатов. удалось таки найти источник. оказалось как всегда.

а да , как говорили выше без обновлений будете воевать с ветряными лестницами...

12-SGI >А можно подробнее процесс искоренения заразы расписать ? Может ещё какие тонкости расскажите ?

11-701054 > за ссылочку спасибо, весьма полезно
12-SGI >[em]оказалось как всегда[/em] и что оказалось, главбух?
14-AleM > вам уже все расписали выше
отключать от сети, лечить, патчить

15-gloomymen >как всегда=это так называемые "инфоматы" (на них никто никогда не ставил обновления, антивирус жил там какой-то своей жизнью - ненастроенный, но регулярно обновляемый) + банкомат (с этой фигнёй уже сотрудники банка разбирались).
14-AleM >изучение секурных логов на котроллере домена (вирусу свойственны определённые события) + сервер касперского + kk.exe + поигрался с nmap (результат никакой, но полезно для общего развития). "инфоматы" убивались выстрелом в "голову".

nmap в сети из 70 хостов, за 44сек. нашел 2 Likely INFECTED, и 5 possibly INFECTED
отписал админам, интересно что будет по факту

немазачто...в гугле вообще много интересного можно накопать, если очень надо...хотя для меня то больше было развлекуха...у нас тут антивирусом отдельный макафовод рулит...в принципе он и так все видит

ветряными лестницами=ветряными мельницами
спешил на обед аж пальцы сводило :)))

пакетник из трех строк

+17, по следам nmap прошлись kk, кидов - 0шт.

Всем спасибо за конструктивные подсказки ! Уже есть положительные результаты, человек старается как может.
19-Гинзбург > Я конечно понимаю, что Вам хочется выглядеть многозначительным в глазах форумчан, но это не тот случай.
Вы дали самый короткий и самый бесполезный совет...

nmap ошибся...он по косвеным признакам смотрит по идее kk виднее конечно, но ngrep-м точно помню этих друзей ловил... :)

вот только не помню как именно...скорее всего порт отзеркалил и на нем смотрел

а не плин чеб я там отзеркалил-то в директной сетке...ну значит ждал пока полезет к тачке на которой ngrep чтоли...не помню в общем давно было

короче, возвращаемся к kk в режиме монитора)

(21) Ты знаешь человека с фамилией Гинзбург хоть единожды давшего не верное решение ?

26-smaharbA > ну, ты бы поостерЁгся, с такими заявлениями)

(27) та ладно, завтра в отпуск - можно )

nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 IP

Незаражённые машины будут иметь внизу строчку: “Conficker: Likely CLEAN”, инфицированные же - “Conficker: Likely INFECTED”.

Полезная фишка для обнаружения заражённых машин в своей сети.

охренеть кокой умник)
Conficker: Likely INFECTED есть, а кидо нет, что делать?

это со станции где "Conficker: Likely INFECTED"
[img]https://mail.yandex.ru/message_part/kido.JPG?hid=1.2&ids=2190000001137411641&no_disposition=y&name=kido.JPG[/img]

[quote=gloomymen;25855184] охренеть кокой умник) Conficker: Likely INFECTED есть, а кидо нет, что делать? [/quote]
молись, большой брат следит за тобой, мухаха, стелс кидо спешл фо ю!

у себя чтоб отловить запускали кидо киллер скриптом в домене при загрузке компа