К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Рекомендовать в новости

KIDO - быстро найти заражённые машины.

0 - 06.07.2012 - 09:27
Хочу помочь молодому человеку, отловить в сетке из 80-90 компьютеров заражённые червём KIDO машины.Сетка в которой компы необслуживались нормально очень давно, сервиспаков нет, обновлений нет, антивирусы стоят на половине компьютеров из них много с просроченными лицензиями, на другой половине вааще антивирусов нет.
Сейчас он ставит патчи от Микрософта и проверяет машины кидокиллером от Касперского, но пока ничего не нашёл.

Как по быстрому найти источники заразы ?

P.S. В гугл не посылать ибо уже я там.
P.S.S. Сисадмин который обслуживает сеть в отпуске на море.



Гость
1 - 06.07.2012 - 09:50
вроде все правильно делает, только после проверки кидокиллером НЕОБХОДИМО проверить обычным антивирусом
источник заразы - флешки и интернет, искать не надо :)
я бы еще все машины отключил от сети и обратно подключал только чистые машины, вот только я не уверен, что стоит сначала патчить а потом чистить, я при условии эффективности КК сначала чистил бы полностью вместе с обычным антивирем а потом патчил бы, кстати имеет смысл поставить WSUS для этого дела (если нет лицензии то пробный на месяц Win Server Web Edition прокатит для этого дела, там можно поставить WSUS а после снести)
может быть не то ищет раз ничего не нашел?
Гость
2 - 06.07.2012 - 09:58
PS ну и естественно http://support.kaspersky.ru/wks6mp3/error?qid=208636215
3 - 06.07.2012 - 09:59
1-Анархия и Ярость >может быть не то ищет раз ничего не нашел?
Несколько раз работающие антивирусы удаляли в папке system32 заразу KIDO, плюс по сети какие-то глюки, типа отваливающихся сетевых принтеров.
Просто на один комп у него по миниму уходит минут 10-ть, а все их он будет обходить пару дней.
Если бы был способ понять с какой машины льётся зараза, то было бы быстрее пролечить её, а потом спокойно наводить порядок дальше.
4 - 06.07.2012 - 09:59
"компы необслуживались нормально очень давно, сервиспаков нет, обновлений нет, антивирусы стоят на половине компьютеров из них много с просроченными лицензиями, на другой половине вааще антивирусов нет" и при этом "сисадмин в отпуске на море"?

Мой совет: бечь оттуда не оглядываясь! Разве что предложат заменить собой отпускника на постоянной основе с солидной прибавкой к з/п.
5 - 06.07.2012 - 10:05
2-Анархия и Ярость > эту ссылку я как раз ему и переслал.

4-Ткачик >Человек 29.06 получил диплом, а 2.07 устроился на работу, бечь нельзя и некуда, надо разгребать это дерьмо. Я помогаю как могу советов, но хочется совета матёрога "вирусолова", я с такой проблемой не разу не сталкивался и даже не подозревал, что может быть настолько всё плохо...
Гость
6 - 06.07.2012 - 10:17
Цитата:
Сообщение от AleM Посмотреть сообщение
2-Анархия и Ярость > эту ссылку я как раз ему и переслал. 4-Ткачик >Человек 29.06 получил диплом, а 2.07 устроился на работу, бечь нельзя и некуда, надо разгребать это дерьмо. Я помогаю как могу советов, но хочется совета матёрога "вирусолова", я с такой проблемой не разу не сталкивался и даже не подозревал, что может быть настолько всё плохо...
самый матерый вирусолов в данном случае как раз таки сайт касперского, можно несколько ускорить процесс к примеру установкой всус и устанавливать не те три заплатки а полностью все недостающие, месяцы бездействия или лени предыдущего специалиста выльются в несколько дней монотонной работы нового, в начале раюоты чел поймет необходимость планирования работы, автоматизации рутинных процессов (wsus, AD etc), отбирания прав локальных админов у пользователей, пообщается с сотрудниками, попьет чаю с плюшками, все увидят как он спас контору от краха, все не так уж и плохо, только нудно, зато надежно :)
Гость
7 - 06.07.2012 - 10:32
Цитата:
Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org
Подымайте логи шлюза, смотрите с каких машин было обращение - значит там 99% сидит кидо.
Хотя с таким админом на шлюзе не должно быть никаких логов, но вдруг...
Гость
8 - 06.07.2012 - 10:33
у кидокиллера есть режим монитора
посмотрите справку командной строки
Гость
9 - 06.07.2012 - 10:35
Есть у касперского бесплатная утилита против этого вируса - kk.exe. Можно качнуть с сайта, весит около 200 килобайт.

План действий такой:
1) создать список всех компьютеров в сети (имена/IP)
2) по сети скопировать утилиту kk.exe куда-нить в известное место (на диск C: например) на все компьютеры - можно сделать с помощью psexec
3) с помощью того же psexec командой AT делаешь задание в шедулере на всех компьютерах запустить kk.exe в определенное время (через 10 минут например)
4) идешь в серверную и вырубаешь свитчи из розетки

После того, как kk отработает на всех компах - включить свитчи обратно и накатывать патч. Можно кстати это сделать тем же psexec'ом, если не поднят WSUS (а он у вас похоже не поднят).
Гость
10 - 06.07.2012 - 10:44
+8 Если бы был способ понять с какой машины льётся зараза - режим монитора как раз для этого
матёрога "вирусолова"
есть такой матёрище) Remote Admin, он нас покинул и обитает теперь на железе и "Использование программ", не знаю как насчет помочь полечить, но напугать может 100%
Гость
11 - 06.07.2012 - 11:22
http://www.xaker.name/forvb/showthread.php?t=14725
не помню уже... но точно были сигнатуры по нету раскиданы может и немного другие....висела очень долго при желании можно сдружить с коммутаторами и гасить порт до выяснения :) а так ... лечить лечить и лечить... :)
Гость
12 - 06.07.2012 - 11:24
хе. ещё та история была. отлавливал эту заразу в сети из 1600 машин.заняло неделю + 3 дня на проверку результатов. удалось таки найти источник. оказалось как всегда.
Гость
13 - 06.07.2012 - 11:25
а да , как говорили выше без обновлений будете воевать с ветряными лестницами...
14 - 06.07.2012 - 11:30
12-SGI >А можно подробнее процесс искоренения заразы расписать ? Может ещё какие тонкости расскажите ?
Гость
15 - 06.07.2012 - 11:34
11-701054 > за ссылочку спасибо, весьма полезно
12-SGI >оказалось как всегда и что оказалось, главбух?
14-AleM > вам уже все расписали выше
отключать от сети, лечить, патчить
Гость
16 - 06.07.2012 - 12:09
15-gloomymen >как всегда=это так называемые "инфоматы" (на них никто никогда не ставил обновления, антивирус жил там какой-то своей жизнью - ненастроенный, но регулярно обновляемый) + банкомат (с этой фигнёй уже сотрудники банка разбирались).
14-AleM >изучение секурных логов на котроллере домена (вирусу свойственны определённые события) + сервер касперского + kk.exe + поигрался с nmap (результат никакой, но полезно для общего развития). "инфоматы" убивались выстрелом в "голову".
Гость
17 - 06.07.2012 - 12:17
nmap в сети из 70 хостов, за 44сек. нашел 2 Likely INFECTED, и 5 possibly INFECTED
отписал админам, интересно что будет по факту
Гость
18 - 06.07.2012 - 12:45
немазачто...в гугле вообще много интересного можно накопать, если очень надо...хотя для меня то больше было развлекуха...у нас тут антивирусом отдельный макафовод рулит...в принципе он и так все видит

ветряными лестницами=ветряными мельницами
спешил на обед аж пальцы сводило :)))
Гость
19 - 06.07.2012 - 13:33
пакетник из трех строк
Гость
20 - 06.07.2012 - 15:47
+17, по следам nmap прошлись kk, кидов - 0шт.
21 - 06.07.2012 - 16:03
Всем спасибо за конструктивные подсказки ! Уже есть положительные результаты, человек старается как может.
19-Гинзбург > Я конечно понимаю, что Вам хочется выглядеть многозначительным в глазах форумчан, но это не тот случай.
Вы дали самый короткий и самый бесполезный совет...
Гость
22 - 06.07.2012 - 17:46
nmap ошибся...он по косвеным признакам смотрит по идее kk виднее конечно, но ngrep-м точно помню этих друзей ловил... :)
Гость
23 - 06.07.2012 - 17:48
вот только не помню как именно...скорее всего порт отзеркалил и на нем смотрел
Гость
24 - 06.07.2012 - 17:50
а не плин чеб я там отзеркалил-то в директной сетке...ну значит ждал пока полезет к тачке на которой ngrep чтоли...не помню в общем давно было
Гость
25 - 06.07.2012 - 18:49
короче, возвращаемся к kk в режиме монитора)
Гость
26 - 06.07.2012 - 22:27
(21) Ты знаешь человека с фамилией Гинзбург хоть единожды давшего не верное решение ?
Гость
27 - 06.07.2012 - 22:35
26-smaharbA > ну, ты бы поостерЁгся, с такими заявлениями)
Гость
28 - 06.07.2012 - 22:40
(27) та ладно, завтра в отпуск - можно )
29 - 07.07.2012 - 10:59
nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 IP

Незаражённые машины будут иметь внизу строчку: “Conficker: Likely CLEAN”, инфицированные же - “Conficker: Likely INFECTED”.

Полезная фишка для обнаружения заражённых машин в своей сети.
Гость
30 - 07.07.2012 - 11:02
охренеть кокой умник)
Conficker: Likely INFECTED есть, а кидо нет, что делать?
Гость
31 - 07.07.2012 - 11:29
это со станции где "Conficker: Likely INFECTED"
Гость
32 - 07.07.2012 - 22:40
Цитата:
Сообщение от gloomymen Посмотреть сообщение
охренеть кокой умник) Conficker: Likely INFECTED есть, а кидо нет, что делать?
молись, большой брат следит за тобой, мухаха, стелс кидо спешл фо ю!
Гость
33 - 08.07.2012 - 21:22
у себя чтоб отловить запускали кидо киллер скриптом в домене при загрузке компа


К списку вопросов






Copyright ©, Все права защищены