Пользователь |
Сообщение: Network Service вирус (Тема#32077) |
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
|
Появился в сетке вирус. Использует учетные локальные учетные записи Network Service и размещает в системных папках типа c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ файлы с расширением типа графических (JPG png ) зараженные трояном. Причем даже на компах отключенных от интернета. Отсюда делаю заключение что лезет именно из сети (хотя не факт) Иногда подвешивает службу svhost с выбиванием частично сетки (нельзя войти в сеть через сетевое окружение но можно по ярлыку или указав явный путь к папке).
Как отследить источник заразы если в сети более 100 компов. Пролазит вроде даже через оутпост. Принимаються любые идеи. Антизвери типа НОД AVG аваст каспеский, находят указанные выше файлы и удаляют но скорее всего есть что-то еще так как атаки периодически повторяються на все компы сети.
|
|
|
ME4EHbIU
Only GOD can judge me
Возраст: 39
: Киев
С нами с 05.01.06
Посты: 11686
|
попробуй в сапорт каспера написать.....у них по ловле того же кидо была целая метода (как правильно убить).....может и на сие чудо имеется...
|
|
|
лучший друг
дружелюбный мясник
Возраст: 42
: ниризиновый
С нами с 26.04.05
Посты: 16780
|
поздравляю, вы подхватили конфикер Win32/Conficker.AA
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
|
Возможно есть связь с вирусом Win32.HLLW.Autoruner.5555 еще пока не уверен.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
|
поздравляю, вы подхватили конфикер Win32/Conficker.AA
Позравления приняты, что конкретно предложите. Хотя нигде на подобный вирус отчетов не наблюдалось.
|
|
|
лучший друг
дружелюбный мясник
Возраст: 42
: ниризиновый
С нами с 26.04.05
Посты: 16780
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
|
|
|
лучший друг
дружелюбный мясник
Возраст: 42
: ниризиновый
С нами с 26.04.05
Посты: 16780
|
у нас на работе сетка этим болеет, я когда-то гуглил варианты решения данной проблемы, но других вариантов, кроме отключения всех компов от сети, не нашел
|
|
|
Slotos
подполковник
Возраст: 38
: nirvana
С нами с 17.10.02
Посты: 4025
|
WinSSH, wipfw, блок всего, кроме 22го порта.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
|
WinSSH, wipfw, блок всего, кроме 22го порта.
Противопоказано блок всего, у меня домен+DHCP один деятель врубил файревалл по максимуму и остался без сети и домена.
|
|
|
Milky Way
No Limit Infinite
С нами с 18.01.02
Посты: 33612
|
Убрать права админстрантора у всех с машин, позакрывать шары, переименовать гостя + админа...
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
|
При чем тут гость и шары, я говорю под учеткой network service лазит паразит, а эту учетку ты не отрубишь никак. По шарам то другие вирусы лазят те слава богу легко найти откуда приходят там владелец виден. Прав администратора домена нет ни укого, а локальные права на домен пофигу. Я же писал где вирус проявляеться c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5 а это скрытая системная папка не расшаренная ни на одной машине.Возможно он другим путем залазит на комп но кроме этих файлов периодически появляющихся и удаляемых антивирусом на компах ничего не замечено вот что странно.
|
|
|
Nameless
Maximus - Lite Edition
: 404
С нами с 02.11.05
Посты: 21233
|
Бродил у нас конфикер по сети, пока все централизованно не заюзали кидокиллер от каспера и не поставили нужные патчи. Этих конфикеров правда несколько . Не помню, какой у нас бродил.
В аттаче нужное. Мало ли, может пригодится)
зы лично я от сети не отключался. Запустил кидокиллер, сразу накатил патчи и все. Более меня эта дрянь не беспокоила.
Отредактировано Nameless 18.11.09 18:57. Причина редактирования: Причина не указана.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
|
|
|
Slotos
подполковник
Возраст: 38
: nirvana
С нами с 17.10.02
Посты: 4025
|
Шурмур, кроме "блок всего" там ещё было указание на административную утилиту и файрвол, настраиваемый из командной строки. DHCP на файре легко пропускается. А вот домен придётся перекрыть, ибо вирус по тем же протоколам лупит. Везде запустили лечение, отработали, простейшим циклом вызвали снятие блока на файрволе на всех компах в сети.
|
|
|
Nameless
Maximus - Lite Edition
: 404
С нами с 02.11.05
Посты: 21233
|
да, кстати, кидокиллер кажись есть более поздний, чем в архиве.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
|
Шурмур, кроме "блок всего" там ещё было указание на административную утилиту и файрвол, настраиваемый из командной строки. DHCP на файре легко пропускается. А вотдомен придётся перекрыть , ибо вирус по тем же протоколам лупит. Везде запустили лечение, отработали, простейшим циклом вызвали снятие блока на файрволе на всех компах в сети.
И как по твоему без домена будут работать юзвери если все учетки и права доступа к сетевым ресурсам храняться в домене? Тогда сразу можно сухарики сушить мне Тут как говориться и рыбку съесть надо и не обмочиться Все равно сенкс на будущее может пригодиться.
|
|
|
Nameless
Maximus - Lite Edition
: 404
С нами с 02.11.05
Посты: 21233
|
можно выйти в субботу поработать
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
|
Тогда мне и фареволы нафиг не надо каждую машину в отдельности полечить и все. Но проблема то в том что я еще не знаю конкретно от чего лечить и чем. ВОт инфу собираю.
|
|
|
Nameless
Maximus - Lite Edition
: 404
С нами с 02.11.05
Посты: 21233
|
По симптомам очень похоже именно на конфикер. Джпег файлы, антивирь лечит, снова появляются, службы некоторые падать начинают.
|
|
|
Tester_1
генералиссимус
Возраст: 47
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13415
|
Отключить сеть.
Лечить kkillerom KK'ом - http://support.kaspersky.ru/wks6mp3/error?qid=2086...
Поставить упомянутые там патчи.
Включить сеть.
Обнаружение - Nod32 2.7 на НЕПАТЧЕНОЙ винде зараженных видит при включенном IMON приблизительно так:
Отредактировано Tester_1 19.11.09 00:30. Причина редактирования: Причина не указана.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
|
Спасибо всем за инфу, ноги в руки и гогого. Если кто что еще вспомнит добавляйте.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
|
Используя утилиту psexec (из зборки pstools) удаленно копирую и запускаю примочку КК на всех машинах. На 1 из 5 уже найдена зараза.
Если кому интересно
psexec \\192.168.1.1-c kk.exe
копирует утилиту кк на комп 192.168.1.1 и запускает ее на удаленной машине и выводит консоль и результаты на ваш монитор. Можно написать файл с перечисленными ай пи или именами компьютеров и прога по списку сделает это на всех машинах. Надо иметь права администратора.
Для проверки группы компов создаем текстовой файл например name.txt перечисляем в столбик ай пи или имена запускаем командой psexec @name.txt -c kk
в данном случае файл name.txt и kk.exe должны лежать в папке с утилитой psexec если вам не интересно наблюдать за процессом добавте ключик -d
Скачать утилиты PSTOOLS и прочитать возможности ТУТ Свежая примочка КК от касперыча ТУТ
P.S>54 компа проверено(12 офф) из 105 3 зараженные машины вылечено.
|
|
|
Tester_1
генералиссимус
Возраст: 47
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13415
|
Если патчи не ставить - вылеченные сразу подцепят новый экземпляр.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
|
Если патчи не ставить - вылеченные сразу подцепят новый экземпляр.
учтем
|
|
|
Slotos
подполковник
Возраст: 38
: nirvana
С нами с 17.10.02
Посты: 4025
|
Как вариант - склепать батник, который будет запускать с файл-сервера kk.exe, патч, kk.exe.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
|
я вот пока не знаю бутет ли патч майкрософта запускаться в консоли удаленного компьютера , но попробую, на крайняк у меня всего на данный момент заражено 6 компов из 98 проверенных из 105 компов пойду и ручками все сделаю.
|
|
|
Nameless
Maximus - Lite Edition
: 404
С нами с 02.11.05
Посты: 21233
|
патчи везде надо ставить полюбому
|
|
|
Slotos
подполковник
Возраст: 38
: nirvana
С нами с 17.10.02
Посты: 4025
|
Все апдейты МС юзают вин инсталлер. А последний в свою очередь имеет ключ для "тихой" установки.
|
|
|
Nameless
Maximus - Lite Edition
: 404
С нами с 02.11.05
Посты: 21233
|
кстати да
msiexec с ключиком /quiet - то, шо нужно
|
|
|
Deagle
лейтенант
: Харьков
С нами с 12.07.05
Посты: 432
|
если сеть с доменом, источники заразы находятся по аудиту безопасности отказов на КД
события 672, 675, 680 - айпи в строке "Адрес клиента" или имя тачки в "Исходная рабочая станция"
сами по себе эти события могут возникать, но если идет жесткий спам в журналах КД - то это он, ленинградский почтальон
|
|
|
Slotos
подполковник
Возраст: 38
: nirvana
С нами с 17.10.02
Посты: 4025
|
672: Authentication Ticket Granted
675: Source Security
680: Account Used for Logon by
Сообщения кербероса. Предположительно полезны для обнаружения несанкционированного скана сети, полезны для диагностики работы кербероса, абсолютно бесполезны (ибо на момент их резкого роста уже поздно) для борьбы с червями.
А работает накатка патчей, зачистка спец. тулзами, тайм лимит на количество новых TCP/UDP соединений. В идеале полностью вычищаются/проверяются сервера, на клиентские машины устанавливаются правила файрвола, блокирующие все входящие соединения не от серверов, с сервера на всех машинах запускается обновление, чистка, и восстановление доверительных политик файрвола. Хотя доверительность - та ещё фигня, доступ клиент-клиент в жёстко структурированной сети скорее зло, чем полезность.
|
|
|