Вирус Kido и борьба с ним

Июнь 7, 2010

Вирусы попадают в систему различными путями и если компьютер не подключен к обширной сети в принципе вылечить его не сложно и все быстро восстановить (если конечно есть бэкапы, а их то я надеюсь не забывают делать). Но если компьютер в большой сети то он может наделать много бед, т.к. пока лечишь один десяток компьютеров еще 50 заражаются )))

Хочу рассказать как наша сеть заразилась вирусом kido модификаций kido.in kido.da и как мы с этим боролись.
Все начиналось с того что один из серверов стал недоступен по сети, хотя он пинговался. Один админ разбирался с проблемой, а я даже не знал о ее существовании, пока ко мне не начали звонить пользователи . И я тоже узнал об этом факте и сразу сказал второму админу, на что он сказал разбирается, но оказалось что и второй сервер перестал быть адекватным (привет галактикам ))). Решили перезагрузить сервера. И выгнали всех с серверов )

После перезагрузки еще один сервер перестал пускать по сети пользователей. Мы решили что проблема в зависших свитчах и перезагрузили те которые рядом с сервером.

После перезагрузки вроде все заработало. Написали всем что можно работать. Только все начали заходить, как я, мониторя сервера, заметил что еще один начал отказывать.

Патч Панель

Решили что глючит все таки главный свитч, мы пошли его перезагружать, попутно запустив проверку на вирусы, т.к. начали подозревать что-то неладное, но антивирусы на серверах работали исправно.

Перегрузив центральный свитч – все опять заработало. Мониторили ситуацию минут 20. На серверах антивирусы показывали что все чисто. Сервера работали. Но пускать пользователей не торопились.

На моем рабочем компе ругнулся антивирус на подмену svchost – решил опять ложное. Но на всякий поставил скан машины.

Решили лопатить логи серверов. – нашли момент когда svchost падает, а потом не может поднятся при перезапуске, т.к. кто-то уже работает с таким именем – админ говорит похоже на вирь, но на серваках его не было… На других серверах были те же проблемы – однозначно вирь, но какой, где копать, антивирусы везде молчат. Пока админ решил обновить антивири на всех машинах я вспомнив про ошибку svchost на своей машине – решил посмотреть что это за зверь, как в этот момент мой avast опять ругнулся на него.

Заблокирована угроза вируса

Однозначно понимая что это вирь – рыскал решение, другой админ уже сказал что на многих машинах антивири не отвечают – решил распечатывать вири за последние 2 день.

В распечатках нашли, что это точно kido.in (описание), хотя Avast называл worm-in. Запустили проверку антивируса касперского с системных шарах всех компьютеров домена с одного админского компа.

Я уже нашел решение как побороть заразу – нужно было накинуть пару патчей, тк. вирус благодаря уязвимости рушит svchost, заливает код, потом заливает себя, заражает машину, пытается подобрать пасс админа, открывает http сервер и начинает бомбить новые машины.

Патчи доступны по адресам:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
http://www.microsoft.com/technet/security/bulletin/ms08-063.mspx

(ох сколько раз я говорил нужно WSUS сервер поднимать….)

Заплатка (patch)

А чтобы уничтожить последствия виря нужно было запустить утилитку от касперского, называемую
KidoKiller.

Понимая что нужно бороться как можно быстрее и эффективнее, решили сначала выключить везде интернет, кроме админских машин. Что мы благополучно сделали т.к. утилитка управления isa сервером работала нормально.

Потом я скачал на своем ноуте апдейты, утилитки Dr.Wrb CureIT, KAV Toos, AVZ, Sysinternals Suite и Kido Killer последних версий. Сервер интернета обновили, зайдя по rdp и скачал обновления.

Затем нужно было обновить сервера, но по сети попасть мы не могли, радмин не работал т.к. AD сервер в дауне, а авторизация везде по AD. По удаленному рабочему столу попасть можно, но нет возможности скачать обновления с интернета или по локалке (после падения svchost сети как бы не было :) ). Сделали проще подключили в rdp локальные диски как сетевые – так сработало )))

После обновления серваков и проверкой утилиткой KidoKiller (кстати ничего не заразилось, svchost Kido.in убивал, а антивирь блокировал вторжения, но странно что логах ничего…) решили защищать станционарки.

Для начала решили запустить kidokiller у всех. Варианты были:

  1. Скрипт через АД, но он работал после перезагрузки, а звонить каждому трудоемко. Посылать сообщения тоже без смысла – люди без работы либо работают не у компа, либо пью чай ))
  2. Пробежатся по компам – ну это не вариант тру айтишнега….
  3. Слышали мы о утилитке которая запускает файлы по сети и знали что лежит в пакете Sysinternals Suite (не зря я же его качал)

Порешили на третьем варианте. Посмотрели в инете название тулзы  –
PsExec

Посмотрели синтаксис:
[text] -c копирует запускаемый файл [/text]
[text] -d не ждет завершения программы (не для интерактивных[/text]

Сама  утилита kidokiller не требует никаких дополнительных команд

Итого примерно так:
[text]PsExec \\* -c -d kidokiller.exe[/text]

И на всех компах домена эта утилитка запускается ;)

Затем нужно было накинуть обновления – решили пойти проторенной дорогой – запустили так:

[text]PsExec \\* -c -d update1.exe /quiet /norestart
PsExec \\* -c -d update2.exe /quiet /norestart
PsExec \\* -c -d update3.exe /quiet /forcerestart[/text]

Итого все обновления ставятся – а потом комп уходит в ребут ;)

Потестили – все работает!

Пустили всех на сервера – работа пошла. Мы ушли кушать и пить чай ;)

На следующий день пользователи скромненько начали спрашивать про интернет )))

Пришлось открыть потихоньку ;)

PS источником виря оказалась персональная машина, без антивиря.

Подробнее о борьбе с вирусом: http://forum.kaspersky.com/index.php?showtopic=101154

Вывод – нужно относится к безопасности  серьезнее. И все таки начальника уговорили на WSUS ))

Нет похожих записей.


blog comments powered by Disqus