Форум.FreeDom

[DAnt-e]

Служба технической поддержки уведомляет клиентов Лаборатории Касперского о том, что в настоящий момент возросло количество обращений по факту заражения рабочих станций и серверов под управлением операционных систем Windows штаммами сетевого червя Net-Worm.Win32.Kido.



Симптомы заражения в сети

1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.



Краткое описание семейства Net-Worm.Win32.Kido.

1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
3. Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
4. Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
5. Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
* http://www.getmyip.org
* http://getmyip.co.uk
* http://www.whatsmyipaddress.com
* http://www.whatismyip.org
* http://checkip.dyndns.org
* http://schemas.xmlsoap.org/soap/envelope/
* http://schemas.xmlsoap.org/soap/encoding/
* http://schemas.xmlsoap.org/soap/envelope/
* http://schemas.xmlsoap.org/soap/encoding/
* http://trafficconverter.biz/4vir/antisp ... oadadv.exe
* http://trafficconverter.biz
* http://www.maxmind.com/download/geoip/d ... oIP.dat.gz



Способы удаления

Удаление сетевого червя производится с помощью специальной утилиты KKiller.exe.

ВниманиеС целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

o Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001.

o Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

o Отключить автозапуск исполняемых файлов со съемных носителей.



Удаление сетевого червя утилитой KKiller.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.


Локальное удаление:

1. Скачайте архив KKiller_v3.4.3.zip и распакуйте его в отдельную папку на зараженной машине.

2. Запустите файл KKiller.exe .

Замечание

По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y.

3. Дождитесь окончания сканирования.

ВниманиеЕсли на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

4. Выполните сканирование всего компьютера с помощью Антивируса

патчи:
http://www.microsoft.com/technet/securi ... 8-067.mspx
http://www.microsoft.com/technet/securi ... 8-068.mspx
http://www.microsoft.com/technet/securi ... 9-001.mspx

[Diesel]

http://www.securitylab.ru/analytics/361827.php подробнее тут, рекомендую прочитать данную статью и поставить необходимые апдейты

Добавлено спустя 1 минуту 14 секунд:

Компания F-Secure вчера в своем блоге опубликовала новые данные по количеству зараженных хостов и методы подсчета уязвимых систем. По данным F-Secure в данный момент насчитывается 8 976 038 систем, зараженных червем Conflicker.B/Downadup.B.

Conflicker.B/Downadup.B является одним из самых популярных червей, которые эксплуатируют уязвимость в службе Server в ОС Microsoft Windows. Microsoft выпустила исправление (MS08-067) к этой уязвимости в октябре 2008 года. Тем не менее, уязвимость продолжает активно эксплуатироваться злоумышленниками. Пик активности (по крайней мере мы на это надеемся) пришелся на январь 2009.

По данным F-Secure, во вторник количество заражений составляло 2,4 миллиона хостов, в среду – 3,5 млн., в пятницу – 8,9 млн. Многие эксперты по безопасности начали сомневаться в корректности алгоритма подсчета количества зараженных систем, т.к. подобные цифры не могут не впечатлять.

Механизм работы червя является стандартным для современного вредоносного ПО. В день регистрируется 250 возможных доменных имен, которые используются для связи с контрольным сервером. F-Secure зарегистрировала несколько доменом из общего пула и следит за подключениями к этим доменам.



На рисунке изображен стандартный журнал httpd, отображающий IP адреса систем, подключающихся к зарегистрированным доменам, время подключения, сам запрос и заголовок User-Agent, отправляемый браузером.

Подобных запросов отправляется на сервер несколько миллионов ежедневно с 350 000 уникальных IP адресов. Весьма сложно определить общее количество инфицированных систем, т.к. NAT и прокси сервера не позволяют этого сделать, а Downadup не содержит уникальный идентификатор в заголовке User-Agent.

После небольшого исследования, сотрудники F-Secure обнаружили, что число, передаваемое в строке запроса /search/q= не является случайным. Это глобальная переменная в коде, которая указывает на количество систем, которые были заражены текущей версией червя посредством удачной эксплуатации уязвимости. На рисунке изображена запись, где один экземпляр приложения заразил 116 хостов. Сотрудники F-Secure сгруппировали данные по уникальным IP адресам и просуммировали количество зараженных систем. В настоящий момент эта цифра равна 8 976 038.

В настоящий момент существует три метода распространения червя:
Эксплуатация уязвимости MS08-067
Подбор пароля к сетевым ресурсам
USB носители

SecurityLab опубликовал несколько статей на эту тему:
Подробности уязвимости MS08-067 http://www.securitylab.ru/analytics/361827.php
Сетевая утилита для тестирования уязвимостей MS08-065 и MS08-067 http://www.securitylab.ru/analytics/362523.php

Компания Positive Technologies выпустила сетевую утилиту, способную определить наличие уязвимости на системе.

Мы настоятельно рекомендуем установить исправление к этой уязвимости или последовать рекомендациям в вышеописанных статьях.

Скачать исправление можно с сайта производителя по следующим ссылкам:

Windows 2000 SP4:
http://www.microsoft.com/downloads/deta ... laylang=en

Windows XP SP2:
http://www.microsoft.com/downloads/deta ... laylang=en

Windows XP SP3:
http://www.microsoft.com/downloads/deta ... laylang=en

Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/deta ... laylang=en

Windows XP Professional x64 Edition SP2:
http://www.microsoft.com/downloads/deta ... laylang=en

Windows Server 2003 SP1:
http://www.microsoft.com/downloads/deta ... laylang=en

Windows Server 2003 SP2:
http://www.microsoft.com/downloads/deta ... laylang=en

Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/deta ... laylang=en

Windows Server 2003 x64 Edition SP2:
http://www.microsoft.com/downloads/deta ... laylang=en

Windows Server 2003 with SP1 for Itanium-based Systems:
http://www.microsoft.com/downloads/deta ... laylang=en

Windows Server 2003 with SP2 for Itanium-based Systems:
http://www.microsoft.com/downloads/de.. ... 5A43077ACF

Windows Vista (optionally with SP1):
http://www.microsoft.com/downloads/deta ... laylang=en

Windows Vista x64 Edition (optionally with SP1):
http://www.microsoft.com/downloads/deta ... laylang=en

Windows Server 2008 for 32-bit Systems:
http://www.microsoft.com/downloads/deta ... laylang=en

Windows Server 2008 for x64-based Systems:
http://www.microsoft.com/downloads/deta ... laylang=en

[PbI4]

Windows 7 подвержена? Маршрутизатор с "железным" файрволлом не спасает?

[Diesel]

7 ка является бета системой
, откуда под нее патч то возьмется, если ОС не выпушена официально??

[Diesel]

Windows 7 подвержена? Маршрутизатор с "железным" файрволлом не спасает?

если закрыть нетбиос порты на железке то может спасти.