Меню Рубрики

Windows xp заплатка kido

Windows xp заплатка kido

Быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам. Также он может распространяться через USB-накопители.

Краткое описание(взято с сайта касперского):
Подробнее.

Симптомы заражения:
— блокировка учетных записей в домене
— некоторые из служб операционной системы отключены (например, Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender and Error Reporting Services)
— контроллеры домена медленно отвечают на запросы клиентов
— черезмерная загруженность локальной сети
— недоступность сайтов windows update и сайтов антивирусного ПО

Зараженные компьютеры в локальной сети можно обнаружить при помощи: Подробнее.

Если у вас есть подозрение, что ваш копьютер заражен этим трояном и с этой машины есть доступ в интернет, то вы можете проверить заражен ли этот компьютер перейдя по ссылке http://www.confickerworkinggroup.org/infection_test/cfeyechart.html (если компьютер заражен, то некоторые изображения не будут видны)

Описание червя на Википедии
Постоянно обновляемый сборник инструкций для удаления и обнаружения конфикера www.dshield.org/conficker

порча ссылок в этом разделе запрещена. /emx/ Всего записей: 99 | Зарегистр. 16-10-2004 | Отправлено: 01:36 15-01-2009 | Исправлено: dmitri23, 10:13 23-10-2009

konungster

Advanced Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:

какие патчи следует ставить на 2003, если SP не стоит

Не знаю, мы у себя навсяк случай SP2 накатили
Всего записей: 955 | Зарегистр. 31-10-2005 | Отправлено: 18:23 27-10-2009 | Исправлено: konungster, 18:25 27-10-2009
doc58_81oB0t

Advanced Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору это старенький серв у нас с голой 2003 доживает последнюю неделю, две утиль показывает все чисто, но блин параноя мучает теперь этого кида вижу повсюду уже
Всего записей: 1270 | Зарегистр. 24-07-2003 | Отправлено: 20:39 27-10-2009
rkhodjaev

Advanced Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору doc58_81oB0t

Цитата:

не нашел еще, какие патчи следует ставить на 2003, если SP не стоит? или таких нет..

Есть такие, сперва накатите SP. А потом пробуйте ставить эти патчи.

http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx

Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 09:17 28-10-2009 | Исправлено: rkhodjaev, 09:27 28-10-2009
VOLK1234

Junior Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
doc58_81oB0t
почитайте по ссылке которую я привел выше.
Там все подробно описанно.

Цитата:

Вот здесь мой скромный труд: http://forum.oszone.net/post-1145010-7.html
и некоторые замечания: http://forum.oszone.net/post-1216669-43.html

для сервера 2003 есть те же обновления ,

Код:

KB957097
KB958644
KB958687

По поводу лечения — серьезно отнеситесь к блокировке ветки реестра —
которая описывается в моей статейке. Я в свое время долго бегал с голой ж.
от компьютера к компьютеру непонимая, что происходит.
Если хотите поработать один раз, без повторных походов на этиже компьютеры — выполните все инструкции в статье.

Если кидо пролез на компьютер и вы поставили заплатки — это бесполезно.
Если вы пролечили компьютер любой утилитой анти-кидо 99% компьютеров — кидо за пару часов снова может разползтись по 100%
Дело в том, что заплатки закрывают только один способ проникновения вируса — а остальные — подбор пароля, автозапуск и общие папки так и остаются открытыми нараспашку.

Всего записей: 58 | Зарегистр. 23-02-2008 | Отправлено: 12:01 28-10-2009 | Исправлено: VOLK1234, 13:15 30-10-2009
VOLK1234

Junior Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Что меня больше всего поражает — что я вначале, что другие админы —
относятся к этому зловреду както безалаберно — ай фигня какаято — поставлю заплатки и все ок. Еще парится искать dll-ки. Пусть антивирус работает.

А если следующая модификация KIDO будет удялть файлы *.doc *.xls .
Да за один день вся контора потеряет всю информацию. Представьте, на кого повесят вынужденный простой .

Всего записей: 58 | Зарегистр. 23-02-2008 | Отправлено: 13:17 30-10-2009
doc58_81oB0t

Advanced Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору сервер 2008 sp2 уже содержит заплатки чтоль?

скачал:
Windows6.0-KB957097-x64.msu
Windows6.0-KB958644-x64.msu
Windows6.0-KB958687-x64.msu

не требуются пишет
Всего записей: 1270 | Зарегистр. 24-07-2003 | Отправлено: 15:12 13-11-2009
rkhodjaev

Advanced Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору VOLK1234
+100% согласен.
Но что им надо делать, что предлагаете
Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 15:27 13-11-2009
VOLK1234

Junior Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору doc58_81oB0t

Да, в Win 7 и W2k8R2 этой уязвимости нет.

rkhodjaev
По ссылкам выше я все описал, что делать.
А в домене еще проще админам.
Всего записей: 58 | Зарегистр. 23-02-2008 | Отправлено: 15:37 17-11-2009 | Исправлено: VOLK1234, 15:38 17-11-2009
GodVart

Newbie

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А еще модификация AB жестоко убивает доступ к компам из сети. приходится ресетить политики и колупать реестр
Всего записей: 11 | Зарегистр. 23-10-2007 | Отправлено: 21:10 17-11-2009
VOLK1234

Junior Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору GodVart

Можно поподробннее, как именно закрывает доступ ?
Всего записей: 58 | Зарегистр. 23-02-2008 | Отправлено: 14:42 19-11-2009
100_let

Ньюби

 Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Добрый день -есть очень большая проблема-не знаю выхода:

вирус kido гуляет по сети
в сети используется Антивирус Касперского 6 — корпоративный (управляемый с сервера)

что у меня происходит

при перестановке ОС Windows раб станция с Windows XP вначале подключается к сети и входит в Домен -затем с сервера идет установка клиента Касперского

пока идет установка kido уже проникает

как поставить клиента не по сети я не знаю — и не хотел бы использовать др способо

в результате все компьютеры которые я форматирую и устанавливаю все заново — так же возвращаются с вирусом( ((

как решить вопрос -не знаю

очевидно -надо найти что то чтобы мешало до установки клиента Касперского проникновению kido на раб станцию

возможно например использовать 2 антивируса временно -но вопрос -какой антивирус более менее нормально сосуществует вместе с Касперским хотя бы полчасика

Как решить эту задачу

не знаю как отформатировать компьютер и поставить без вируса(

короче -совсем нет мыслей

Добавлено:
буду благодарен за любые дельные советы

вопрос знатокам — точно после SP3 нет заплаток или патчей против kido?
Всего записей: 1322 | Зарегистр. 03-02-2003 | Отправлено: 22:20 23-11-2009 | Исправлено: 100_let, 22:23 23-11-2009
Mushroomer

Platinum Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 100_let
Цитата:

вопрос знатокам — точно после SP3 нет заплаток или патчей против kido?

Против кидо должны быть поставлены 3 заплатки
MS08-067 (KB958644)
MS08-068 (KB957097)
MS09-001 (KB958687)
Они ставятся уже после SP3. Т.е. наличия SP3 недостаточно.

Цитата:

вирус kido гуляет по сети

сеть большая? На скольких компьютерах планируется переустанавливать Windows XP?

Цитата:

как поставить клиента не по сети я не знаю — и не хотел бы использовать др способо

можно локально и обновиться с флешки (правильно подготовленной) или из копии сетевой директории. Насчет второго способа точно не уверен.
Всего записей: 22801 | Зарегистр. 19-01-2002 | Отправлено: 23:02 23-11-2009
100_let

Ньюби

 Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Mushroomer
Спасибо за ответ -еще интересует мнения по поводу патчей — на SP3 -то есть после SP3 -а то у меня этот SP3 точно никаких путей не закрывает
Mushroomer
я очень доверяю -просто хотел бы услышать еще мнения

Добавлено:
Все время на сайте microsoft читаю примерно следующее

Цитата:

Operating System Maximum Security Impact Aggregate Severity Rating Bulletins Replaced by this Update
Microsoft Windows 2000 Service Pack 4
Remote Code Execution
Important
MS06-063

Windows XP Service Pack 2
Remote Code Execution
Important
MS06-063

Windows XP Service Pack 3
Remote Code Execution
Important
None

то есть получается , что официально нет заплатки после SP3?
Всего записей: 1322 | Зарегистр. 03-02-2003 | Отправлено: 23:15 23-11-2009
Mushroomer

Platinum Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 100_let
http://support.microsoft.com/kb/962007/
Всего записей: 22801 | Зарегистр. 19-01-2002 | Отправлено: 23:22 23-11-2009
100_let

Ньюби

 Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору я же логично рассуждаю -если все необходимые заплатки закрывают возомжность проникать kido а при XP SP3 проникает моментально -это означает, что XP SP3 не содержит необходимых заплаток

хотелось бы как можно подробнее в этом разобраться
Всего записей: 1322 | Зарегистр. 03-02-2003 | Отправлено: 23:22 23-11-2009
Mushroomer

Platinum Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 100_let
http://forum.kaspersky.com/index.php?showtopic=101154

Цитата:

1) Обязательно установите все 3 патча от MS:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
http://www.microsoft.com/technet/security/Bulletin/MS08-068.mspx
http://www.microsoft.com/technet/security/Bulletin/MS09-001.mspx

Во всех 3 статьях в пункте Affected Software указаны
Windows XP Service Pack 2
Windows XP Service Pack 3
Из всего вышеперечисленного следует однозначный вывод: в самом SP3 заплаток против кидо НЕТ

Всего записей: 22801 | Зарегистр. 19-01-2002 | Отправлено: 23:28 23-11-2009
XINSIDE

Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:

я же логично рассуждаю -если все необходимые заплатки закрывают возомжность проникать kido а при XP SP3 проникает моментально -это означает, что XP SP3 не содержит необходимых заплаток

хотелось бы как можно подробнее в этом разобраться

Нет в SP3 эти заплаток. Сначало надо отключить или полечить заражённые машины — сканируем http://www.mcafee.com/us/enterprise/confickertest.html, поставить заплатки (можно ставить через psexec, подробно написано на первых страницах — смотрим версию для печати) и прогнать kidokiller-om «Удаление сетевого червя утилитой KK.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.» http://support.kaspersky.ru/viruses/solutions?qid=208636215. А так ставь не ставь антивирус, без заплаток не поможет.
Всего записей: 318 | Зарегистр. 12-12-2005 | Отправлено: 00:41 24-11-2009 | Исправлено: XINSIDE, 00:44 24-11-2009
100_let

Ньюби

 Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Mushroomer
XINSIDE
Спасибо больше за содержательные ответы

какой способ могли бы порекомендовать чтобы вычислить откуда еще идут атаки kido -с какого компьютера?

потому что вроде как охватил всю сеть — сегодня закончил последние компьютеры -хочу теперь понять идут ли атаки и если идут знать откуда
Всего записей: 1322 | Зарегистр. 03-02-2003 | Отправлено: 21:44 24-11-2009
Ici Chacal

BANNED

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 100_let
В доменной сети это элементарно. В логах секьюрити доменных контроллеров постоянный неудачный логон несколько раз в секунду. Смотрим источник и видим зараженную машину.

Добавлено:
Да, ставим идеал админ, и делаем инвентаризацию на предмет таск шедулеров. На зараженных или бывших зараженных присутствуют таски с названиями At1, At2 и так далее. Таски удалить, машины проверить.

Цитата:

Удаление сетевого червя утилитой KK.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit

Не надо ничего разворачивать, особенно, если используется другой антивирь. Делаем батник типа

Цитата:

@ECHO OFF
psexec.exe \\* -u domain\admin -p password \\shara\kk.exe -y -s -j -t -a -z -r
exit

Ключи могли измениться, не суть.
Всего записей: 1446 | Зарегистр. 22-01-2005 | Отправлено: 22:00 24-11-2009
icea

Junior Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 100_let

Цитата:

какой способ могли бы порекомендовать чтобы вычислить откуда еще идут атаки kido -с какого компьютера?

mcafee conficker detection tool __http://www.mcafee.com/us/enterprise/confickertest.html
очень помогла )) (до это использовали nNmap — тоже не плохая вещь)

удобно показывать на каких машинах завелся кидо, в нормальной графической оболочке

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Windows xp замена ключа
  • Windows xp загрузка по кругу
  • Windows xp для эмулятора bochs
  • Windows xp для установки на usb hdd
  • Windows xp для терминала оплаты