Весёлые сутки с Downadup

[Shell 301]

Заболела сеточка моя этой зверюгою. Стояло несколько хостов без присмотра SAV\SEP. Заразились не только эти хосты, но и вся сеть страдать начала. Если SAV убирает без проблем, то SEP просит перезагрузиться. Но после перезагрузки, увы, снова библиотечка в system32. Веселый аттракцион с блокировнием 1000+ учеток...

Помогло пока только одно - добавление в check integrity правила для запуска утилитки от касперского (kk.exe) с ключиками в скрытом режиме с расшаренного ресурса.

А, ну и самое главное то) Чуть не забыл. Заплатки установлены, IPS в SEP активирован, базы SEP от 17 июня. Все равно заражения происходят.

[p2u 824]

Заплатки установлены, IPS в SEP активирован, базы SEP от 17 июня. Все равно заражения происходят.

Планировщик Задач Windows проверили?

Paul

[Shell 301]

Угу. Так как хостов много - вот приходится Кк-шкой и чистить

Заражаются вновь потому что не все еще источники вычислил. Сижу со снортом, сепом и снифером.

[Pavel Polyanskiy 65]

Shell, а какая у вас версия червя Conflicker?

есть A, B, C и E ... последние опаснее

IPS в SEP оповестила вас о присутствии червя?

[Кирилл Керценбаум 671]

Shell

утилитки от касперского (kk.exe)

А вот эту утилиту пробовали?

Заплатки установлены, IPS в SEP активирован, базы SEP от 17 июня. Все равно заражения происходят

Видимо какой-то другой путь заражения, в политике IPS нет исключений для хостов?

SAV убирает без проблем, то SEP просит перезагрузиться

Очень странно, должно быть наоборот - функции чистки в SAV слабее чем в SEP

[Shell 301]

Преимущественно "A" но на заплатку от M$ 06-40 чихает , "B".

На текущий момент примерно такая картинка.

Да, Кирилл. Она требует ребута - что непозволительная роскошь для многих серверов, после ребута вирь снова появляется. В политике IPS есть исключения, но на сервера SEPM управляющие (чисты, с сети по RPC не добиться - закрыты, стоит клиент SEP+проверяется клинерами от symantec\difender\kaspersky ).

То что SAV в данной ситуации оказался не слабее - увы, факт. Хотел скрин с SAV приложить, да хистори подтерлась - несправедливо будет сравнение.

[Кирилл Керценбаум 671]

Shell откройте кейс в тех. поддержке, они должны помочь вам понять почему такая проблема возникает, особенно в части того, что SAV справляется лучше чем SEP

[Shell 301]

Не мог удержаться и не выложить скриншот по поводу версионности W32.Downadup.

Одна проверка в один заход. Компьютер отключен от сети вообще.

[Pavel Polyanskiy 65]

Попробуйте следующие методики удаления варианта b:

1. Отключите зараженные машины от сети и перезапустите их в Safe Mode

2. Загрузите на них w32.downadup.b Removal Tool

3. Обновите SEP и проведите полную проверку системы (full scan)

4. Сравните результаты работы утилиты и результаты сканирования SEP

5. Подключите машины обратно к сети.

[Shell 301]

Спасибо, Павел. Но я все же сделал так как писал.

• В экстренных условиях с Downadup в сети некогда мусолить.
• Персонально к каждому компьютеру подходить недопустимо.
• Ремувер от symantec требует перезагрузки - недопустимо.
• То что было выявлено в плане его удаления, то написал выше.

Я поборол его в данное время только так, с проверкой утилитой kk.exe от касперского через Host Integrity Check в SEP.

Политика для Host Integrity - в аттаче, увы не влезла в лимит (весит 2.1 Mb). Суть её проста:

1. на внутреннем http сервере лежит kk.exe.
2. каждый час клиенты проходят проверку host integrity
3. если процесс kk.exe висит (увы, даже с ключами все равно в конце - есть press any key to exit) - все его копии прибиваются через taskkill /IM KK.exe /f (учтите, что в win2k нет такой команды, и копии будут висеть!)
4. правилом они проверяют - есть ли в корне c:\ файл kk.exe
5. если нет - загружают
6. запускается kk.exe -f -y -s -z -x -a -j

P.S. Кстати, в новостях заявлено что snort детектирует Kido. Увы, не совсем так. Но, увидеть запросто можно. Сделайте собственные сигнатуры, либо скопируйте из имеющихся правил netbios, заменив переменный Home примерно таким образом:

alert tcp !ADMINS any -> any 139 (msg:"NETBIOS SMB D$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"D|00 24 00 00 00|"; distance:2; nocase; classtype:protocol-command-decode; sid:2467; rev:7;)alert tcp !ADMINS any -> any 445 (msg:"NETBIOS SMB-DS D$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"D|00 24 00 00 00|"; distance:2; nocase; classtype:protocol-command-decode; sid:2469; rev:7;)alert tcp !ADMINS any -> any 139 (msg:"NETBIOS SMB C$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"C|00 24 00 00 00|"; distance:2; nocase; content:!"I|00|P|00|C|00 24 00 00 00|"; within:10; distance:-10; nocase; classtype:protocol-command-decode; sid:2470; rev:10;)alert tcp !ADMINS any -> any 445 (msg:"NETBIOS SMB-DS C$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"C|00 24 00 00 00|"; distance:2; nocase; content:!"I|00|P|00|C|00 24 00 00 00|"; within:10; distance:-10; nocase; classtype:protocol-command-decode; sid:2472; rev:9;)alert tcp !ADMINS any -> any 139 (msg:"NETBIOS SMB ADMIN$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"A|00|D|00|M|00|I|00|N|00 24 00 00 00|"; distance:2; nocase; classtype:protocol-command-decode; sid:2473; rev:7;)alert tcp !ADMINS any -> any 445 (msg:"NETBIOS SMB-DS ADMIN$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"A|00|D|00|M|00|I|00|N|00 24 00 00 00|"; distance:2; nocase; classtype:protocol-command-decode; sid:2475; rev:7;)alert tcp !ADMINS any -> any 139 (msg:"NETBIOS SMB D$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"D|00 24 00 00 00|"; distance:2; nocase; classtype:protocol-command-decode; sid:2467; rev:7;)alert tcp !ADMINS any -> any 445 (msg:"NETBIOS SMB-DS D$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"D|00 24 00 00 00|"; distance:2; nocase; classtype:protocol-command-decode; sid:2469; rev:7;)alert tcp !ADMINS any -> any 139 (msg:"NETBIOS SMB C$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"C|00 24 00 00 00|"; distance:2; nocase; content:!"I|00|P|00|C|00 24 00 00 00|"; within:10; distance:-10; nocase; classtype:protocol-command-decode; sid:2470; rev:10;)alert tcp !ADMINS any -> any 445 (msg:"NETBIOS SMB-DS C$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"C|00 24 00 00 00|"; distance:2; nocase; content:!"I|00|P|00|C|00 24 00 00 00|"; within:10; distance:-10; nocase; classtype:protocol-command-decode; sid:2472; rev:9;)alert tcp !ADMINS any -> any 139 (msg:"NETBIOS SMB ADMIN$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"A|00|D|00|M|00|I|00|N|00 24 00 00 00|"; distance:2; nocase; classtype:protocol-command-decode; sid:2473; rev:7;)alert tcp !ADMINS any -> any 445 (msg:"NETBIOS SMB-DS ADMIN$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"A|00|D|00|M|00|I|00|N|00 24 00 00 00|"; distance:2; nocase; classtype:protocol-command-decode; sid:2475; rev:7;)alert tcp !ADMINS any -> any 139 (msg:"NETBIOS SMB D$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"D|00 24 00 00 00|"; distance:2; nocase; classtype:protocol-command-decode; sid:2467; rev:7;)alert tcp !ADMINS any -> any 445 (msg:"NETBIOS SMB-DS D$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"D|00 24 00 00 00|"; distance:2; nocase; classtype:protocol-command-decode; sid:2469; rev:7;)alert tcp !ADMINS any -> any 139 (msg:"NETBIOS SMB C$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"C|00 24 00 00 00|"; distance:2; nocase; content:!"I|00|P|00|C|00 24 00 00 00|"; within:10; distance:-10; nocase; classtype:protocol-command-decode; sid:2470; rev:10;)alert tcp !ADMINS any -> any 445 (msg:"NETBIOS SMB-DS C$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"C|00 24 00 00 00|"; distance:2; nocase; content:!"I|00|P|00|C|00 24 00 00 00|"; within:10; distance:-10; nocase; classtype:protocol-command-decode; sid:2472; rev:9;)alert tcp !ADMINS any -> any 139 (msg:"NETBIOS SMB ADMIN$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"A|00|D|00|M|00|I|00|N|00 24 00 00 00|"; distance:2; nocase; classtype:protocol-command-decode; sid:2473; rev:7;)alert tcp !ADMINS any -> any 445 (msg:"NETBIOS SMB-DS ADMIN$ unicode share access"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMBu"; within:5; distance:3; byte_test:1,&,128,6,relative; pcre:"/^.{27}/R"; byte_jump:2,7,little,relative; content:"A|00|D|00|M|00|I|00|N|00 24 00 00 00|"; distance:2; nocase; classtype:protocol-command-decode; sid:2475; rev:7;)

В ADMINS (в snort.conf) пропишите хосты, которые часто ходят по админским шарам.

Наслаждайтесь отчетами.

[Андрей-001 1099]

Вчера на локальном ПК попался подобный случай с Downadup. До конца помог только Downadup Removal в нормальном режиме работы ПК. Описание см. там.

[centner 0]

Тоже была такая проблема на этапе перехода от SAV к SEP. Решили кардинально - в сценариях входа юзеров прописывали запуск Downadup Removal Tool в фоновом режиме. После этого пару машин лихорадило - отключили от сети, прошуршали curreit'ом от dr.web - сейчас все тих и спокойно... было...

Отредактировал Июнь 30, 2009 centner

[Shell 301]

у меня все продолжается. Правда, очаги быстро локализую. Хочу средствами SEP заблокировать доступ к веткам реестра для всех процессов по маске "*"

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters

на запись\удаление\создание.

Кто то уже делал? Есть подводные грабли?

[Юрий Паршин 330]

[*]если процесс kk.exe висит (увы, даже с ключами все равно в конце - есть press any key to exit) - все его копии прибиваются через taskkill /IM KK.exe /f (учтите, что в win2k нет такой команды, и копии будут висеть!)

Какую версию утилиты вы использовали?

Для автозавершения есть ключ -y, с ним утилита автоматически завершится по окончании работы. Ключ -s включает в себя ключ -y, поэтому указывать их совместно необязательно. Также, я думаю, необязательно использовать каждый раз ключ -f - областей сканирования утилитой по умолчанию вполне достаточно.

Возможно также, что ожидание anykey в конце связано со способом запуска утилиты - если ее запустить локально, то появляются подобные проблемы?

[Рашевский Роман 110]

Какую версию утилиты вы использовали?

Для автозавершения есть ключ -y, с ним утилита автоматически завершится по окончании работы. Ключ -s включает в себя ключ -y, поэтому указывать их совместно необязательно. Также, я думаю, необязательно использовать каждый раз ключ -f - областей сканирования утилитой по умолчанию вполне достаточно.

Возможно также, что ожидание anykey в конце связано со способом запуска утилиты - если ее запустить локально, то появляются подобные проблемы?

Маленько не тот раздел для объяснений подобного рода, можно было и в ПМ решить.

[Black_Z 160]

Может пригодится для выявления зараженных машин эта утилита - Bkis Conficker Scanner. Она позволяет обнаруживать, как заявляет разработчик, Conficker-инфицированные компьютеры в сети.

Ссылка