Поймал Conficker.X. Есть несколько вариантов как, но точно не знаю. Наиболее вероятно, что временно (около 10 минут) был открыт на вход 445 порт. Сеть доменная с двумя контролерами под win2003 ent. На контролерах и шлюзе NOD32. Обновляется через час. Все пропатчено по предложенному microsoft сценарию. Патч КВ958644 везде установлен!
Заражены контролеры, которые в свою очередь заражают клиентов. Чертов AVP ничего не видит. NOD32 борется только со следствием. Кое-как ограничил его действие, но вылечить не могу.
Проявление:
1. в system32 создаются файлы размером 157 к. с разными, но постоянным для каждой машины именем и расширением *.dll, y, q, ws. Обычным путем удалить нельзя( только в безопасном). + Доступность ВСЕ только чтение.
2. в D:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5 в подпапке с произвольным именем создаются файлы с расширением графических объектов (*.jpg, bmp, ...)
разных размеров. Это куски червя. В определенный момент ктото их собирает и появляется все тот же файл размером в 157 к. Это заготовка для нового пользователя.
3. в интернет идет непрерывное обращение по 445 порту по разным адресам.
4. периодически блокируются все учетнsе записи в АД
5. несколько раз останавливались DNS сервера
6. блокированы все сайты связанные с microsoft, AVP, NOD.
Чесно говоря мне блокировки всех пользователей уже за глаза хватает.
Есть подозрение что запуск идет через svchost. Но это уже гадания.
ЛЮДИ! что делать? Касперский поздравляет с Новым Годом и рождеством. Монитор NOD32 молчит. Предлагаемая на даном форуме утилита от Dr.Web ничего не нашла
Заражены контролеры, которые в свою очередь заражают клиентов. Чертов AVP ничего не видит. NOD32 борется только со следствием. Кое-как ограничил его действие, но вылечить не могу.
Проявление:
1. в system32 создаются файлы размером 157 к. с разными, но постоянным для каждой машины именем и расширением *.dll, y, q, ws. Обычным путем удалить нельзя( только в безопасном). + Доступность ВСЕ только чтение.
2. в D:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5 в подпапке с произвольным именем создаются файлы с расширением графических объектов (*.jpg, bmp, ...)
разных размеров. Это куски червя. В определенный момент ктото их собирает и появляется все тот же файл размером в 157 к. Это заготовка для нового пользователя.
3. в интернет идет непрерывное обращение по 445 порту по разным адресам.
4. периодически блокируются все учетнsе записи в АД
5. несколько раз останавливались DNS сервера
6. блокированы все сайты связанные с microsoft, AVP, NOD.
Чесно говоря мне блокировки всех пользователей уже за глаза хватает.
Есть подозрение что запуск идет через svchost. Но это уже гадания.
ЛЮДИ! что делать? Касперский поздравляет с Новым Годом и рождеством. Монитор NOD32 молчит. Предлагаемая на даном форуме утилита от Dr.Web ничего не нашла
Изменено: Victor - 05.01.2009 22:22:07