Jump to content
de_SAM

Intrusion.Win.NETAPI.buffer-overflow.exploit

Recommended Posts

Вчера ненадолго снималась защита по техническим проблемам. И Сервера (стоящие без защиты) подхватили вирус. (который не могу найти) =(

На клиентских машинах стоит касперский воркстайшн 6. Он видит атаки Intrusion.Win.NETAPI.buffer-overflow.exploit на порт 445 с серверов и, соответственно, блокирует их.

Установка на 2 зараженных сервера kav6.0.3.837_winservru никчему не привела... вирус не найден... А атаки с них продолжаються.

 

Подскажите что можно еще сделать!

Share this post


Link to post

1) если у вас не поднят WSUS,и соотвественно не устанавливаются обновления автоматом, то установить все патчи на ОС оссобенно критические

 

 

2)создать тему в разделе борьба с вирусами..сделать логи соответсвующие вам помогут...

Share this post


Link to post

Он прописывается как служба со случайным именем (маленькие латинские буквы без цифр и нет описания службы) и кладёт в system32 dll-ку со случайным именем.

KAV не может удалить dll потому как не может получить к ней доступ. МОжно удалить AVZ отложенным удалением, только сначала надо найти в реестре раздел этой службы, посмотреть там название Dll и грохнуть службу в реестре руками.

 

В реестре вот такие параметры службы:

ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs

И раздел Parameters

ServiceDll C:\WINDOWS\system32\cyrsropv.dll (либо другое имя dll)

 

Да и обязательно пропатчить системы. Все.

Edited by givi

Share this post


Link to post

http://www.ca.com/us/securityadvisor/virus...s.aspx?id=75911

У меня на рабочих станциях WS 6.0.3.837 его видит.

Кроме вышеописаного хранит свои файлы в Temporary Internet Files под видом jpg файлов

 

Дырку закрывает вот этот апдейт: http://www.microsoft.com/technet/security/...n/ms06-040.mspx

 

Лечить и ставить заплатку при выключенной сети.

 

 

Share this post


Link to post
http://www.ca.com/us/securityadvisor/virus...s.aspx?id=75911

У меня на рабочих станциях WS 6.0.3.837 его видит.

Кроме вышеописаного хранит свои файлы в Temporary Internet Files под видом jpg файлов

 

Дырку закрывает вот этот апдейт: http://www.microsoft.com/technet/security/...n/ms06-040.mspx

 

Лечить и ставить заплатку при выключенной сети.

в Temporary Internet Files jpg файл удален...

больше ничего не находит.

Обновился СП2 для 2003 винды.. поставил KB958644

ms06-040 (KB921883-v2) уже входит в состав СП2.

Но увы... атака с сервера продолжается.

Edited by de_SAM

Share this post


Link to post

Проблема решена! Всем спасибо!

Решил проблему так:

Нашел касперским картинку[1] в Documents and Settings - удалил ее.

Нашел службу левую

(маленькие латинские буквы без цифр и нет описания службы)
и удалил ее. (в реестре)

Обновил все до СП2 и поставил КБшки: KB958644 (и KB956803, KB957097, KB955069 в придачу)

Перезагрузился и вот теперь каспер смог увидеть вирь в System32 *.dll (произвольного названия) - удалил ее.

 

Все! Атак больше нет! =)

Share this post


Link to post

Спасибо за пояснение, очень помогло почти месяц бились, ничего не помогало... xD

Share this post


Link to post
Проблема решена! Всем спасибо!

Решил проблему так:

Нашел касперским картинку[1] в Documents and Settings - удалил ее.

Нашел службу левую и удалил ее. (в реестре)

Обновил все до СП2 и поставил КБшки: KB958644 (и KB956803, KB957097, KB955069 в придачу)

Перезагрузился и вот теперь каспер смог увидеть вирь в System32 *.dll (произвольного названия) - удалил ее.

 

Все! Атак больше нет! =)

А какая служба в реестре?где она находится?

Share this post


Link to post
А какая служба в реестре?где она находится?

Если у вас сидит разновидность Net-Worm.Win32.Kido, то служба эта будет произвольными маленькими латинскими буквами, без стандартного описания(в Computer Management -> Services).

А дальше уже искайте ее в реестре.

Зловред-сервис каким-то образом блокирует доступ к своему файлу-телу на диске, таким образом антивирус его не видит, т.е. даже имея сигнатуру, не детектит.

Share this post


Link to post
Проблема решена! Всем спасибо!

Решил проблему так:

Нашел касперским картинку[1] в Documents and Settings - удалил ее.

Нашел службу левую и удалил ее. (в реестре)

Обновил все до СП2 и поставил КБшки: KB958644 (и KB956803, KB957097, KB955069 в придачу)

Перезагрузился и вот теперь каспер смог увидеть вирь в System32 *.dll (произвольного названия) - удалил ее.

 

Все! Атак больше нет! =)

 

ДА, удаляет.. Но в большой локальной сети через некотороевремя черввь ОПЫТЬ ПОЯВЛЯЕТСЯ на вылеченных компах, даже с заплатками от MS! Что делать?

Share this post


Link to post
Проблема решена! Всем спасибо!

Решил проблему так:

Нашел касперским картинку[1] в Documents and Settings - удалил ее.

Нашел службу левую и удалил ее. (в реестре)

Обновил все до СП2 и поставил КБшки: KB958644 (и KB956803, KB957097, KB955069 в придачу)

Перезагрузился и вот теперь каспер смог увидеть вирь в System32 *.dll (произвольного названия) - удалил ее.

 

Все! Атак больше нет! =)

 

Здравствуйте как найти эту службу в реестре? и что такое КБшки? и СП2?

Share this post


Link to post
Здравствуйте как найти эту службу в реестре? и что такое КБшки? и СП2?

Пуск --> Выполнить --> Regedit

Ctrl+F - откроется поиск.

КБшки - kb статьи в Knowledge Base на сайте Microsoft

СП2 - Сервис пак 2 для Windows.

P.S. Используйте google, для подобного рода вопросов.

Share this post


Link to post

Всем добрый день.

Сервис зловреда я нашел, в реестре все сылочки на него тоже найдены.

Но вот удаляться ни то ни другое не хочет. Сервис вообще не запущен и отказывается даже запускаться.

Share this post


Link to post

А в чём суть претензий к службе "Планировщик заданий"?

Share this post


Link to post
А в чём суть претензий к службе "Планировщик заданий"?

Будем подавать на неё в суд :laugh3:

В том что вирье прописывается в шедулер.

Share this post


Link to post
Всем добрый день.

Сервис зловреда я нашел, в реестре все сылочки на него тоже найдены.

Но вот удаляться ни то ни другое не хочет. Сервис вообще не запущен и отказывается даже запускаться.

 

Если кто не знает. Вирусную службу искать в реестре тут:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Правой кнопкой на вирусной службе -> Permissions -> Add

Надо добавить себя или админов.

Точно так же правой кнопкой на Parameters и добавить себя или админов. А потом все это уже можно будет удалить. Перегрузиться.

Патчи установить и KidoKiller'а запустить.

 

Ну и, конечно, основная статья борьбы с kido.

Edited by Luzhin

Share this post


Link to post

Подскажите, а при использовании "тихого" режима работы утилиты kidokiller (ключ -s) требуется использовать ключ -y для закрытия программы после сканирования, или "тихий" режим подразумевает автоматическое завершение работы программы после сканирования?

Share this post


Link to post
Подскажите, а при использовании "тихого" режима работы утилиты kidokiller (ключ -s) требуется использовать ключ -y для закрытия программы после сканирования, или "тихий" режим подразумевает автоматическое завершение работы программы после сканирования?

Тихий режим подразумевает под собой автоматическое завершение, поэтому указывать одновременно -s и -y нет необходимости.

Share this post


Link to post

А вот, что у меня получается:

C:\>kk.exe -s
Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2009
version 3.4.7   May  5 2009 14:39:10

C:\>kk.exe -s -y
Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2009
version 3.4.7   May  5 2009 14:39:10

C:\>kk.exe
Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2009
version 3.4.7   May  5 2009 14:39:10
scanning        jobs ...

scanning        processes ...

scanning        threads ...

С ключами -s и -y не работает. Я запускаю без ключей. Даже, когда по TelNet'у запускаю у кого-то.

Edited by Luzhin

Share this post


Link to post
Вы уверены? Мне кажется, что с ключом "-s" - просто не показываются результаты работы.

Не, он у меня раз! и сразу завершился. Ничего не делал.

Share this post


Link to post
Как так ничего? А это что?

post-14734-1242887644_thumb.jpg

Ой, точно. Извиняюсь. Не заметил.

Share this post


Link to post

Кстати, с ключами -s и -y просто необходимо использовать и журналирование ключом -l c:\logfile.txt, а то и не узнать, что же нашлось.

Share this post


Link to post
А оно нужно?

Не знаю, как другим, но мне всегда интересно.

 

Share this post


Link to post
Guest
This topic is now closed to further replies.

×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.