четверг, 28 января 2010 г.

Борьба с вирусом W32.Downloadup (Net-Worm.Win32.Kido)

Недавно наша сеть была атакована довольно старым вирусом W32.Downloadup - это по классификации Symantec, также зловред известен как Net-Worm.Win32.Kido по классификации Касперского. О действиях вируса и технических подробностях можно прочитать тут.

Теперь, для понимания, немного о построении сети в нашей компании. У нас есть две подсети - одна с доменом в основной части компании, и старая одноранговая сеть в бухгалтерии, работающая по принципу: работает, нас устраивает, и ладно - не трогай. Поддерживает ее другой человек, я в нее стараюсь особо не лазить. В нашей сети установлен Symantec Corporate Antivirus 10.1.8. Активность зловреда была обнаружена по проблемам из бухгалтерии - у них пропадали сетевые папки, при попытках переподключить их появлялось сообщение о том, что сеть не запущена или отсутствует. На короткое время помогала перезагрузка бухгалтерского сервера (и это в разгар рабочего дня!), потом все начиналось сначала. Кроме того, сеть стала работать намного медленнее.

Внимательное чтение форумов и рекомендаций привело к следующему решению проблемы:

1. Если это не сделано было раньше, запрещаем автозапуск с внешних носителей - через политику домена, или следующими ключами реестра:

---------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
---------------

2. На файрволе закрываем снаружи порты 139, 445, 5555;

3. Закрываем изнутри доступ на *trafficconverter.biz/4vir/antispyware* - отсюда вирус скачивает исполняемый файл;

4. Запускаем на всех компьютерах утилиту удаления вируса от Symantec - самый легкий путь - через авозагрузку;

5. Устанавливаем на всех машинах патч от Microsoft KB958644, устраняющий уязвимость, через которую проникает вирус, соответственно версии и языку установленной системы. Незаметно для пользователей патч можно поставить следующей командой:

WindowsXP-KB958644-x86-RUS.exe -q -norestart

(названия патча указано для Windows XP, русский язык, для других версий и систем - другие версии патча);

6. Радуемся своей победе и быстрой и нормальной работе сети.

Теперь немного общих выводов про построение сети.

1. Рабочие группы и одноранговые сети - огромное зло! Если в сети 3 и более компьютеров - только доменная структура - гораздо удобнее управлять сетью. Там, где домена не было, пришлось лечить каждую машину руками, что есть долго и неправильно;

2. Антивирус - только корпоративная версия - через консоль очень удобно управлять клиентами антивируса на всех компьютерах сети. К чести Symantec Corporate 10.1.8 - там где он был - стоял насмерть, не пропуская зловреда никуда.

Кстати, распространение вируса шло с сервера баз данных - на нем по определению не ставится антивирус - иначе MS SQL будет очень сильно тормозить.

Надеюсь, кому-то помог победить этого зловреда.