Недавно наша сеть была атакована довольно старым вирусом W32.Downloadup - это по классификации Symantec, также зловред известен как Net-Worm.Win32.Kido по классификации Касперского. О действиях вируса и технических подробностях можно прочитать тут.
Теперь, для понимания, немного о построении сети в нашей компании. У нас есть две подсети - одна с доменом в основной части компании, и старая одноранговая сеть в бухгалтерии, работающая по принципу: работает, нас устраивает, и ладно - не трогай. Поддерживает ее другой человек, я в нее стараюсь особо не лазить. В нашей сети установлен Symantec Corporate Antivirus 10.1.8. Активность зловреда была обнаружена по проблемам из бухгалтерии - у них пропадали сетевые папки, при попытках переподключить их появлялось сообщение о том, что сеть не запущена или отсутствует. На короткое время помогала перезагрузка бухгалтерского сервера (и это в разгар рабочего дня!), потом все начиналось сначала. Кроме того, сеть стала работать намного медленнее.
Внимательное чтение форумов и рекомендаций привело к следующему решению проблемы:
1. Если это не сделано было раньше, запрещаем автозапуск с внешних носителей - через политику домена, или следующими ключами реестра:
---------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
---------------
2. На файрволе закрываем снаружи порты 139, 445, 5555;
3. Закрываем изнутри доступ на *trafficconverter.biz/4vir/antispyware* - отсюда вирус скачивает исполняемый файл;
4. Запускаем на всех компьютерах утилиту удаления вируса от Symantec - самый легкий путь - через авозагрузку;
5. Устанавливаем на всех машинах патч от Microsoft KB958644, устраняющий уязвимость, через которую проникает вирус, соответственно версии и языку установленной системы. Незаметно для пользователей патч можно поставить следующей командой:
WindowsXP-KB958644-x86-RUS.exe -q -norestart
(названия патча указано для Windows XP, русский язык, для других версий и систем - другие версии патча);
6. Радуемся своей победе и быстрой и нормальной работе сети.
Теперь немного общих выводов про построение сети.
1. Рабочие группы и одноранговые сети - огромное зло! Если в сети 3 и более компьютеров - только доменная структура - гораздо удобнее управлять сетью. Там, где домена не было, пришлось лечить каждую машину руками, что есть долго и неправильно;
2. Антивирус - только корпоративная версия - через консоль очень удобно управлять клиентами антивируса на всех компьютерах сети. К чести Symantec Corporate 10.1.8 - там где он был - стоял насмерть, не пропуская зловреда никуда.
Кстати, распространение вируса шло с сервера баз данных - на нем по определению не ставится антивирус - иначе MS SQL будет очень сильно тормозить.
Надеюсь, кому-то помог победить этого зловреда.
Теперь, для понимания, немного о построении сети в нашей компании. У нас есть две подсети - одна с доменом в основной части компании, и старая одноранговая сеть в бухгалтерии, работающая по принципу: работает, нас устраивает, и ладно - не трогай. Поддерживает ее другой человек, я в нее стараюсь особо не лазить. В нашей сети установлен Symantec Corporate Antivirus 10.1.8. Активность зловреда была обнаружена по проблемам из бухгалтерии - у них пропадали сетевые папки, при попытках переподключить их появлялось сообщение о том, что сеть не запущена или отсутствует. На короткое время помогала перезагрузка бухгалтерского сервера (и это в разгар рабочего дня!), потом все начиналось сначала. Кроме того, сеть стала работать намного медленнее.
Внимательное чтение форумов и рекомендаций привело к следующему решению проблемы:
1. Если это не сделано было раньше, запрещаем автозапуск с внешних носителей - через политику домена, или следующими ключами реестра:
---------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
---------------
2. На файрволе закрываем снаружи порты 139, 445, 5555;
3. Закрываем изнутри доступ на *trafficconverter.biz/4vir/antispyware* - отсюда вирус скачивает исполняемый файл;
4. Запускаем на всех компьютерах утилиту удаления вируса от Symantec - самый легкий путь - через авозагрузку;
5. Устанавливаем на всех машинах патч от Microsoft KB958644, устраняющий уязвимость, через которую проникает вирус, соответственно версии и языку установленной системы. Незаметно для пользователей патч можно поставить следующей командой:
WindowsXP-KB958644-x86-RUS.exe -q -norestart
(названия патча указано для Windows XP, русский язык, для других версий и систем - другие версии патча);
6. Радуемся своей победе и быстрой и нормальной работе сети.
Теперь немного общих выводов про построение сети.
1. Рабочие группы и одноранговые сети - огромное зло! Если в сети 3 и более компьютеров - только доменная структура - гораздо удобнее управлять сетью. Там, где домена не было, пришлось лечить каждую машину руками, что есть долго и неправильно;
2. Антивирус - только корпоративная версия - через консоль очень удобно управлять клиентами антивируса на всех компьютерах сети. К чести Symantec Corporate 10.1.8 - там где он был - стоял насмерть, не пропуская зловреда никуда.
Кстати, распространение вируса шло с сервера баз данных - на нем по определению не ставится антивирус - иначе MS SQL будет очень сильно тормозить.
Надеюсь, кому-то помог победить этого зловреда.
Комментариев нет:
Отправить комментарий