Продолжение истории про вирусы, хакеров и атаки на сеть

В последние несколько дней наблюдалась странная ситуация с одним из пользователей в рабочей сети - он постоянно блокировался из-за неправильного ввода пароля. В Active Directory настроена блокировка пользователя на 30 минут при пяти неправильных вводах пароля. Сначала никак не мог догадаться, в чем дело - единственное, что можно было найти в событиях - только предупреждение на одном из контроллеров домена про неудачную попытку синхронизации учетной записи пользователя, при проверке она оказывалась заблокированной. 

Помни, админ - хакер не дремлет!

Дальше »

Шифровальщики все же встречаются

Перед самым Новым годом в компании, где я работаю системным администратором случилось то, во что я не верил вопреки большому количеству статей и описаниям реальных случаев из жизни - в гости таки зашел вирус-шифровальщик. По информации про разные вирусы "Петя" и "Не-Петя" все нужные действия были проведены, так что была некая уверенность в том, что "враг не пройдет" - так вот оказалось не всё так радужно и спокойно.

Картинка для привлечения внимания

Дальше »

Еще раз про разблокировку компьютера

Сегодня принесли ноутбук с просьбой разблокировать от вредного баннера, который требует денежку за разблокрировку и пугает разными неприятностями в противном случае.

После включения компьютера действительно - появилась вот такая красота:

Решение нашлось очень быстро: путем перебора комбинаций Ctrl-Shift-Esc,  Win-E, Win-U был запущен Explorer, в строке адреса вводим regedit, запускается редактор реестра, переходим к разделу HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon, проверяем значения параметров Shell и Userinit - значением Shell должно быть "Explorer.exe", значением Userinit - "C:\WINDOWS\system32\userinit.exe," - именно так, с запятой. Скорее всего при наличии баннера значением этих разделов будет путь к исполняемому файлу баннера - запоминаем или записываем его расположение - пригодится при удалении зловреда.

Кроме того, переходим к разделу HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options, раскрываем его, если есть раздел Explorer.exe - удаляем его (правая кнопка мыши - Удалить).

Можно сделать также следующее: при наличии баннера на экране нажимаем Win-U - Диспетчер служебных программ (его приоритет выше приоритета баннера), запускаем экранную клавиатуру, в ней нажимаем Win-R - и вводим regedit - после чего запустится редактор реестра, а если добрались до реестра - то дальше все просто и понятно. Кроме того,  в служебном окне после запуска экранной клавиатуры можно щелкнуть по ссылке на сайт Microsoft - откроется браузер по умолчанию - а это тот же самый Проводник Windows...

После редактирования реестра перезагружаем компьютер, идем в записанное место расположения исполняемого файла баннера и удаляем его. Проверяем наличие в системе антивируса, его настройки. Если антивируса нет - ставим хотя бы бесплатное решение и проверяем компьютер на вирусы. К сведению - на зараженном компьютере был установлен Avast!, но это не помешало баннеру появиться... 

Вообще - главную проблему безопасности при работе за компьютером прекрасно передает следующая картинка (хотя в реальности процент скорее всего выше, и заметно):

Вообще - когда же пользователи начнут думать, что и где они нажимают на сайтах, и не запускать все подряд без разбора... А на зараженном ноутбуке был всего один пользователь, естественно, Администратор, и был отключен UAC - совсем подарок для всякой гадости...

Особенно умилил экран, заклеенный пленкой, но это тема для отдельного разговора.

Думайте, что делаете, при работе за компьютером, и не будет никогда ни вирусов, ни баннеров, требующих денежку. Успехов!

Tweet

Удаление вируса sshnas с рабочего комьютера

После возвращения из отпуска обнаружил странное поведение рабочего компьютера - после запуска на какое-то время блокировался доступ в интернет и к сервисам, расположенном на прокси-сервере. Полная проверка антивирусом Symantec Antivirus (у нас корпоративная версия), все обновляется прекрасно нашла один троян, да и тот уже обезвреженный. На прокси-сервере установлен клиент Symantec Endpoint Protection (SEP), изучение логов которого показало, что мой компьютер блокируется из-за активности W32.Changeup.Worm, причем блокировался на 10 минут, после чего все работало нормально. При повторном сканировании антивирусом ничего нового обнаружено не было.

Оказалось все достаточно просто. При изучении списка запущенных служб была обнаружена неизвестная служба sshnas, тип запуска - авто. Для удаления достаточно сделать следующее: перезагрузиться в безопасном режиме (нажать F8 в начале загрузки и выбрать Safe Mode), и удалить следующие файлы:

C:\Windows\msa.exe

C:\Windows\System32\sshnas.dll

C:\Windows\System32\sshnas21.dll

C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job

C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

Кроме этого, проверить ветку реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и удалить все упоминания sshnas.dll, после чего перезагрузить компьютер. Можно еще удалить из реестра упоминания sshnas.dll, правда из разделов ControlSet удалить не получилось, но это не столь важно.

После проведенного лечения все работает прекрасно, ничего больше не блокируется. Что вызывает вопросы - на всех серверах и клиентах установлен антивирус, который обновляется и периодически проходит быстрое сканирование компьютеров, тем не менее - как-то пролез зловред на компьютер. Что ж, как всегда в мире Windows - борьба щита и меча, т.е. вирусов и антивирусов продолжается, и как всегда с переменным успехом.

Надежной всем работы компьютеров и поменьше вирусов и борьбы с ними!

Tweet

Борьба с вирусом W32.Downloadup (Net-Worm.Win32.Kido)

Недавно наша сеть была атакована довольно старым вирусом W32.Downloadup - это по классификации Symantec, также зловред известен как Net-Worm.Win32.Kido по классификации Касперского. О действиях вируса и технических подробностях можно прочитать тут.

Теперь, для понимания, немного о построении сети в нашей компании. У нас есть две подсети - одна с доменом в основной части компании, и старая одноранговая сеть в бухгалтерии, работающая по принципу: работает, нас устраивает, и ладно - не трогай. Поддерживает ее другой человек, я в нее стараюсь особо не лазить. В нашей сети установлен Symantec Corporate Antivirus 10.1.8. Активность зловреда была обнаружена по проблемам из бухгалтерии - у них пропадали сетевые папки, при попытках переподключить их появлялось сообщение о том, что сеть не запущена или отсутствует. На короткое время помогала перезагрузка бухгалтерского сервера (и это в разгар рабочего дня!), потом все начиналось сначала. Кроме того, сеть стала работать намного медленнее.

Внимательное чтение форумов и рекомендаций привело к следующему решению проблемы:

1. Если это не сделано было раньше, запрещаем автозапуск с внешних носителей - через политику домена, или следующими ключами реестра:

---------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
---------------

2. На файрволе закрываем снаружи порты 139, 445, 5555;

3. Закрываем изнутри доступ на *trafficconverter.biz/4vir/antispyware* - отсюда вирус скачивает исполняемый файл;

4. Запускаем на всех компьютерах утилиту удаления вируса от Symantec - самый легкий путь - через авозагрузку;

5. Устанавливаем на всех машинах патч от Microsoft KB958644, устраняющий уязвимость, через которую проникает вирус, соответственно версии и языку установленной системы. Незаметно для пользователей патч можно поставить следующей командой:

WindowsXP-KB958644-x86-RUS.exe -q -norestart

(названия патча указано для Windows XP, русский язык, для других версий и систем - другие версии патча);

6. Радуемся своей победе и быстрой и нормальной работе сети.

Теперь немного общих выводов про построение сети.

1. Рабочие группы и одноранговые сети - огромное зло! Если в сети 3 и более компьютеров - только доменная структура - гораздо удобнее управлять сетью. Там, где домена не было, пришлось лечить каждую машину руками, что есть долго и неправильно;

2. Антивирус - только корпоративная версия - через консоль очень удобно управлять клиентами антивируса на всех компьютерах сети. К чести Symantec Corporate 10.1.8 - там где он был - стоял насмерть, не пропуская зловреда никуда.

Кстати, распространение вируса шло с сервера баз данных - на нем по определению не ставится антивирус - иначе MS SQL будет очень сильно тормозить.

Надеюсь, кому-то помог победить этого зловреда.