Лечитесь Автор JackFrostДата января 2009 03 01 2009 18 44 54 TCP от 19

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
Лечитесь!!!!Автор: JackFrostДата: 6 января 2009 г.03.01.2009 18:44:54 TCP от 192.168.0.15 на локальный порт 445 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
03.01.2009 18:44:52 TCP от 192.168.0.1 на локальный порт 445 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
03.01.2009 18:36:26 TCP от 192.168.0.51 на локальный порт 445 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
03.01.2009 18:35:51 TCP от 192.168.0.64 на локальный порт 445 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
03.01.2009 18:31:20 TCP от 192.168.0.16 на локальный порт 445 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
03.01.2009 18:30:53 TCP от 192.168.0.23 на локальный порт 445 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
03.01.2009 18:30:53 TCP от 192.168.0.21 на локальный порт 445 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
03.01.2009 15:00:27 UDP от 192.168.0.64 на локальный порт 5541 Обнаружено: Scan.Generic.UDP
microsof-590ad1 - 192.168.0.15
АЛЕКСАНДР-АДМИН - 192.168.0.1
Phoenix - 192.168.0.51 - обезврежен (Kido.de)
MICROSOF-90925F - 192.168.0.64
Kot - 192.168.0.16
DURMAN - 192.168.0.23
Chestercomp - 192.168.0.21
Вероятно разновидность Net-Worm.Win32.Kido
+
192.168.0.55
192.168.0.44
+
192.168.0.95
192.168.0.49
192.168.0.36
P.S. разновидность достаточно свежая, полного описания в интернет пока нет. Общая особенность семейства - для распространения используется уязвимость служб, использующих порт 445, связанную с переполнением буфера. В случае Phoenix - 192.168.0.51 (Win XP SP2) антивирус зловреда детектирровал, но удалить не смог. В системе был запущен посторонний процесс csrcs.exe маскирующийся под службу csrss.exe - "client/server run-time subsystem". Методика лечения:
1. Убить процесс csrcs.exe (с помощью ProcessExplorer например)
2. Удалить вручную файл с основным телом вируса - в директории \WINDOWS\system32\ имя может быть произвольное (например ktgasru.dll) или натравить на системный диск антивирус
3. Если пункт 1 или 2 не получаются, но известен файл с вирусом - загрузиться с аварийного диска и удалить вручную
4. Почистить реестр
5. Поставить заплатки с сайта Мелкомягких и нормальный антивирус с файерволом
P.P.S. методика примерная, так как лечение производилось только на одном компьютере. Не исключено, что вирус может компроментировать и другие службы, не только csrss
+
192.168.0.33
+
192.168.0.65
192.168.0.96
+
192.168.0.47