Вирус использует уязвимость Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability Особую опасность на сегодняшний день представляет то, что популярные антивирусы не имеют соответствующего описания в базе. Большое спасибо Олегу Крылову, за то, что поделился информацией.
Event Source: Security
Event Category: Account Logon
Event ID: 672
Date: 14.01.2009
Time: 13:33:57
User: NT AUTHORITY\SYSTEM
Computer: DC3
Description:
Authentication Ticket Request:
User Name: Администратор
Supplied Realm Name: COMPANY.COM User ID: -
Service Name: krbtgt/COMPANY.COM
Ticket Options: 0×40810010
Result Code: 0×6
Client Address: 10.73.16.110
Event Source: SAM
Event Category: None
Event ID: 12294
Date: 14.01.2009
Time: 13:38:38
User: COMPANY.COM\Administrator
Computer: DC3
Description:
The SAM database was unable to lockout the account of Administrator due to a resource error, such as a hard disk write failure (the specific error code is in the error data) . Accounts are locked after a certain number of bad passwords are provided so please consider resetting the password of the account mentioned above.
Необходимо установить критическое обновление от Microsoft (KB958644).
По некоторой информации СА и Symantec в сети сейчас распространяется вирус (W32/Downadup.AL [F-Secure], Win32/Conficker.B [Computer Associates], W32/Confick-D [Sophos]), активно использующий уязвимость во всех ОС от Microsoft. Некоторые сиптомы: массовое блокирование учетных записей в домене (при включенном блокировании после нескольких неудачных попыток входа) из-за перебора паролей, резкое падение производительности контроллеров домена, проблемы с разрешением DNS имен.
появление в Security Logs большого количества событийEvent Type: Failure Audit
Появление в System Logs большого количества событийEvent Type: Error
Oleg Krylov says:
На сайте Symantec доступно для загрузки средство удаления
14 Январь 2009, 2:16 ппgriner says:
Недавно столкнулся с этой проблемой, очень нужна помощь. Зараза на контроллере домена, блокирует учетки. Средство от Symantec, FixDownadup.exe находит его и удаляет, но через некоторое время учетные записи снова начинают блокироватся, проверяю FixDownadup.exe и снова находит и удаляет и т.д. На сервере есть расшаренные папки NETLOGON и другие системные. Ставил обновление(KB958644)-не помогает. Вопрос: через доступ в эти папки может ли он инфицировать контроллер домена?
16 Январь 2009, 5:45 ппDIMON says:
1) Данный вирус запускается оригинальным SVCHOST.EXE с параметром заражённой библиотеки (random_name).dll (размер зависит от штамма), лежащей в SYSTEM32 (атрибут библиотеки установлен в «скрытый» или «системный»). Необходимо проверить права доступа для этой библиотеки. Как правило, кроме системы, никому доступ не разрешён. После переустановки прав (напр., Администраторы=полный доступ), можно убить его UNLOCKERом (http://ccollomb.free.fr/unlocker/).
18 Январь 2009, 12:36 дп2) В реестре найти запись о запускаемом вирусном сервисе. Необходимо искать абсолютно пустой (без параметров и подключей) ключ в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services (например HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dpiixcu), и также переустановить права доступа для ветки. Тогда (после обновления содержимого по F5) появится вся инфа, в т.ч. в подветке PARAMETERS ключ ServiceDll с именем и путём к вирусной библиотеке.
3) В файловом менеджере (не ПРОВОДНИК !!!) необходимо также проверить подпапки в «Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5″, где вирус под видом кешированных фалов прячет свои копии.
Maxim Efremov says:
2griner – поскольку пароли, которые перебирает именно этот вирус известны – можно предположить, что если у вас используется политика сложных паролей, то можно временно выключить блокировку. Заражение контроллера домена при установленных патчах может говорить, либо о неполном излечении КД, либо на недоставленные заплатки.
2Dimon большее спасибо за комментарий – очень полезный и развернутый ответ.
18 Январь 2009, 10:09 ппR3ad3r says:
Антивирусные компании постепенно добавляют поддержку для своих продуктов, думаю что числу к 20му все будут иметь возможность обнаруживать его.
18 Январь 2009, 10:14 ппВирусная эпидемия в ритме Нового года - Win32.Conflicker | Artyom Sinitsyn Blog says:
[...] P.S. Отдельная благодарность за помощь в исследовании и разрешении инцидента с вирусной эпидемией Олегу Крылову и Максиму Ефремову. [...]
22 Январь 2009, 11:00 дпSashkatom says:
Хороший блог, буду ждать ещё статей! С ув. Саша
7 Октябрь 2009, 7:43 дп