Вирус Net-Worm.Win32.Kido
Добавлено: 2009-02-10 20:00:45
Привет всем, сегодня столкнулся с весьма неприятным вирусом Net-Worm.Win32.Kido. Данная форма "жизни" распространяется по сети через системную учетку, и все органичения (юзер является локальным пользователем) ей побоку. В общем пало смертью храбрых порядка 40 машин и 3 серванта. У всех один диагноз - встали службы отвечающие за сеть, причем вручную запустить не удается, только после перезагрузки.
На всех тачках стоит каспер лицензия и первый диалог с тех. поддержкой очень даже обнадежил - Вы не волнуйтесь, мы его знаем, вот вам заплатка от мелкософта и киллер Kido. Выкурив пол-пачки сигарет, пошел ставить все это добро. На первый взгляд все наладилось, сеть появилась, юзеры довольны. Но не тут то было, спустя полчас-час, звонки - нет сети. Смотрю уже известные службы - встали как ни будто не запускались. Потом следовала переписка с саппортом, ничего кроме закрыть 139 и 445 порты не посоветовали. Поиграв с портами, понял что без 139 мне не нужен сервер, все равно юзеры не могут на него попасть. Повторное сканирование сети антивирем показало рецедив практически на всех ПК, рапространяющийся со скоростью лавины
.
А вот собственно и сам вопрос, может кто сталкивался с этой нечестью и подскажет что дальше делать?
Все более четко вырисовывается вариант создания "чистой зоны" с новым PDC, эксчангем и подобной сервисной приблудой, с последующим перебором всех пользовательский ПК. Благо свичт находится недалеко и прекратить распространение по сети довольно просто
HELP ME, Comrades!.
На всех тачках стоит каспер лицензия и первый диалог с тех. поддержкой очень даже обнадежил - Вы не волнуйтесь, мы его знаем, вот вам заплатка от мелкософта и киллер Kido. Выкурив пол-пачки сигарет, пошел ставить все это добро. На первый взгляд все наладилось, сеть появилась, юзеры довольны. Но не тут то было, спустя полчас-час, звонки - нет сети. Смотрю уже известные службы - встали как ни будто не запускались. Потом следовала переписка с саппортом, ничего кроме закрыть 139 и 445 порты не посоветовали. Поиграв с портами, понял что без 139 мне не нужен сервер, все равно юзеры не могут на него попасть. Повторное сканирование сети антивирем показало рецедив практически на всех ПК, рапространяющийся со скоростью лавины
. А вот собственно и сам вопрос, может кто сталкивался с этой нечестью и подскажет что дальше делать?
Все более четко вырисовывается вариант создания "чистой зоны" с новым PDC, эксчангем и подобной сервисной приблудой, с последующим перебором всех пользовательский ПК. Благо свичт находится недалеко и прекратить распространение по сети довольно просто
HELP ME, Comrades!.
