Блог иркутского сисадмина

Эффективные стратегии: вирус в сети компании

Не важно как попал в вашу сеть вирус: принесли на флешке, подцепили в интернете или получили по почте от врагов. Антивирусная система сразу среагировала и надлежащим образом обработала его. Супер! +1. А если она не сработала? К примеру, это новая модификация вируса и в базах этих сигнатур нет. И, как следствие, часть компьютеров оказались заражены и опасны для оставшегося неповрежденного сегмента сети.

Рассмотрим стратегию, когда есть возможность остановить работу сети на какое-то время, а вирус распространяется по сети через определенную уязвимость или простым копирование на сетевые ресурсы.

1. Обнаружили вирус на нескольких компьютерах.
2. Первым делом временно "ложим" сеть (отключаем все коммутаторы, маршрутизаторы и беспроводные устройства).
3. Далее ищем способ удаления вирусов (обновляем базы, вручную удаляем и чистим реестр etc)
4. Начинаем последовательно обходить все компьютеры сети (начиная с серверов) и определяем зараженные ПК. Если компьютер заражен, временно отключаем его от сети (выдергиваем сетевой кабель или просто отключаем соединение). Удаляем на незараженных ПК копии вирусов (если он распространяется копированием на расшаренные сетевые диски.)
5. Поднимаем сеть, чтобы пользователи незараженных компьютеров продолжали работать.
6. Последовательно лечим зараженные ПК (начиная с наиболее важных) и подключаем их к "чистой" сети.

Данная стратегия хоть и не является идеальной, но уже доказала свою работоспособность и эффективность.

UPD. Отличный FAQ по удалению Kido Killer`а из сети без перезагрузки компов описана в комментарии №7

Также рекомендую следующие записи:

• Проблема с NetBIOS в домене (2)
• Защита вашей Wi-Fi сети (5)
• Грамотное добавление сетевого диска через политики (14)
• Уязвимость в Samba: небезопасная конфигурация по умолчанию (0)
• Установка Ubuntu Server 10.04.1 с флешки (7)

Алексей, а что Вы можите посоветовать для моего случая.
Есть сеть, около 500 машин по сети гуляет вирус вылечить его не получается, так как сеть "класть" нельзя, (работа идет круглосуточно)
и доступа ко всем компьтерам нет (некоторые компьютеры находятся в личных кабинетах и закрываются на ключ. В итоге получается так что там где вылечили заново появляется зараза. Крутим скрипт на удаление вируса но пока без результатно.

Спасибо за оперативность,
вирус имя которому Kido,
помогает только апдейд до winXP_SP3, но в сети так же присутствуют машины с win2000_sp4,
используем kidoKiller (KK) (на всех машинах стоит KAV win work station 6),
по поводу того что запустить проверку на всех машинах одновременно как я уже сказал во время проверки не которые компьютеры отключенны и получается что 90% мы излечиваем, а остальные 10% которые были оффлайн потом начинают долбить атаками эти 90% вот такая вот хурма.

А если есть возможность на день-два поделить средствами коммутаторов/маршрутизаторов сеть на сегменты и лечить сегментами

Спасибо попробую,
а насчет SP3 везде где можно он стоит, почему-то как правило, Kido на win2k заседает, причем конкретно (от пропажи сети принтеры\компьютеры, до блокировки учетных записей) спасибо за совет будем пробовать !

Тоже сеть глючила страшно из-за Kido.
Удалось избавиться от него только методическим обходом ВСЕХ компов, начиная с сервера.
1. Накатывал три патча виндов:
WindowsXP-KB885250-x86-RUS.exe /passive /norestart
WindowsXP-KB921883-x86-RUS.exe /passive /norestart
WindowsXP-KB923414-x86-RUS.exe /passive /norestart
2. KidoKiller параллельно вычещал.
3. В реестре следующее правил:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutorun"=dword:000000ff
"NoDriveAutoRun"=dword:3fffffff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Scheduler]
"Start"=dword:00000004
4. Плюс удалил из реестра ВСЕ ключи в этой ветке: MountPoints2
Их там несколько штук, нужные потом после перезагрузки создаются.
При этом компы от сети НЕ выключал и естественно сеть и серваки при этом работали. На компах стоит каспер воркстейшен 6.0. После апдейта виндов он самостоятельно начинает этот Кидо убивать.
Все.
Время от времени он появляется (приносят на флешках) но его каспер тут же прибивает.

Дополню….
Локальное удаление:

1. Запустите файл KK.exe.
2. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KK.exe с…
3. Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KK.exe, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Централизованное удаление:

1. В Консоли Администрирования создайте инсталляционный пакет для приложения KK.exe . На этапе выбора дистрибутива приложения выберите вариант Создать инсталляционный пакет для приложения, указанного пользователем. В поле Параметры запуска исполняемого файла укажите ключ -y для автоматического закрытия окна консоли после того, как утилита отработает.

2. На основе данного инсталляционного пакета создайте групповую или глобальную задачу удаленной установки для зараженных или подозрительных компьютеров сети. Вы можете запустить утилиту KK.exe на всех компьютерах вашей сети.

3. Запустите задачу на выполнение.