Эффективные стратегии: вирус в сети компании

Не важно как попал в вашу сеть вирус: принесли на флешке, подцепили в интернете или получили по почте от врагов. Антивирусная система сразу среагировала и надлежащим образом обработала его. Супер! +1. А если она не сработала? К примеру, это новая модификация вируса и в базах этих сигнатур нет. И, как следствие, часть компьютеров оказались заражены и опасны для оставшегося неповрежденного сегмента сети.

Рассмотрим стратегию, когда есть возможность остановить работу сети на какое-то время, а вирус распространяется по сети через определенную уязвимость или простым копирование на сетевые ресурсы.

  1. Обнаружили вирус на нескольких компьютерах.
  2. Первым делом временно "ложим" сеть (отключаем все коммутаторы, маршрутизаторы и беспроводные устройства).
  3. Далее ищем способ удаления вирусов (обновляем базы, вручную удаляем и чистим реестр etc)
  4. Начинаем последовательно обходить все компьютеры сети (начиная с серверов) и определяем зараженные ПК. Если компьютер заражен, временно отключаем его от сети (выдергиваем сетевой кабель или просто отключаем соединение). Удаляем на незараженных ПК копии вирусов (если он распространяется копированием на расшаренные сетевые диски.)
  5. Поднимаем сеть, чтобы пользователи незараженных компьютеров продолжали работать.
  6. Последовательно лечим зараженные ПК (начиная с наиболее важных) и подключаем их к "чистой" сети.

Данная стратегия хоть и не является идеальной, но уже доказала свою работоспособность и эффективность.

UPD. Отличный FAQ по удалению Kido Killer`а из сети без перезагрузки компов описана в комментарии №7


Также рекомендую следующие записи:


Понравилась статья? Подпишись на обновления по RSS, E-mail или добавляйте меня в Twitter.

Комментарии (10)


HelpDesk пишет:
14.08.2009 в 18:39

Алексей, а что Вы можите посоветовать для моего случая.
Есть сеть, около 500 машин по сети гуляет вирус вылечить его не получается, так как сеть "класть" нельзя, (работа идет круглосуточно)
и доступа ко всем компьтерам нет (некоторые компьютеры находятся в личных кабинетах и закрываются на ключ. В итоге получается так что там где вылечили заново появляется зараза. Крутим скрипт на удаление вируса но пока без результатно.



Алексей пишет:
14.08.2009 в 22:14

Странно, какой же у вас вирус, если его вылечили, а он опять закрался? Значит у вас постоянно не работают антивирусники на ПК, либо у вас схожий вирусняк что и у нас как-то был (не находился антивирусом и ложил доступ к компу из сети через дыру в ОС), то для начала обязательно следует пропатчить все операционки.

Если вирус не определяется вашим антивирусом - отправьте его экземпляр разработчикам антивируса, пускай добавят его сигнатуру в базы, потом через пару дней обновите базы и запустите полную проверку на всех ПК, не забывая про файловые серверы.

Изучите подробнее сам вирус (http://www.securelist.com/ru/), может найдете что-нить интересное.



HelpDesk пишет:
15.08.2009 в 01:10

Спасибо за оперативность,
вирус имя которому Kido,
помогает только апдейд до winXP_SP3, но в сети так же присутствуют машины с win2000_sp4,
используем kidoKiller (KK) (на всех машинах стоит KAV win work station 6),
по поводу того что запустить проверку на всех машинах одновременно как я уже сказал во время проверки не которые компьютеры отключенны и получается что 90% мы излечиваем, а остальные 10% которые были оффлайн потом начинают долбить атаками эти 90% вот такая вот хурма.



Алексей пишет:
18.08.2009 в 22:23

Знаем, знаем… Был тот же вирус и лечили тем же KidoKiller`ом. А если есть возможность на день-два поделить средствами коммутаторов/маршрутизаторов сеть на сегменты и лечить сегментами. Допустим, настроить VLAN`ы и давать только интернету раздаваться по всей сети. Либо внедрять SP3 через WSUS для большинства, остальные лечить ручками. Либо скриптом, но только в одно и то же время (через планировщик, но это тоже придется много приложить усилий).



HelpDesk пишет:
21.08.2009 в 15:00

А если есть возможность на день-два поделить средствами коммутаторов/маршрутизаторов сеть на сегменты и лечить сегментами

Спасибо попробую,
а насчет SP3 везде где можно он стоит, почему-то как правило, Kido на win2k заседает, причем конкретно (от пропажи сети принтеры\компьютеры, до блокировки учетных записей) спасибо за совет будем пробовать !



Алексей пишет:
21.08.2009 в 15:36

Незачт) Отпишитесь о результатах, интересно



zalman пишет:
20.11.2009 в 19:34

Тоже сеть глючила страшно из-за Kido.
Удалось избавиться от него только методическим обходом ВСЕХ компов, начиная с сервера.
1. Накатывал три патча виндов:
WindowsXP-KB885250-x86-RUS.exe /passive /norestart
WindowsXP-KB921883-x86-RUS.exe /passive /norestart
WindowsXP-KB923414-x86-RUS.exe /passive /norestart
2. KidoKiller параллельно вычещал.
3. В реестре следующее правил:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutorun"=dword:000000ff
"NoDriveAutoRun"=dword:3fffffff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Scheduler]
"Start"=dword:00000004
4. Плюс удалил из реестра ВСЕ ключи в этой ветке: MountPoints2
Их там несколько штук, нужные потом после перезагрузки создаются.
При этом компы от сети НЕ выключал и естественно сеть и серваки при этом работали. На компах стоит каспер воркстейшен 6.0. После апдейта виндов он самостоятельно начинает этот Кидо убивать.
Все.
Время от времени он появляется (приносят на флешках) но его каспер тут же прибивает.



Алексей пишет:
21.11.2009 в 00:09

zalman, +1 за столь подробнейший комментарий, достойный отдельной статьи) прям таки faq по выводу заразы.



Михаил пишет:
11.12.2009 в 12:05

Дополню….
Локальное удаление:

1. Запустите файл KK.exe.
2. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KK.exe с…
3. Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KK.exe, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Централизованное удаление:

1. В Консоли Администрирования создайте инсталляционный пакет для приложения KK.exe . На этапе выбора дистрибутива приложения выберите вариант Создать инсталляционный пакет для приложения, указанного пользователем. В поле Параметры запуска исполняемого файла укажите ключ -y для автоматического закрытия окна консоли после того, как утилита отработает.

2. На основе данного инсталляционного пакета создайте групповую или глобальную задачу удаленной установки для зараженных или подозрительных компьютеров сети. Вы можете запустить утилиту KK.exe на всех компьютерах вашей сети.

3. Запустите задачу на выполнение.



Алексей пишет:
11.12.2009 в 14:04

Вынесу все дельные комментарии в отдельный пост.


Оставить комментарий

XHTML: Вы можете использовать эти теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>