В нашем домене поселился замечательный сосэд: http://mtc.sri.com/Conficker/addendumC/
Предыстория.
Машины в сети пропатчены, с антивирусом. Все равно в system32 постоянно появляется кидо, под разными именами. Отлавливается антивирусом, но все равно неприятно. Filemon не регистрирует его появления: не было в systemp32, потом появляется (имя постоянное, но разное на разных машинах. На моей например omrylg.b).
И еще: осталась всего пара Win2k машин, одна из них - резервный DC.
История.
Поведение того DC, который под win2k, мне не нравилось: снифф проходящего через центральный коммутатор трафика показывал ARP-запросы на невыделенные IP-адреса. Пару недель назад я его смотрел, был чистым.
Сегодня: kidokiller.exe, procexp.exe, tcpview.exe - запускаются и сразу закрываются. Дело нечисто. Диагноз приведен в начале поста.
За сим - хэппиэнд.
3 комментария:
Это вирус что-ли?
Слава б-гу, я перешел на Linux.
Да, kido aka conficker aka downadup и с элементами руткита.
Драть его пришлось связкой Gmer + AVZ и еще Unlocker не помешал бы.
Вчера жена купила выпуск Хакера с диском Lenny внутри, сення снесу нахрен раздел с Вистой и поставлю Дебианег.
это правильно. я вон себе на личном буке и на рабочей станции поставил xubuntu, на втором буке поставил Ubuntu 9.04 бетку, все работает как едреной насос.
Отправить комментарий