Сегодня утром я проверял логи на своем сервере и обнаружил, что 2 дня подряд мой компьютер сканировали с одного и того же IP, из моей же подсети (значит клиенты того же провайдера что и я). Произведя пинг этого хоста, я обнаружил, что он все еще в сети и все еще пытается ко мне подключиться, притом что характерно, номер исходящего порта на этом компьютере был 1002, что сразу навеяло неприятные мысли. Дело в том, что этим портом пользуется вирус W32.Nimda поражающий в основном web-server IIS, который после полного захвата хоста начинает рассылать себя по мылу и сканировать локальную подсеть в поисках возможных хостов, на которых есть выявленные прорехи в защите и возможность записи в прошареные ресурсы. Для начала давайте разберемся, кто такая эта Nimda и как с ней бороться.
Вирус Nimda, который быстро распространяется по Интернету через приложения электронной почты, через веб-сайты с инфицированными серверами и инфицированными PC в среде LAN. Все незащищенные домашние и деловые PC, использующие операционные системы Win9x/NT/2000/ME, являются уязвимыми для этой вирусной инфекции. Как только PC инфицирован вирусом Nimda, система разыщет другие PC и распространит вирус, заканчивается все это автоматическим прослушиванием порта и серьезным засорением канала во время подключения к Интернету.
Теперь, я расскажу о результатах моего исследования того самого хоста. Так вот, после того как я установил, что хост все еще подключен к Интернету, я сделал первичный скан портов. В результате сканирования, я обнаружил, что хост действительно работает под Windows 2000 с предустановленным на нем IIS сервером. Множество открытых портов говорило о том, что админ не очень то заботился о безопасности. 139-ый порт также был открыт, и первым делом я, конечно же, попробовал просмотреть расшареные ресурсы на этой машине:
net view \xxx.xxx.xxx.xxx
где xxx.xxx.xxx.xxx - это, IP адрес удаленного компьютера. Увы, это мне, как я и ожидал - не удалось. Тогда я попытался установить нулевую сессию NetBIOS:
net use \xxx.xxx.xxx.xxxipc$ "" /user:""
Windows сообщил, что команда выполнена успешно, а это означало, что теперь то я действительно могу просмотреть общие ресурсы этого компьютера. На запрос о ресурсах я не получил ровным счетом ничего, то есть ресурс был один, а именно - Scheduled Tasks... зайти туда я мог, но вот для настройки самого шедулера мне нужны были админские права, а таких у меня не было.
Но желание отомстить злостному распространителю вирусов росло с каждой минутой. И вот, я запустил утилиту NetBIOS Enumerator, которая устанавливая нулевую сессию дает возможность просмотреть все логины на удаленном компьютере, то есть, грубо говоря - выдает список всех зарегистрированных юзеров и проверяет их на blank password (значит на отсутствие пароля). И тут я был приятно шокирован! Мало того, что логин Guest не требовал пароля, у него кроме всего были установлены права Администратора!!!
Вот тут бы я хотел сделать отступление: никогда, то есть НИКОГДА(!) не присваивайте пользователю "Гость" права Администратора! Это ошибка может вам дорого стоить!
Все что оставалось сделать, это приконектиться к удаленному компу в качестве Guest, что я и сделал. Все последующее было элементарно, утилитой Computer Management я приконектился к жертве и прошарил ему все возможные ресурсы. Потом я стал юзать его комп. Для начала я глянул в пару директорий, дабы убедиться, что комп действительно заражен Nimda. И эти опасения оправдались. После этого я удалил несколько dll файлов, которые размножали сам вирус. Кинул в нескольких директориях файлы аля LAMER_REDME.TXT, с настойчивым предложением почистить комп... отредактировал пару логов и пару ключей в реестре (разрешить ремоутное администрирование реестра на домашнем компьютере - полный дибилизм!), а также добавив в boot.ini парочку новых строчек (чтоб наверняка заметил), я с легкой руки перегрузил комп... и больше я про него не слышал.
Но на этом история не закончилась, логично рассуждая, я пришел к выводу, что если был один зараженный комп, есть и другие. Просканировав весь сегмент сети, в котором находился этот хост, я обнаружил, что на 12-ти(!) из 40 доступных систем, происходят далеко неприятные вещи, все та же "вириальная" активность. И самое интересное что, по всей видимости, зачинщиком была некая фирма (4 из 12-ти хостов принадлежали именно им). Так как ее компьютеры были основательно защищены от доступа снаружи, что дает повод думать, что заразились они либо из мейловой рассылки, либо лазая по левым сайтам, а уже от них вирус распространился в локальной сети.
К вечеру заражение приняло глобальный характер, и я нейтрализовав еще несколько компьютеров способом, описанным выше, вынужден был все-таки позвонить провайдеру и нагло заявить, что если они не отрубят этих прокаженных от сети, то к завтрашнему дню, вся их сеть будит один большой рассадник заразы! На что мне ласково улыбнулись в телефон и поблагодарив повесили трубку... А я решил, чем черт не шутит, и еще раз апдейтил "вшигонялку", и тьфу-тьфу, после полного скана антивирус ничего не нашел.
А теперь, для тех, кто столкнулся или еще столкнется с Nimda:
Чтобы удалить вирус с инфицированного компьютера, вам стоит посетить любой из следующий узлов и следовать опубликованным там указаниям:
1.http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm.removal.tool.html
2. http://vil.nai.com/vil/virusSummary.asp?virus_k=99209#RemovalInstructions
Далее: если у вас установлено следующее программное обеспечение в вашем компьютере, очень важно, чтобы вы загрузили и установили соответствующие патчи и заплатки для защиты вашей системы от вируса Nimda:
1. для Internet Explorer 5.0 и выше: www.microsoft.com/technet/security/bulletin/MS01-020.asp
2. для Outlook Express под Win98: www.Microsoft.com/technet/security/bulletin/ms01-020.asp
Из дополнительной предосторожности, я советую вам принять следующие профилактические меры:
1. Не открывать приложения электронной почты из незнакомого источника или с непонятным содержанием
3. Установить самое последнее антивирусное программное обеспечение, и регулярно обновлять его.
4. Сканировать ваш компьютер и систему регулярно, чтобы гарантировать, что у вас не завелся червь.
5. Отключить параметры совместного доступа к принтерам и файлам (ели они вам не требуются для работы).
6. Не устанавливать программное обеспечение, в котором обнаружены проблемы с защитой. |
Новости
Чаты
88:88 
