|
Посоветуйте как побороть в локалке эпидемию вируса...
в последнее время в локалке из примерно 300-350 компов широко распространяется эпидемия вируса-червя и т.д.
жертвами стают почти все машины на которых стоит НОД 23, аваст и т.д. мои наблюдения: ЕСет смарт секьюрити каждый день обновлялся, все включено в настройках защиты, но вот тяп - и тачка глчит, непонятные ошибки системы, и т.д. явные признаки нестабильной работы системы. По этому поводу Каспер инет секьюрити 7 почти каждые 5 мин выдает вот что: http://img132.imageshack.us/img132/4...chatij2.th.jpg или же http://img267.imageshack.us/img267/8...chatce2.th.jpg провайдер предлагает бесплатно на год ДрВеб, но никто не обращает внимания... всем паралельно.. и отключать их не будут так как это деньги провайдера.. Кто что может посоветовать? какой нить фильтр от распространения, или (раз уж на тех компах есть эта зараза, значит можно как нить по сети получить доступ к ПК) вручную без ведома пользователей удалять.. Принимаются любые ответы. Спасибо. |
системы обнавить и проблемы кончатся.... Это старенькие баги уже =)
|
В условиях не центролизованного управления эпидемию впринципе не возможно остановить.
|
Цитата:
и платить никто не хочет, мол работает - значит пока работает... и отключать их не будут... тогда пол сетки отключить нужно. никто на это не пойдет - слишком много потерь денег тем более в условиях кризиса.. |
вакцинировать здоровых, больных придется изолировать и сжечь =\
|
Цитата:
Добавлено: да и тебя каспер спасает.... Пусть другие тоже поставят =) Платить не придется так как кеев в нэте куча |
Врятли у многих лицензионный Windows,да и про обновления 60% не знает.Из антивирусов можно взять Avira PE бесплатен и вполне конкурент Касперскому.Но заставить массу людей поставить хоть какие-то средства защиты заставить врятли удасться.Так что в данной ситуации придеться смириться или ограничивать доступ,если инфицирован,но на такие жертвы не кто не когда не пойдет.
Можно написать Faq ,что ставить и как настроить,и постоянно тыкать носом. |
Цитата:
|
Цитата:
я имел в виду то, что можно ли поставить какой нить фильтр от дальнейшего распространения по сети, или же переделать виря, чтоб он распространялся и удалял своего предшественника... что нить в этом роде. есть ли подобные утилиты? Спасибо всем кто участвовал, но проблема до сих пор актуальна. жду предложений. спасибо. |
Разошли всем юзерам письмо с фейковым адресом мыла якобы от провайдера:
Тра-та-та Вас привелтвует ООО"....." провайдер У нас такие то изменения тра-ла-ла, вот список необходимы действий которые вы должны выполнить в течение 48ми часов.....трулульме.....в случае не соблюдения.....опа опа опапа.......будет ограничена скорость/разорван контракт/приостановлено обслуживание/коллайдер рулит и.т.д че нить сообразиш... Я думаю процентов 30 точно поведётся. Можно сказать на пару дней ты будешь "централизованным управлением" =)) |
муторный способ: найти в нэте сплойт рком дком и ломится ко всем кто ломится к тебе и ставить им заплатки =)
при знании программирования (в принцыпе знания cmd хватит) можно автоматизировать/ |
Похожая ситуация в локалке, все файлы которые валяються на шаре заражены вот этим - Virus.Win32.Sality.aa и вот этим - P2P-Worm.Win32.Bacteraloh.h, плюс в сети есть 6 компов которые постаяно сканят сеть на шары и открытые порты 110,53,25
как тока они находят открытые эти порты начинают дружно флудить пакетами в эти порты, еше я заметил что на этих машинах открыты 80 порт, при телнети на них ни какой реакции - конект тупо закрываеться, инет вобше падает постаяно, не кто не знает что это за дрянь такая, а то админ полный лошара, я ему показываю логи фаервола и говорю про то что у этих машин дружно открыты 80 порты - он говорит - ну мало ли че там у людей на 80 порту может быть от http серванта до хз че, а логи это еше не доказательство. |
ТСу необходимо зарезать нетбиос, т.е. 135, 137, 139, 445 и 1900 тсп-порты. В случае если у провайдера сеть на управляемом оборудовании, то сделать ето будет несложно. В случае если оборудование длинковское, типа DES-3526/3550 могу дать примеры ACL )
to PaCo: Админу нужно показывать логи файрволла, в которых флуд идет на твою машину и вынуждать его отключить данные тачки от сети, под предлогом того, что они тебя ломают. Практически у всех провайдеров в договоре есть пункт о том, что нельзя сканить сеть и т.д. и т.п., можно давить именно етим. |
читай про етот вирус потом пиши прогу которая будет удолять то что натворил этот вирусяк(ветки в реестре ,файлы которые он куда нить скопировал и.т.д.) Ставь себе этот файл на автозапуск и не беспокойся что что нить будет .а в антивирусе поставь чтоб он не выводил сообщение о обнаруженной атаке а чтоб он сразу запрещал атаку и удалял вирусяк .Больше нечего придумать немогу.Попробуй дописать в своей проге чтоб она тоже автоматом распространялась по сети по методу открытых на закачку ftp и открытых на закачку папок в сети .
|
Хех... Написать вирус, который будет бороться с другим вирусом?
|
Цитата:
|
Цитата:
|
Цитата:
|
Хех... Лучше никто ломиться не будет.
|
ну ето да
|
Цитата:
ктото сидит за локальным компом., ктото из сотрудников, 80% и использует эксплоит dcom_rpc, при успешной атаке на комп., ты получишь ком. строку с правами системы а тут ты можешь сделать все что хочешь. выход провер лок. компы XSpider 7.5. поставь заплатки. закрой 135, 138 порт если он не требуеться |
| Время: 13:01 |