Шпаргалка системного администратора

Хочу поделиться не очень приятным опытом использования корпоративного антивируса Drweb.

Требует довольно серьезных ресурсов, что для машин 3 летней давности весьма критично.Таких машин мне встречается подавляющее большинство.  Время от времени компьютеры замирают, не реагируют на действия пользователя. Даже касперский славный любовью к ресурсам компьютера с давних пор, не может сравниться с результатом деятельности drweb.

Еще одна неприятная особенность – антивирусный агент является причиной части “голубых экранов” в windows. Короче – категорически не советую использовать. Из плюсов могу вспомнить только консоль управления (web- консоль)  и возможность обновления агентов без доступа в интернет. Но это вроде не только drweb умеет .  При удаленном drweb компьютер просто “взлетает”. Чем пользоваться ? ну тут много вариантов. На мой взгляд интересен eset Nod32, хотя и не слишком дешев для корпоративного использования.

Впрочем, не только curit. Вирусу не помешал и установленный Aваст Home. Однако, следует заметить, что единственным антивирусом, которому вообще удалось запуститься оказался как раз Curit. Видимо, это связано с тем что имя исполняемого файла антивируса при каждой загрузке генерируется произвольно. Вот только он не нашел следов руткита. Остальные антивирусы блокироывались “заразой”. При попытке их запустить происходила перезагрузка explorer, сами антивирусы не запускались. Что это именно руткит, я понял поглядев на HKLM\software\microsoft\Windows Nt\CurrentVersion\Winlogon. Именн

о там и была изменена строчка userinit. Исправив ее на стандартную я оказался неприятно удивлен – после нажатия F5 она вернулась к зараженному варианту ! Убедившись, что не видно вирусных процессов ( а в случае с руткитом это не редкость) пошел другим путем. На место файла вируса в windows\system32\ положил notepad.exe . Это было сделано на случай, если при перезагрузке вирус проверяет наличие своего исполняемого файла. Результат: после перезагрузки сам запустился не вирус а блокнот . Дальше стало возможно пользоваться обычными антивирусами, так как вирус был уже не активен.

Особенность системы DrWeb Enterprise Server в том, что используются клиенты на рабочих  станциях и сервер на машине с интернетом, обновления раздает она. Если понадобилось переустановить сервер, нужно сохранить критические файлы – лицензионные ключи, drwcsd.pri и drwcsd.pub, находящиеся
drwcsd.pri в папке \etc\ и drwcsd.pub в папке \install\ внутри \programm files\ DrWeb Enterprise Server.  Также нужен файл dbinternal.dbs .

Файлы drwcsd.pub и drwcsd.pri нужны, чтобы не пришлось переустанавливать агентов на рабочих станциях. В противном случае в трее агенты drweb будут перечеркнуты красным крестом, а в логах сервера будет информация о том что клиенты Not authorised.  На неработающих клиентах также будет видна информация о том что они не автризованы. Для диагностики можно воспользоваться логами сервера и клиентов.

Если по каким-то причинам пришлось создать новую базу данных, нужно заново разрешать авторизацию агентов на сервере. Для этого в настройках сервера требуется поставить галочку “помечать неавторизованных как новичков”.  Нужно включить все компьютеры с агентами, при запросе на обновления они появятся в списке неавторизованных, и им можно будет разрешить авторизацию, щелкнув правой кнопкой мыши на списке.

Также полезная информация по настройке DrWeb Enterprise Server доступна здесь.

Тема достаточно освященная в интернет прессе. На этой странице http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx перечислены версии windows имеющие уязвимость, а так же расположены ссылки на патч закрывающий уязвимость. Следует отметить что последние версии Microsoft Windows также подвержены этой уязвимости. В результате использования этой уязвимости становится возможным удаленно выполнить код на машине жертве (Remote Code execution). Для 32- битной версии Windows 7 патч выложен здесь: http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=22e62b5c-e4c1-47d0-ae4a-8bd2d70d0a0a
Список вирусов использующих данную уязвимость увеличивается.
Например, ее используют вирусы Zeus, Sality, CJX, Trojan-Downloader:W32/Chymine.A, Worm:W32/Vobfus.BK и Stuxnet rootkit. Заражение стало возможно и с флэш носителей.

© http://voxadmin.ru/

Постараюсь просто рассказать факты, не используя пока анализ механизмов диагностики, только

случаи из практики.

Итак наиболее распространенные антивирусы :

1) Касперский – у домашних и последнее время, чаще на работе.

2) Eset NOD 32 - у домашних и на работе

3) Symantec Endpoint protection – у корпоративных пользователей

4) Avast Home edition – у домашних пользователей

5) Если интересно добавьте свой вариант часто используемого антивируса.

6) Drweb скорее популярен как средство скорой помощи (cureit)

Итак, по первым четырем антивирусам вирусы

приходилось лечить не один раз, в основном это трояны и руткиты.  Почти во всех случаях это были ежедневно обновляемые базы. В моей практике под  Avast  лечить вирусы не приходилось, но есть сторонние отзывы, описывающие случаи заражения. Сам я использую для дома именно Avast. Дома   вирусы не встречались. Как дополнительный антивирус для дома, вполне удобно использовать Microsoft Security Essentials, для современных компьютеров нагрузка от связки Avast + MSE не напрягает.  Время от времени рекомендую запускать полное сканирование, для собственного спокойствия.

И что же получается ?  Как с возмущением спросила одна моя знакомая ” За что я платила деньги ? “

Кто защитит бизнес и домашних пользователей ?  Универсальный ответ только один – будьте осторожны, не открывайте вложения к письмам, в отправителях которых вы не уверены, как не банально это звучит, не качайте “крякнутые”  программы и кейгены – это довольно легкий путь для “инфекции”.  Будьте готовы к тому, что из налоговой и пенсионного фонда на флэшке вполне реально принести домой или в офис вирусы.  Порносайты тоже неплохое место для получения “подарков”.

Когда в icq  к вам обращается незнакомый контакт  (чаще всего “девушки”) не поленитесь, поглядите в его контакную информацию. Почему-то в большинстве случаев это профиль в  vknkte ( не опечатка) или  что- то похожее по смыслу.

Если все же вам не повезло, не расстраивайтесь наверняка рядом есть специалисты, которые вам помогут.

P.S. А вот здесь по исследованию Avast  - другое мнение.

При заходе на один из сайтов( не буду публиковать ссылку, чтобы любопытные не заразились)  выскочило вот такое любопытное окошко : Ваш компьютер под угрозой ! Найдено 6 вирусов!  Я бы конечно мог и впечатлиться, да вот дома windows Xp нет!

И находился в этот момент вовсе под линуксом   Таким образом злономеренный сайт изменил окошко браузера. Если приглядитесь, видно что это firefox. Вот только нормально закрыть это окошко не удается. – Мешает сообщение “Вы уверены что хотите отказаться от лечения системы ? “  Что-то не захотелось нажимать ни ok  yb отмена. Снял firefox c помощью утилиты htop от греха подальше При следующем запуске firefox спросил хочу ли я восстановить сессию. Нафиг! Нафиг! Ответил я…. Хоть и под линуксом, но wine  неплохо поддерживает работу win приложений. И вирусов тоже. Были уже отзывы…

Второй раз за неделю встретился с вирусом блокирующем экран компьютера, и обещающего отпустить если пошлешь sms на платный номер. Денег снимают по разному. От 170  до 700 рублей. Не дай бог отправить вам sms на этот номер. Есть отзывы, что снятие денег и полученный код, не всегда дает разблокировать компьютер. Общая схема проста – ищем онлайн генератор кодов от антивирусных компаний и вводим в окошко. Дальше все просто – ставим другой антивирус или обновляем имеющийся. Хоть экран разблокирован, но вирус еще жив и может о себе напомнить. Несколько раз тратил на вспоминание ссылки на генераторы кодов sms больше 5 минут, поэтому решил оставить себе шпаргалку. Пользуйтесь, может и вам пригодится.
Вот на сайте drweb.
Вот  ссылка на сайт VirusInfo

А тут, список сгенерированных номеров. Искать надо по номеру sms и начальным цифрам кода.

Часто троян определяется как  Trojan.Winlock
Телефон = “1046, текст id46144550″ Ответ = “021190″
Телефон = “1171, текст 402421″ Ответ = “himydarling”
Телефон = “1171, текст 40956 1315932″ Ответ = “hwz3ie”
Телефон = “1171, текст 526668″ Ответ = “5748839″
Телефон = “1171, текст 219981″ Ответ = “0000000″
Телефон = “1394, текст 733169″ Ответ = “66244623″
Телефон = “1819, текст 733169″ Ответ = “66244623″
Телефон = “2090, текст id4446333″ Ответ = “relax”
Телефон = “2090, текст id37641929″ Ответ = “зачислены”
Телефон = “2090, текст id38725679″ Ответ = “894002″
Телефон = “2090, текст id38948826″ Ответ = “пользователя”
Телефон = “2332, текст 88163922341″ Ответ = “111111111111111″
Телефон = “2332, текст LA bezee” Ответ = “111111111111111″
Телефон = “2474, текст 733167″ Ответ = “9242595″
Телефон = “2893, текст 70+96322″ Ответ = “47809123″
Телефон = “2895, текст 70+112701+kaspersky” Ответ = “930876718195″
Телефон = “2895, текст 70+111601″ Ответ = “381745019462″
Телефон = “3132, текст TIK (оплата через 123ticket.com)” Ответ = “13616″
Телефон = “3646, текст 213131″ Ответ = “runfunc01″
Телефон = “3649, текст regmemb” Ответ = “ub5761″
Телефон = “3649, текст 906030″ Ответ = “572244″
Телефон = “3649, текст 40956 1316167″ Ответ = “4853713″
Телефон = “3649, текст 212115″ Ответ = “13616″
Телефон = “3649, текст 215478″ Ответ = “13616″
Телефон = “3649, текст 212525″ Ответ = “13616″
Телефон = “3649, текст 212117″ Ответ = “13616″
Телефон = “3649, текст 212727″ Ответ = “13616″
Телефон = “3649, текст 212828″ Ответ = “13616″
Телефон = “3649, текст 212929″ Ответ = “13616″
Телефон = “3649, текст 213030″ Ответ = “13616″
Телефон = “3649, текст 213232″ Ответ = “13616″
Телефон = “3649, текст 213434″ Ответ = “13616″
Телефон = “3649, текст 213535″ Ответ = “13616″
Телефон = “3649, текст 213636″ Ответ = “13616″
Телефон = “3649, текст 215410″ Ответ = “13616″
Телефон = “3649, текст 211287″ Ответ = “0000-000″
Телефон = “3649, текст 212478″ Ответ = “0000-000″
Телефон = “4161, текст old jaxx” Ответ = “vash”
Телефон = “4161, текст old oper” Ответ = “vash”
Телефон = “4161, текст old safin” Ответ = “vash”
Телефон = “4161, текст old serzh” Ответ = “vash”
Телефон = “4161, текст old muzzon” Ответ = “vash”
Телефон = “4161, текст old tupak” Ответ = “vash”
Телефон = “4161, текст wwwmicrosoft” Ответ = “K2AR5-Y7895-FTT65-H7D7D-

Удачи !

Update: Помог еще один нехитрый метод.  Загрузились в режиме командной строки.
перешли на cd c:\windows\system32\restore
далее запускаем rstrui.exe  Выбираем точку восстановления когда все еще было хорошо. Правда после этого, все равно пришлось почистить реестр, убрать лишнее из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Там где shell должен быть только explorer.exe .

После лечения вирусов утилитой combofix может испортиться отображение русских символов
в командной строке windows XP . Понять что это произошло именно из-за сщьищашч можно, если вы найдете в реестре такую ветку :
HKEY_CURRENT_USER\Console\console_combofixbackup.
Значение кодовой страницы 866 там подменяется на 1251, что не верно для этой ситуации.
Помогает импортирование в реестр таких значений :

Код:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Console\%systemroot%_system32_cmd.exe]
“CodePage”=dword:00000362
конец кода
сохраните строчки выделенные зеленым в текстовый файлик с расширением .reg и запустите.

Чтобы увидет результат окно командной строки придется запустить заново.
Не забывайте делать резервные копии изменяемой ветки, при всех операциях с реестром!

На днях пришлось побороться. 

Файл Nssm.exe помещается в автозапуск Windows

По классификации Лаборатории Касперского Backdoor.Win32.IRCBot.mwc Из протестированных нашел его только антивирус Касперского

Drweb не определяется на 29.10

Ссылка на результат сканирования Drweb

Антивирусом Symantec Endpoint Protection со свежими базами от 29.10 не определяется.

Avast не определяет его так же. Обидно! Вроде неплохой и бесплатный для домашнего использования антивирус.

Бесплатный Clamav к сожалению ничем не выделился, если честно, то я и не расчитывал, что будет толк.

Лежащий на диске С: файл вируса Trend Micro Housecall не нашел Это меня откровенно разочаровало, Антивирус как я     считал из продвинутых.

Вирус послал для занесения в базу drweb. Надеюсь вскоре станет определяться.