BigAp.ru — интернет-магазин электроники и бытовой техники

Автор Тема: Вирус под названием IMG001.exe и EIMG001.zip  (Прочитано 11070 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Вирус под названием IMG001.exe и EIMG001.zip
« : Декабрь 15, 2015, 01:59:45 pm »
В организацию пришел вирусный файл с названием которое указано в шапке. Я так понял что это как раз какой то шифровальщик.
Вирус оказался очень печальный. Завелся на одной машине, потом пошел по сети на все остальные 100 машин!!! Касперский, естественно, в очередной раз промолчал (из-за этого скоро будет покупать лицензию на NOD32). У меня на рабочем буку из принципа стоит NOD32. Да и дома уже лет 7 стоит он же. Вот NOD на флэшке вирусный файл поймал и прибил его сразу. Правда касперский его позже тоже начал ловить, когда они базы обновили, но он почему то не пролечил компьютеры и не пресек распространения вируса по сети.

Вирус создает папки на диске C: с именами пользователей в виде (бухгалтер, администратор и.т.д)
Пришлось мне все выходные торчать на работе, отключать все машины от сети и проходить каждую dr.Web livecd. Вроде все пролечил, но пока еще не решился включать все компы обратно в сеть, ибо страшно! Пока только некоторые включил (5 штук).

Кто сталкивался с таким? Какие действия были сделаны? Может где то в глубоких недрах системы частица вируса таки остается и ее нужно вручную кикнуть? И как вообще избавится от дальнейшего появления данного вируса на машинах?

Сейчас заблокированы все внешние устройства, пользователи не могут пользоваться флэшками ибо доступ ЗАКРЫТ через групповые политики ко всем внешним устройствам!!

 

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8016
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #1 : Декабрь 15, 2015, 04:43:07 pm »
А с файлами что делает?

З.Ы. не сталкивался
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #2 : Декабрь 15, 2015, 05:15:43 pm »
А с файлами что делает?

З.Ы. не сталкивался

Ну если верить описанию, Вирус подбирает пароли пользователей и куда то видимо их отправляет + жестко тормозит систему.

UPD: А вот уже и тему создали 12 числа на этот вирус
« Последнее редактирование: Декабрь 15, 2015, 05:20:09 pm от ScreN »

Оффлайн Al8

  • Пользователь
  • **
  • Сообщений: 97
  • Karma: +4/-3
    • Share Post
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #3 : Декабрь 15, 2015, 06:35:28 pm »
Так это получается не вирус шифровальщик.  Вам повезло.
Антивирусы против вирусов шифровальщиков бессильны.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8016
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #4 : Декабрь 15, 2015, 07:16:36 pm »
Антивирусы это фикция )) Иллюзия безопасности )) Не стоит на них надеяться... ))

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8016
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #5 : Декабрь 15, 2015, 07:17:17 pm »
Действовать надо превентивно, а не проактивно ))

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #6 : Декабрь 16, 2015, 06:23:14 am »
Ну тем не менее я уматался с этим паразитом. Если бы он еще по сети не распространялся, то ок. А он же заразил все машины, пришлось все выходные работать. И все равно я не уверен, что  после того как я включу все машины в сеть, он опять откуда нибудь не вылезет.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8016
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #7 : Декабрь 16, 2015, 09:38:55 am »
Занизь права у юзеров по макмимому, разграничь права на общие ресурсы, у тебя домен?

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #8 : Декабрь 16, 2015, 11:17:58 am »
Занизь права у юзеров по макмимому, разграничь права на общие ресурсы, у тебя домен?

Да, недавно поднял домен. Сразу после исправления вируса, через Kaspersky Security Center ограничил доступ к USB накопителям. Теперь все ко мне бегают, не могут флэшки открыть :) Приходится определенную флэшку в доверенные отправлять, чтобы она открывалась на определенной машине. Но с такими успехами я чувствую доступ к USB накопителям открою всем в итоге, и опять этот вирус притащат на флэшки.

На счет общий ресурсов. Имеется одна папка Обмен на отдельном сервере, не на ПРОКСИ! На нее стоят права для пользователей обменника. Все лишние пользователи оттуда выпилины, только администрация.

Я пытаюсь ограничивать права. Юзаю доменные групповые политики и.т.д. Но пользователи начинают вайнить то что у них все заблокировано и ничего не работает :) И как вот работать и обеспечивать максимальную безопасность?

У меня как бы все по отделам разбросанно. Есть 2 кабинета информатики где работает школота ололо. Для них само собой в групповых политиках ограничения по максимуму. Программы они из под доменной учетки ставить не могут, а пароля от админской учетки у них само собой нету. Так же через Traffic Incpector у них стоят жесткие фильтры на Соц-сети, поисковики, порно и.т.д.
А вот на администрацию школы права само собой немного другие. Их доменная учетка входит в группу Администрация и имеет почти полный пакет прав. Программы они ставить могут и.т.д. Ну и фильтра на них в TI маленько другие. Но с ними понятно, они ОСь сломать не смогут потому что боятся и всегда зовут меня если что.
« Последнее редактирование: Декабрь 16, 2015, 11:25:04 am от ScreN »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8016
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #9 : Декабрь 16, 2015, 11:58:46 am »
Домен уровня 2008?

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #10 : Декабрь 16, 2015, 12:13:07 pm »
Домен уровня 2008?

Угу. R2 без обновлений. Что то я боюсь на него обновления с центра обновлений Windows накатывать.
И вот прямо сейчас поднимаю резервный КД для репликации первого.

И еще на счет общих ресурсов.
На КД1 и на КД2 открыт общий доступ по умолчанию к папкам SYSVOL, NETLOGON, IPC, C, D, ADMIN. Эти же папки нельзя убирать из общего доступа не в коем случае?
« Последнее редактирование: Декабрь 16, 2015, 12:38:12 pm от ScreN »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8016
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #11 : Декабрь 16, 2015, 01:54:55 pm »
Ещё шарная папка (что то вроде _mstds), нет не надо отключать, настрой политики Software Restriction и Application Locker, залочь все левое ПО, левые месторасположения, то что вирус по сети распространился, значит есть доступ к сетевым ресурсам, проведи аудит, сделай только нужное для целевых пользователей.. Т.е. если "Вася" заризится, что бы смог заразить только "свои" файлы... Не системные, ни какие другие...

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8016
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #12 : Декабрь 16, 2015, 01:58:05 pm »
З.ы. антивирус корпоративный? Если так он должен поддерживать функционал контроля приложений, его тоже задействуй и будет тебе счастье )

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #13 : Декабрь 16, 2015, 02:49:33 pm »
З.ы. антивирус корпоративный? Если так он должен поддерживать функционал контроля приложений, его тоже задействуй и будет тебе счастье )

Конечно корпоративный. Касперский с полностью оплаченной лицензией на 100 машин. Вот только я все таки на NOD32 переходить собираюсь. Сейчас кончится лицензия на Каспера и наверное купим NOD32.

В Каспере конечно есть контроль приложений. Там даже есть список приложений которыми пользуются пользователи, Центр управления сам инвентаризацию софта пользовательского проводит. Я там могу выбрать левый софт и заблочить его. Но я пока в этой функции не полностью разобрался. Да и все пользователи пользуются разным софтом, вот и пойми, что блокировать, а что нет. Я точно попытался заблокировать вирусный файл по названию IMG001.exe. Фиг знает, сработало ли. Он сейчас в списке заблоченых приложений.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8016
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #14 : Декабрь 16, 2015, 03:15:04 pm »
Разбирайся, а на счёт Eset'а, смена антивируса не панацея, лично видел машины которые были поражены вирусами и на которых стоял Eset. Каспер на много гибче чем был есет в начале года по крайней мере, влюбом случае перед миграцией протестируй пилот, сравни по функционалу. Каспер по контролю приложений и переносных устройств был гибче есета, на сколько помню..


xx
вирус mco.sys

Автор NasOrda

0 Ответов
2946 Просмотров
Последний ответ Январь 17, 2011, 03:05:56 pm
от NasOrda
xx
Вирус Win32/Virut.NBP

Автор NasOrda

1 Ответов
675 Просмотров
Последний ответ Август 26, 2015, 10:49:53 am
от sysadmin
xx
Вирус Cache.cmd (cach.cmd)

Автор NasOrda

0 Ответов
4543 Просмотров
Последний ответ Январь 13, 2011, 09:38:05 am
от NasOrda
exclamation
Троянский вирус в Линуксе

Автор Deonis

12 Ответов
866 Просмотров
Последний ответ Апрель 10, 2015, 03:38:08 pm
от Deonis