Автор Тема: Вирус под названием IMG001.exe и EIMG001.zip  (Прочитано 22979 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Вирус под названием IMG001.exe и EIMG001.zip
« : Декабрь 15, 2015, 01:59:45 pm »
В организацию пришел вирусный файл с названием которое указано в шапке. Я так понял что это как раз какой то шифровальщик.
Вирус оказался очень печальный. Завелся на одной машине, потом пошел по сети на все остальные 100 машин!!! Касперский, естественно, в очередной раз промолчал (из-за этого скоро будет покупать лицензию на NOD32). У меня на рабочем буку из принципа стоит NOD32. Да и дома уже лет 7 стоит он же. Вот NOD на флэшке вирусный файл поймал и прибил его сразу. Правда касперский его позже тоже начал ловить, когда они базы обновили, но он почему то не пролечил компьютеры и не пресек распространения вируса по сети.

Вирус создает папки на диске C: с именами пользователей в виде (бухгалтер, администратор и.т.д)
Пришлось мне все выходные торчать на работе, отключать все машины от сети и проходить каждую dr.Web livecd. Вроде все пролечил, но пока еще не решился включать все компы обратно в сеть, ибо страшно! Пока только некоторые включил (5 штук).

Кто сталкивался с таким? Какие действия были сделаны? Может где то в глубоких недрах системы частица вируса таки остается и ее нужно вручную кикнуть? И как вообще избавится от дальнейшего появления данного вируса на машинах?

Сейчас заблокированы все внешние устройства, пользователи не могут пользоваться флэшками ибо доступ ЗАКРЫТ через групповые политики ко всем внешним устройствам!!

 

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #16 : Декабрь 16, 2015, 03:26:52 pm »
Разбирайся, а на счёт Eset'а, смена антивируса не панацея, лично видел машины которые были поражены вирусами и на которых стоял Eset. Каспер на много гибче чем был есет в начале года по крайней мере, влюбом случае перед миграцией протестируй пилот, сравни по функционалу. Каспер по контролю приложений и переносных устройств был гибче есета, на сколько помню..

Вот из-за этого я и не хочу с Каспера уходить. Но он дырявый блин. Он не ловит вирус, который ловит Eset. А этот вирус очень распространен и по всей школе гуляет на флэшках. Это тот который делает папки ярлыками на флэшках.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #17 : Декабрь 16, 2015, 03:39:04 pm »
Специально для одной из школ написал эту утилиту в свое время:
http://forum.sys-admin.kz/index.php?topic=1294.0
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

Оффлайн MFlyagin

  • Сообщество ИТ-Специалистов
  • Опытный пользователь
  • ***
  • Сообщений: 138
  • Karma: +17/-1
  • Пол: Мужской
    • Share Post
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #18 : Декабрь 17, 2015, 03:31:11 pm »
Предлагаю начать сначала. Каким образом через почту попал экзешник пользователю. Как они работают с почтой? Что за почта? Есть ли почтовый сервер? Или его не через почту подцепили?

Оффлайн Al8

  • Пользователь
  • **
  • Сообщений: 97
  • Karma: +4/-3
    • Share Post
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #19 : Декабрь 21, 2015, 12:11:04 am »
Согласен, антивирусы это маркетинг.  Они все время все пропускают, им заразу сам шлешь, чтобы они свои базы обновили. Обычные юзеры верят, да и пусть верят).

Автор, антивирус берите с функцей sandbox.  Это мое скромное имхо.
Да и как сказали выше, ограничтье права и делайте бекапы(если требуется). Если есть АД заблокируйтезаблокируйте USB порты. На почтовике запретите файлы неизвестного типа.

Мне лично Comodo из антивирусов нравится. Дома стоит и работает, что еще надо.
« Последнее редактирование: Декабрь 21, 2015, 12:15:45 am от Al8 »

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #20 : Декабрь 23, 2015, 07:44:41 am »
Это все конечно хорошо, да я и сам это понимаю. Но... Почта у нас школьная стоит на mail.ru (не моя инициатива, было сделано до меня)
USB порты я попробовал как то заблокировать, через Kaspersky Security Center закрыл доступ ко всем USB устройствам (ВОНИ БЫЛО НА ВСЮ ШКОЛУ!!!!) почему у нас не работают флэшки!!! Я объяснил, что это ради безопасности, чтобы вирусы не переносили на машины через флэшки. В итоге пришлось вернуть доступ к флэшкам. Потому что всем нужны флэшки, мы работаем с флэшками, у нас флэшковая секта, мы любим флэшки, флэшки спасут мир, я флэшка и.т.д.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #21 : Декабрь 23, 2015, 08:29:19 am »
Поступи гибче, заблокируй запуск исполняемых файлов с флешек и отключи автозапуск ;)

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #22 : Декабрь 23, 2015, 08:47:06 am »
Поступи гибче, заблокируй запуск исполняемых файлов с флешек и отключи автозапуск ;)

Ну и опять же, не выйдет!!!! Знаешь почему? Потому что у бухгалтерии есть флэха, с которой запускается exe файл для доступа в Сбербанк Онлайн.
И так же у администрации школы есть флэшки с цифровой подписью (Рутокены всякие, Етокеты и.т.д.) Но на них я конечно думаю политика не будет действовать.

UPD: И вообще. Ты же видишь что у меня творится с GPO. Для того чтобы начать нормально настраивать политик, нужно чтобы они отрабатывали корректно, а они как попало работают. Даже пользователи из группы Администраторов не выводятся. А одна машина вообще умирает после применения политики.
« Последнее редактирование: Декабрь 23, 2015, 08:56:08 am от ScreN »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #23 : Декабрь 23, 2015, 09:00:16 am »
Сделай исключения для нужных файлов и залочь все остальные

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #24 : Декабрь 23, 2015, 09:07:17 am »
Сделай исключения для нужных файлов и залочь все остальные

Звучит супер. Вот как политики заработают, так и займусь.

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Re: Вирус под названием IMG001.exe и EIMG001.zip
« Ответ #25 : Декабрь 27, 2015, 01:59:16 pm »
Ковырялся тут и зачем то понадобилось зайти в планировщик заданий на одной из машин.

И что я там увидел?
Данный вирус поставил в планировщике задание на запуск самого себя. И такое задание на всех машинах, в которых был данный вирус. Во вложении изображение с КД1.
Как то через групповые политики массово можно очистить планировщик у пользователей?

Как вариант может вообще отключить планировщик на всех машинах? Какие могут возникнуть проблемки?
« Последнее редактирование: Декабрь 27, 2015, 02:06:27 pm от ScreN »


xx
вирус mco.sys

Автор NasOrda

0 Ответов
3869 Просмотров
Последний ответ Январь 17, 2011, 03:05:56 pm
от NasOrda
exclamation
Троянский вирус в Линуксе

Автор Deonis

12 Ответов
1696 Просмотров
Последний ответ Апрель 10, 2015, 03:38:08 pm
от Deonis
xx
Вирус Win32/Virut.NBP

Автор NasOrda

1 Ответов
1883 Просмотров
Последний ответ Август 26, 2015, 10:49:53 am
от sysadmin
xx
Вирус Cache.cmd (cach.cmd)

Автор NasOrda

0 Ответов
5342 Просмотров
Последний ответ Январь 13, 2011, 09:38:05 am
от NasOrda