Вирусы, антивирусы....
Недавно познакомился с такой дрянью как
Kido (он же
Conficker),создаёт бот нет из заражённых машин, обновляется и модифицируется через свою пиринговую сеть.
Признаки: повышенная сетевая активность на 445 и 139 портах, повышенная нагрузка на контроллеры домена (заметно сразу по индикации HDD), падение windows сети каждые 15ть минут.
Профилактика.
Иметь установленные обновления безопасности из бюллетеней безопасности microsoft MS08-067, MS08-068, MS09-001, иметь KAV6.0 полноценный.
Лечение.
Отключить сеть от серверной площадки и маршрутизатора. Записать на CD-R утилиту удаления
http://data2.kaspersky.com:8080/special/KK_v3.4.6.zip + обновления из бюллетеней microsoft. Запустить содержимое на windows сервере (отключенном от сети!) в последовательности утилита->обновления, далее обеспечить возможность интернет доступа к windows update (автоматически установить все доступные обновления безопасности), установить антивирус KAV 6,0, обновить (желательно чтоб в сети был сервер администрирования KAV в дальнейшем он будет очень полезен). Проделать эту операцию в первую очередь на контроллерах домена и серверах работающих с правами администратора домена.
НА этом действия на серверной площадке заканчиваются.
С всеми клиентскими машинами проделывается всё точно так же (можно использовать vlan, для разделения больная-живая сеть). В первую очередь проверяются критичные к простою ПК (где круглосуточно используется АП). Далее вам пригодится утилита сканер сети, для выявления инфицированных хостов (сейчас название не вспомню, если кому-то нужно, могу попозже поделится), сканируете полностью диапазон всех ip адресов вашей сети, выявляйте инфицированные машины. Их отсутствие в списке с флагом инфектед и отсутствие постоянных запросов к контроллерам домена говорит о излечении.
1. Не пользуйтесь флешками, отключите автозагрузку с носителей.
2. Если в сети имеется сервер администрирования KAV, то запустите с него централизованно утилиту и установите последнюю версию KAV и агента администрирования.
3. Блокируйте на сетевом оборудовании нежелательные хосты с повышенной активностью.
4.Не начинайте искать кто принёс вирус в 90% случаев после его быстрой "стерилизации" пользователь как ни в чём ни бывало заикнётся, а как бы мне компьютер домашний полечить, а-то подглючивает.
5. Ни в коем случае не говорите пользователю о вирусной активности, ведите разговор уклончиво, тогда не будет цыганской почты и кипишей.
6. Не слушайте идеи советчиков, займите одну позицию в стратегии, не пытайтесь физически выключить всю сеть в надежде что после удаление вируса станет проще.
7. Смените пароль локального администратора, он не должен быть пустой или простой, впрочем как и все пароли пользователей домена.
8.К утилите удаления можете добавить средство удаления вредосносного ПО от microsoft, апрельская версия.
9.Если хочется более детально знать картину по сетевой активности, применяйте сниффер на зеркальный порт. Не наставляйте на сервера и станции всяческие альтернативные Frewall и кучу дополнительного ПО.
Более официально можете почитать в интернете по ключевым словам из названия заразы.
Типовое эффективное решение описано тут
http://support.kaspersky.ru/faq/?qid=208636215
Ну в общем примерно так. Всем удачи в нашем порой не лёгком и не всегда заметном и понятном труде, но всёже мы делаем мир лучше!