Июл 2nd 09 Posted by Безумный Админ in Windows

Net-Worm.Win32.Kido и Active Directory

Cнова вирус net worm kido изрядно попортил мне мозг. Предыдущая статья на эту тему тут. Начну с самого начала.

Действующие лица:
1.Сетевой червь Net-Worm.Win32.Kido (другие названия: Conficker, Downadup).
2.Серверы под управлением Windows Server 2003.
3.Служба каталогов Active Directory.
4. LDAP-клиент для платформ Win32 «Softerra LDAP Administrator 3.5»
5. Утилита Kidi kill

Был безоблачный летний день, юзеры спешили на работу что бы быстрее запустить свои адские машины и начать активно играть в косынку, лазить по порно сайтам ни что не предвещало беды. Но каково, же было их удивление, когда при вводе логина и пароля, компьютер выплюнул злобную надпись.

–”Вход в систему невозможен, так как ваша учетная запись заблокирована. Обратитесь к администратору сети”

В это время я наслаждался утренним кофе, серверы под управлением Win2003 Server радостно гудели, вдруг зазвонил телефон. Приятный женский голос сообщил, что учетная запись заблокирована, эх опять вы не можете запомнить свой логин ругнулся я в ответ и отработанным движением, открыв Консоль управления, снял галочку напротив “Account is locked out“.

Тучи сгущались над IT отделом. Вслед за этим безобидным звонком посыпался шквал подобных звонков с той же проблемой. После 200-го звонка сработал инстинкт самосохранения, и я отключил телефон.
Сомнений не было это Kido (он же Conficker, Downadup) Несмотря на то, что совсем недавно на все машины в сети были поставлены последние обновления, в числе которых MS08-067, MS08-068, MS09-001, Kido все-таки нашел одну или две машины, где был Windows XP SP2 без обновлений. Задача стала следующая, как из тысячной армии компьютеров отловить именно те, на которых завелся злобный вирус Kido. Люди начали звонить на мой мобильный и это очень отвлекало.

Открыл Softerra LDAP Administrator 3.5 и нажал Ctrl+F3, открылась форма поиска. Нужно было отфильтровать пользователей Active Directory у которых параметр подсчет неправильно введенных паролей (badPwdCount) был равен 5, так как в нашей сети только после пятого раза акаунт пользователя блокировался. В поле Filter ввел такую строку:

(&(objectCategory=Person)(objectClass=User)(badPwdCount>=5))

и нажал Enter. И ужас от увиденного испортил все настроение на весь оставшейся день. Больше 300 учетных записей уже было заблокировано, а ведь только 9 часов утра. Что то надо было делать, проскользнула мысль сходить за пивом. В помощь пришла утилита Kidi kill . Просканировав ей все домен контроллеры Windows Server 2003 и убедившись, что на них нет Kido стал смотреть журнал безопасности, а в нем красовались куча подобных записей:

Тип события: Аудит отказов
Источник события: Security
Категория события: Вход учетной записи
Код события: 675
Дата: 02.07.2009
Время: 9:55:09
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: HF
Описание:
Ошибка предварительной проверки:
Имя пользователя: blabla
Код пользователя: BLA\blabla
Имя службы: krbtgt/BLA.LAN
Тип предварительной проверки: 0×2
Код ошибки: 0×12
Адрес клиента: 192.168.15.6

Из этого было ясно, что попытка входа была совершена с ip адреса 192.168.15.6, а код события 675 явно указывал, что попытка эта закончилась неудачей. Недолго думая открыл DameWare Mini Remote Control и ввел в нем злополучный апишник, подключение к удаленной машине прошло успешно, в ход пошла утилита Kidi kill, которая начала безжалостно мочить злобного Kido. Короче, наши выиграли со счетом 1:0 и Kido был повержен. Вы спросите, а что же делать с теми учетными записями, которые были заблокированы, а ничего они сами разблокирование через заданный вами на контроллере домена промежуток времени.

Вот и сказочке конец Kido не выжил, а я молодец

Связанные записи

• Чистка Active Directory от мертвых компьютеров (1)
• Установка Ejabberd. Введение. (1)
• Настройка ejabberd на работу с Active Directory. (6)
• Интеграция Linux CentOS в Active Directory. Часть 1. (3)

blog comments powered by Disqus