Локальная сеть как вылечить от вирусов
13 февраля 2012
Автор
КакПросто!
Проблема появления вирусов в локальной сети представляет собой одну из наиболее распространенных угроз спокойствию администратора. В идеале требуется решить три задачи – обнаружить уже зараженные компьютеры, определить вредоносные приложения и, наконец, заблокировать и уничтожить вирус.
Инструкция
Используйте один или несколько способов определения зараженных компьютеров в локальной сети:- удаленный автоматический анализ – для получения данных запущенных процессов;- сниффер – для изучения трафика и определения сетевых и почтовых программ-червей и ботов;- нагрузка на сеть – для запрета использования опасных портов;- создание honeypot, или ловушек – для своевременного получения уведомлений о подозрительной активности.
Решите большинство поставленных задач с помощью специализированной антивирусной программы AVZ. Для этого приложение должно быть запущено из открытой сетевой папки на сервере, запись клиентами в созданных папках логов и карантина – разрешена, а само приложение – запущено на всех компьютерах, входящих в локальную сеть, с помощью инструмента rexec.
Используйте возможность создания специализированных скриптов для упрощения и автоматизации процесса избавления от вредоносных программ. Создайте такой скрипт для удаления одного или нескольких вирусных файлов и автоматической очистки записей системного реестра. Для этого введите значение begin в первой строке создаваемого документа и укажите значение DeleteFile имя_вирусного файла после двойного символа “/” в следующей строке. Обратите внимание на то, что количество удаляемых файлов после каждой команды удаления ограничено одним, но количество самих команд в обном файле никак не регламентируется.
Воспользуйтесь возможностью интеллектуальной очистки записей системного реестра, предоставляемой приложением AVZ. Для этого в в третьей строке создаваемого документа внесите значение ExecuteSysClean после двойного символа “/” и завершите файл введением значения end в последней, четвертой строке.
В более сложных случаях используйте инструменты:- AVZGuard – для борьбы с руткитами;- BootCleaner – для очистки выбранных файлов из KernelMode при перезагрузке системы.
Источники:
- Борьба с вредоносным ПО в локальной сети в 2018
Войти на сайт
или
Забыли пароль?
Еще не зарегистрированы?
This site is protected by reCAPTCHA and the Google
Privacy Policy and
Terms of Service apply.
Источник
Модератор: mike 1
Голосов нет
Всего голосов: 0
Спасибо, ваш голос учтён.
user259
Новичок
Сообщения: 3 Зарегистрирован: 29 авг 2015, 16:51
Вирус в локальной сети
Сообщение
user259 » 11 июн 2016, 13:56
Здравствуйте! Такая есть проблема. Сеть из 40 компов. Стоит Windows xp везде стоит антивирус Eset endpoint security v. 5 На одном компе несколько расшаренных папок. Время от времени по очередно проникает вирус. Антивирус его удаляет но он откуда-то приходит опять. Делал так. Поотключал все компъютеры от сети и проверил Dr.Web CureIT на нескольких машинах понаходил ,поудалял. Проблема нерешилась. Вирус как заходил так и заходит. Каждый раз он выглядит так : itcewd.exe; tkvrzr.exe; freeqlr.exe; fpqtbw.exe; igihax.exe; stpvks.exe; havqqx.exe; tzezcs.exe Сейчас пробую его вычислить утилитой Process Monitor но пока результата нет. Как найти зараженную машину на которой он находится?
Отправлено спустя 38 минут 17 секунд:
Оставляет за собой такие файлы khx, khw, khy
DesignerMix
Администратор
Сообщения: 6651 Зарегистрирован: 25 апр 2014, 10:51
Откуда: Белгород
Вирус в локальной сети
Сообщение
DesignerMix » 11 июн 2016, 23:09
user259 писал(а): Стоит Windows xp
К сожалению эта ОС уже устаревшая и в ней есть куча незакрытых уязвимостей так что думаю что вирус проникает как раз с их использованием не смотря на наличие антивируса. А Security Update’ы для XP больше не выходят – https://windows.microsoft.com/ru-ru/windows/lifecycle
Рекомендовал-бы подумать об обновлении ОС если железо конечно потянет. Если не потянет то можно попробовать отобрать у пользователей админские права и настроить учетку на минимум того, что необходимо для пользователей. При этом админскую учетку лучше всего запаролить или отключить и включать только по необходимости при администрировании компьютера.
user259
Новичок
Сообщения: 3 Зарегистрирован: 29 авг 2015, 16:51
Вирус в локальной сети
Сообщение
user259 » 13 июн 2016, 08:23
Здравствуйте,Дмитрий! Пока обновить железо и Windows нет возможности. На всех машинах открыта учетная запись гостя. Отключить не могу . Пользователи не смогут работать с базами данных. Большинство работают под админом. Пока перевести на ограниченные права не получиться. Основные программы ,базы данных работают только под админ правами. Так было настроено изначально. Основная часть машин работают без доступа к интернету локально. Что можете посоветовать для защиты и обнаружения вируса. Может есть программы следящие за расшаренными папками. Начал знакомство с Process Monitor пока ничего.
DesignerMix
Администратор
Сообщения: 6651 Зарегистрирован: 25 апр 2014, 10:51
Откуда: Белгород
Вирус в локальной сети
Сообщение
DesignerMix » 13 июн 2016, 11:27
user259, запустите на компьютерах которые подключены к интернету утилиту которая мониторит какие процессы работают с сетью. Я лично использую Process Hacker (в этой теме подробнее), так вот в этой программе можно отследить процесс которые и к каким ресурсам он подключается.
Например вирус должен распространять себя в локалку, соответственно он будет обращаться к локальным ресурсам. Попробуйте его увидеть. А заодно посмотрите к каким внешним ресурсам он обращается и добавьте их в брандмауэр или в hosts чтобы заблокировать, возможно это помешает дальнейшей переустановке вируса в системе.
Но конечно есть шанс что вирус у кого-то на флешке и он его каждый раз запускает не с компа которые подключен к интернету, тогда попробуйте проверить флешки всех сотрудников каким-нибудь kaspersky virus remuval tool или подобными утилитами. Если выявите такую флешку то попросите человека проверить ПК дома чтобы удалить источник вируса.
PS: Я не Дмитрий, я Михаил
user259
Новичок
Сообщения: 3 Зарегистрирован: 29 авг 2015, 16:51
Вирус в локальной сети
Сообщение
user259 » 14 июн 2016, 19:02
В процессах пока ничего подозрительного нет. Возможно кто-то из сотрудников запускает флешку с вирусом . Пока проверить все флешки всех сотрудников нет такой возможности но я обращу на это внимание.
EZmimego
Новичок
Сообщения: 4 Зарегистрирован: 25 дек 2015, 15:57
Вирус в локальной сети
Сообщение
EZmimego » 20 авг 2016, 19:00
user259 писал(а): Здравствуйте! Такая есть проблема. Сеть из 40 компов. Стоит Windows xp везде стоит антивирус Eset endpoint security v. 5 На одном компе несколько расшаренных папок. Время от времени по очередно проникает вирус. Антивирус его удаляет но он откуда-то приходит опять. Делал так. Поотключал все компъютеры от сети и проверил Dr.Web CureIT на нескольких машинах понаходил ,поудалял. Проблема нерешилась. Вирус как заходил так и заходит. Каждый раз он выглядит так : itcewd.exe; tkvrzr.exe; freeqlr.exe; fpqtbw.exe; igihax.exe; stpvks.exe; havqqx.exe; tzezcs.exe Сейчас пробую его вычислить утилитой Process Monitor но пока результата нет. Как найти зараженную машину на которой он находится?
Отправлено спустя 38 минут 17 секунд:
Оставляет за собой такие файлы khx, khw, khy
Ну с локальной сеть отлично работает антивирус 360 Total Security. Меня он не раз выручал, вот обзор на сайте гикнос. Рекомендовано ставить его одного, без дополнительных утилит или сканеров, он сам все сделает.
DesignerMix
Администратор
Сообщения: 6651 Зарегистрирован: 25 апр 2014, 10:51
Откуда: Белгород
Вирус в локальной сети
Сообщение
DesignerMix » 20 авг 2016, 20:54
Еще одна ссылка на гикнос и все ваши посты будут удалены.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей
Источник
Какой бы хороший антивирус ни стоял на компьютерах в вашей фирме, всегда находится такой вирус, который рано или поздно может прорваться сквозь защиту и нанести большой вред всей системе.
Вирусы в корпоративной сети очень опасны тем, что поражают не один ПК, а могут достаточно быстро расползтись по всем устройствам. Вирус может стереть очень важную информацию или вообще остановить работу компании.
Поэтому, если в сети обнаружено вредоносное ПО, нужно принимать экстренные меры, чтобы зловредная программа принесла минимальный урон.
Что нужно делать в первую очередь?
Попадая в компьютер, сетевой вирус начинает очень быстро распространяться. На другие устройства он проникает через открытые уязвимости ОС или через общие ресурсы. Поэтому первое, что нужно сделать, это закрыть все уязвимости, отключить вай-фай, заблокировать общие источники.
В идеале, чтобы вирус не распространился, нужно отключить заражённый компьютер от корпоративной сети. Однако здесь есть проблема. Если вирус уже начал распространяться по сети, определить, какой ПК пустил его в сеть, будет не просто. Для этого есть несколько методик.
Чтобы вирус не «убил» всю систему, нужно как можно быстрее найти его источник и обезвредить. После этого данные о вредоносной программе нужно передать производителям вашего антивируса, чтобы они могли разработать защиту. Но обо всём по порядку.
Поиск заражённого компьютера
Чем быстрее удастся найти источник (источники) заражения, тем больше компьютеров и данных получиться спасти.
Существует несколько методов поиска. Мы рассмотрим два самых простых, доступных и вместе с тем эффективных:
- Исследование трафика компьютера;
- Автоматический удалённый анализ.
Первым способом очень легко поймать спам-бота, сетевого или почтового червя. Второй способ несколько сложнее первого, но зато более универсальный. Для верности можно использовать оба метода сразу.
Исследование трафика
Для применения метода используют снифферы – специальные анализаторы трафика. Исследование можно проводить вручную. Но это достаточно трудоёмкий процесс. Сейчас для исследования трафика большинство фирм использует специальные системы обнаружения вторжений – IDS. Пример такой системы – Snort.
Стандартная IDS состоит из сниффера и программы, анализирующей собранную информацию. Систему устанавливают на несколько узлов сети и запускают в случае проникновения вируса. Анализ делается автоматически. После этого устройства, на которых была замечена подозрительная активность, отключаются от корпоративной сети, и на них отдельно ведётся поиск и обезвреживание вируса.
Помимо того, что IDS автоматизируют работу, у них есть ещё один плюс – анализ можно периодически проводить для профилактики. Так больше шансов вовремя обнаружить вредную программу и удалить её.
Автоматический анализ
На самом деле, здесь существует несколько способов. Чтобы объяснить принцип, мы рассмотрим использование утилиты AVZ. Она запускается из сетевой папки на сервере при помощи логин-скрипта. Для успешной работы утилиты нужно создать в сетевой папке подкаталоги LOG и Qurantine и разрешить участникам сети делать в них записи.
После этого применяются разные скрипты, которые ищут подозрительное ПО. Мы рассмотрим несколько самых полезных.
Самый простой скрипт – автоматический карантин. Выглядит он следующим образом:
begin
ExecuteAutoQuarantine;end.
Программа изучает всю систему и поступающие в неё файлы и отправляет подозрительные программы в папку «Карантин». Этот процесс можно периодически запускать на компьютерах для профилактики и, если были обнаружены подозрительные программы, проверять их.
Если автокарантин не работает, можно пойти более сложным и детальным путём. Для этого нужен скрипт, с помощью которого делается анализ всех запущенных процессов на компьютере. Процессы распределяются в два списка: все процессы и те, которые считаются опасными. Обычно имя вредоносного процесса бывает уже известно. Поэтому, если компьютер заражён, программа находит его. А остальные процессы можно изучить на предмет представления опасности. Данный скрипт выглядит следующим образом:
procedure ScanProcess;
var
i : integer;
S, S1 : string;
begin
S := ‘’; S1 := ‘’;
RefreshProcessList;
AddToLog(‘Количество процессов = ‘+IntToStr(GetProcessCount));
for i := 0 to GetProcessCount — 1 do begin
S1 := S1 + ‘,’ + ExtractFileName(GetProcessName(i));
if pos(‘danger.exe’, LowerCase(GetProcessName(i))) > 0 then
S := S + GetProcessName(i)+’,’;
end;
if S <> ‘’ then
AddLineToTxtFile(GetAVZDirectory+’LOG_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);
AddLineToTxtFile(GetAVZDirectory+’LOG_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);
end;
begin
ScanProcess;
end.
Имя вредоносного файла мы условно обозначили как danger.exe. Для более детального анализа этот скрипт можно усложнять, дополнять. В любом случае принцип программы остаётся тот же – поиск запущенных процессов и выделение подозрительных.
Удаление вируса
Самый простой способ – это отправить данные вредоносного ПО производителю антивируса. Производитель должен изучить его и разработать сигнатуры, которые удалят вирус. Сигнатуры поступят в сеть после нового обновления, и вирус исчезнет.
Однако к этому способу прибегают крайне редко, потому что зачастую разработчики антивируса не реагируют на проблему достаточно оперативно. Пока придёт обновление, коварная программа может натворить очень много бед. Данные, конечно же, надо отправить. И с новым обновлением вы больше не подхватите тот же вирус. Но удалять его лучше вручную. И тут опять можно использовать AVZ.
Стандартный скрипт для удаления выглядит так:
Begin
DeleteFile(‘имя файла’);
ExecuteSysClean;
end.
Программа удаляет заданный файл или несколько файлов (команд DeleteFile может быть сколько угодно), а после чистит реестр.
Однако очень часто вирусы защищаются от удаления. Тогда скрипт можно усложнить до вида:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile(‘имя файла’);
BC_LogFile(GetAVZDirectory + ‘boot_clr.log’);
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Этот скрипт достаточно эффективен. Чтобы противостоять ему, вирус должен быть очень сильным. А такие попадаются крайне редко.
Ловушки для вирусов
Чтобы вообще не дать вирусу проникнуть в систему, можно установить ловушку. Для этого можно использовать старый компьютер. Устанавливаем на него ОС без пакетов обновлений, подключаем к корпоративной сети и ставим сниффер. Очень удобно ставить снифферы с автоматическими оповещениями. Если на таком компьютере будет обнаружена активность, значит, вирус проник в систему. Так можно вовремя засечь его и удалить, не позволив нанести вред.
Источник
Как защитить локальную сеть компании от вирусов
Преамбула:
Любой уважающий себя админ – существо довольно ленивое. Я не исключение. Потому мне совсем не в прикол бегать по клиентским машинам, чистить от вирусов, орать на юзеров благим матом за их флешки с домашними тараканами (т.е. вирусами ). Я поступил проще.
Преамбула:
Как правило, в компьютерных сетях компаний на компьютеры ставят те же антивирусы, что и на обычных компьютерах. Если компьютеров несколько, то это не вызывает серьезных проблем. Но если количество компьютеров начинает превышать 5-10-20 компьютеров и уже нужно тратить значительное количество времени, чтобы на каждом компьютере следить за состоянием защиты. Установлен антивирус? Работает ли он? Не закончилась ли лицензия? Какие вирусы на тех или иных компьютерах? Может пользователи случайно отключили антивирус полностью или поставили другой?
Антивирусная защита начинать отнимать много времени на его поддержание. В результате за состоянием защиты перестают следить и этим начинают пользоваться вирусы.
Что придумано, чтобы защититься от таких проблем?
Компании имеющие в своей сети большое количество компьютеров (больше 5, 10, 20 и т.д.) могут приобрести и установить специальные версии антивирусов, которые имеют рационализированное управление. Таким образом, администратор сети со своего компьютера, не вставая следить за состоянием защиты всех компьютеров. Удалено установить антивирус, обновить его, проверить состояние защиты, его настройки, когда заканчивается лицензия на антивирусы.
Таким образом, экономится время на поддержание защиты. Вот одно из этих специальных средств я и решил использовать в своей компании.
Амбула:
Позвонил в компьютерный центр и узнал что можно приобрести Kaspersky OpenSpace Security по цене 4-4,5 тыс. тенге за лицензию на один ПК. Решил построить антивирусную сеть на 10 компов, за которыми и сидят бухгалтера вечно таскающие флешки с фотками и вирусами из дома.
На сервер решил не ставить антивирус, чтобы не снижать производительности, да и к нему кроме меня никто не имеет доступа, так что там вирус не пройдет.
Закупил. Установил. В комплекте поставки шёл инструмент Kaspersky Administration Kit – Консоль управления сервером администрирования.
С помощью Kaspersky Administration Kit можно управлять и следить за состоянием защиты всей сети и каждого компьютера.
Сервер администрирования соответственно был установлен на центральный сервер. Рассказывать о том ка всё это я устанавливал – не буду, в комплекте идет прекрасная документация на русском языке, довольно подробно описывающая все шаги установки. Я хочу рассказать о настройках сервера. Итак…
После установки Kaspersky Administration Kit, запустил консоль управления, добавил лицензию полученную у поставщика в виде файла.
Далее приступим к политике защиты. В терминологии Kaspersky Administration Kit это единые правила, по которым все компьютеры с этой политикой будут иметь одинаковые настройки.
Создаем основную политику, в которой прописал запрет клиентам изменения настроек (чтобы какой-нибудь пользователь, без моего ведома не отключил какие-то настройки на компьютере), добавил в список исключений базы 1С и чат (базы 1С добавил, чтобы работа антивируса не влияла на работу программ 1С).
Это существенно снизило затраты на проверку сетевого трафика антивирусом, а значит увеличение производительности работы бухгалтеров с 1С.
В компоненте “Обновление” указал что брать обновления антивирусных баз не из интернета, а из локальной папки, кроме своего(администраторского) компа. На моем компьютере, антивирус лезет в интернет, качает базы, и сохраняет их на сервере, откуда клиенты их разбирают. Т.е. теперь не каждый компьютер отдельно идет за обновлением в Интернет, а один компьютер берет новые базы с Интернета, а остальные с него.
Затем создал две групповые задачи (это процедуры, которые будут автоматически запускаться на каждом компьютере по расписанию):
1. Проверка критических областей – при запуске каждого компьютера в сети антивирус проверяет наличие вирусов в областях автозагрузки программ.
2. Чистка мусора (об этом чуть подробнее чуть ниже)
Я не стал создавать задачи на полные проверки жёстких дисков. Считаю это излишней потерей времени и эффект от этого действия довольно мал. Достаточно проверки запущенных процессов и критический областей, так как практические все вирусы загружаются вместе с системой и располагаются именно там. Существуют еще вирусы не имеющие своего тела на жестком диске или в реестре. Это так называемые стелс-вирусы, живущие в оперативной памяти и существующие до отключения компьютера.
Один из представителей этого семейства – Code Red. Ну это так… к слову.
Вернёмся к нашим баранам. К пункту номер два. Что же это за чистка мусора такая? Я же кажется говорил, что я слишком толст и ленив, чтобы бегать и чистить клиентские машины. Поковырявшись в потрохах этого инструмента (сервера администрирования) я увидел в нем одну прелестную штуку. А именно – “Удаленная установка”.
Это средство установки ЛЮБЫХ программ на ПК средствами WMI. Однако я решил использовать сие немного по другому.
Создал обыкновенный пакетный файл такого содержания:
Code: Выделить всё
ECHO OFF
IF EXIST “C:Documents and SettingsUserLocal SettingsTemp” GOTO Act
GOTO END
:Act
rd “C:Documents and SettingsUserLocal SettingsTemp” /S /Q
md “C:Documents and SettingsUserLocal SettingsTemp”
GOTO END
:END
Затем на основе его создал удалённую установку.
После чего, уже на основе этой удаленной установки создал задачу “Чистка мусора”. Мало-мальски знакомый с написанием пакетных файлов уже понял, что это очистка папки с мусором, т.е. той папки куда все программы складывают не нужный им хлам и скоропостижно забывают об этом. И если её не чистить то она разрастается до непотребных размеров в пару – тройку гигабайт
Вот так убил еще одного жЫрного зайца
Источник