Virus na rede interna [RESOLVIDO]

wantuiliv
(usa Ubuntu)

Enviado em 30/10/2010 - 12:54h

Caros amigos eu cuido de uma rede de 130 maquinas, onde tem um virus q tomou conta de todas, estava cuidado para achar a origem do virus e achei um autorun no servidor que diz assim:
aUToRuN]
;20G91N6F2K7163H8HK7G6T4UHU5NP871994PJG121H8J9I03392W69YJ35228YKR9YA3994O3900
;8Y82QN1S100E30WNR9154AV38KX9WRI93F4W03N82PXI79SLAPFI3LF3G222U2W7B1V8FURU9X931
;FKQ5210L93MGE5K1M4UNO838S8U2F2311DV7907I19RSTRR9U0638F97Z8031TK5OZPS641R
;TEEZS73A876735F981U2U4J939NSLKDF
;45F27A231FC4BAE1D863005E0B3CBED88EFC0F9DB727D2C7BFC81571
SheLl\oPEn\comMAnD=sIFObi.ExE
;QS20Q0YO02K5B521F9XQF2363B4LRV4RNPFMX2F5YR1GS6K9
;24X7
;A5YPU78KN89Y434S39O0B57RNXF099R3M5S
SHEll\opeN\DefAulT=1
OpEN=sIFOBi.EXe
;LM2

Alguem sabe oque quer dizer? ou me orientar na melhor forma como agir.

wantuiliv
(usa Ubuntu)

Enviado em 30/10/2010 - 13:00h

Esquecendo de fala o servidor para a conexão externa é madriva porem o dns é windows server 2003, e é no windows q encrontei isso. e infelizmente todas as 130 maquinas usão windows xp.

removido
(usa Nenhuma)

Enviado em 30/10/2010 - 20:50h

Uma vez aconteceu algo parecido comigo. Mas o virus em questão era diferente. O que fiz foi tirar todos os cabos de rede, desabilitar a restauração do windows, dei boot pelo live cd do Slax que baixei com alguns módulos específicos, como por exemplo o antivirus avast. Com isso deletei os virus e os autoruns. No meu caso resolveu. Mas o meu problema era que o vírus so ficava nos hd´s externos compartilhados em rede. Ele ocultava as pastas/arquivos e criava atalhos com o mesmo nome apontando para o virus.

tlaloc
(usa Gentoo)

Enviado em 30/10/2010 - 21:06h

Bom, você pode fazer o seguinte...
derrube TODA a rede e o servidor DNS também.

Depois disso, saia caçando em todos os micros o seguinte arquivo:

sIFOBi.EXe

Basta excluí-lo.
Todas as linhas começando com ; são comentários.

Sobra isso:
SheLl\oPEn\comMAnD=sIFObi.ExE
SHEll\opeN\DefAulT=1
OpEN=sIFOBi.EXe

Excluindo este arquivo você livra sua rede do vírus.
Atenção: guarde uma cópia do arquivo e envie para a empresa do seu antivírus.

wantuiliv
(usa Ubuntu)

Enviado em 30/10/2010 - 21:16h

Caros amigos ja pensei em desabilitar kd pc da rede para poder fazer a manutenção. porem essa rede se trata de um hospital em tão infelizmente n posso me da ao luxo de derrubar todas as maquinas. pois o banco de dados é acesado 24 horas por dia. To procurando o arquivo em cada micro. e gostaria de dicas de logs para tentar descobrir o autor! muito obrigado pela atenção.

tlaloc
(usa Gentoo)

Enviado em 30/10/2010 - 21:22h

Cara, não tem um "autor".
Isso aí é vírus de pendrive. Vem em pendrive, cartão de memória e etc contaminado.
Quase com certeza não foi doloso.

Já que você não pode parar... bom, você tem um antivírus de servidor aí?
Um que escaneie sua rede inteira?

wantuiliv
(usa Ubuntu)

Enviado em 30/10/2010 - 21:27h

Amigo no servidor temos o norton e nos cliente temos o norton cliente. porém acredito que esse ja está comprometido. Estou pesando em solicitar a empresa um contrato com o panda. Pois esse está conseguindo proteger minha maquina windows, acho desnecessário dizer que o vírus não tem efeito quando linux. Gostaria muito mudar a rede toda pra linux mas não posso fazer tudo oque quero.
Boa noite

tlaloc
(usa Gentoo)

Enviado em 30/10/2010 - 21:36h

Panda nããão, pelamor da deusa... hahahha

Faça um contrato com a Kaspersky. Recomendo fortemente.

E veja com a Norton por quê ela não consegue resolver um simples vírus de pendrive na sua rede.

wantuiliv
(usa Ubuntu)

Enviado em 31/10/2010 - 00:08h

Caro amigo tambem gosto muito do kaspersky, porém infelizmente o nosso sistema é muito delicado, cai muito facil. O antigo administrador da rede me passou que o unico internet security que se adegou ao sistema foi o panda. Por isso estou pensando nele. Irei ouvir seus conselhos e enviarei um email para a turma do norton. muito obrigado pela atenção e a ajuda. Trago novas noticias em breve. O que posso dizer por em quanto é que eu renomei esse arquivo de autorun para aautorun oque fez os ataques pararem. antes ocorriam a cada 5 minutos exatos.

aluisiogasparjr
(usa Ubuntu)

Enviado em 25/02/2012 - 03:31h

E aí manim, jóia?
Sei que isso já faz tempo, mas poderia nos dizer no que deu esse vírus aí?

removido
(usa Nenhuma)

Enviado em 25/02/2012 - 03:44h

O virus não é esse autorun
o código malicioso esta nesse executável
sIFOBi.EXe , ele é um Malware.
o autorun está fazendo que o virus seja iniciado automaticamente.

wantuiliv
(usa Ubuntu)

Enviado em 25/02/2012 - 09:28h

Bom dia,
passamos o combofix nas maquinas e mudamos algumas permissões na rede. Mas como toda rede Windows ainda temos alguns problemas com vírus. Gostaria de colocar o kaspersky server aqui na rede mais infelizmente a empresa na achou achou viável o valor do investimento.