[greg_b]

wolkow70, как уже говорил - багов нет вроде бы. Wsus доложил сегодня - на 5 машинах не поставился 977165 - отправил в район утилиты посканить типа tdsskiller и так далее

[wolkow70]

Цитата greg_b:

wolkow70, как уже говорил - багов нет вроде бы. Wsus доложил сегодня - на 5 машинах не поставился 977165 - отправил в район утилиты посканить типа tdsskiller и так далее »

У меня тоже багов не наблюдается ни на домашнем ни на рабочем компе с установленными обновлениями. Но весь мир то гудит...

[jameszero]

Ответ Microsoft от 17.02.2010
Restart Issues After Installing MS10-015 and the Alureon Rootkit

Цитата:

In every investigated incident, we have not found quality issues with security update MS10-015. Our guidance remains the same: customers should continue to deploy this month’s security updates and make sure their systems are up-to-date with the latest anti-virus software.

Цитата:

Во всех случаях анализа ситуации не было обнаружено ошибок в обновлении MS10-015 (KB977165). Наша рекомендация остаётся той же: пользователям необходимо установить обновления безопасности за этот месяц и убедиться в актуальности антивирусной защиты компьютера.

[wolkow70]

Перевод Google

читать дальше »

Среду, 17 Февраля 2010 6:29 вечера по MSRCTEAM
Update - Перезагрузка Проблемы, возникающие после установки MS10-015 и Alureon Rootkit

Привет,

Мы хотели предоставить вам обновленную информацию о наших текущих расследований в "синий экран" вопросы, затрагивающие ограниченного числа клиентов, которые установлены MS10-015. Мы работали круглые сутки с нашими клиентами, партнерами и несколько команд в Microsoft, чтобы определить причину этих проблем. Наше расследование пришло к выводу о том, что перезагрузка происходит потому, что система заражена вредоносным ПО, в частности руткит Alureon. Мы смогли прийти к такому выводу после всестороннего анализа дампы памяти получен с нескольких компьютеров для клиентов и всесторонних испытаний в отношении сторонних приложений и программного обеспечения. Перезагрузки, являются результатом изменений руткита Alureon делает для исполняемых файлов ядра Windows, которая ставит этих систем в нестабильном состоянии. Во всех исследованных инцидент, мы не обнаружили проблемы с качеством обновления безопасности MS10-015. Наше руководство остается той же: потребители должны продолжать прилагать безопасности этого месяца обновлений и убедитесь, что их системы последнюю дату с новейшими антивирусными программами.

Клиенты продолжают подчеркивать важность качественного обновления, и что высокое качество обновлений способствует более быстрому развертыванию. Хотя этот вопрос клиенты испытывают с MS10-015 была вызвана вредоносным инфекции, а не проблемы с обновлениями безопасности, мы хотим использовать это событие как возможность объяснить, почему этот вопрос не был пойман во время испытаний, и как мы реагируем на сообщила вопросов в наших обновлений безопасности.

Этот вопрос не был пойман в качестве части нашего тестирования, поскольку нередко, когда вредоносная присутствует, зараженные системы ставят в неустойчивом состоянии. Такие инфекции нередко оставляют машины в таком неустойчивом состоянии, что оно не может быть надежно испытания. Это происходит потому, вредоносных программ использовать неподдерживаемый и потенциально дестабилизирующие методы ущерба машине, потому что они хотят, чтобы их скрыть от вредоносных программ по борьбе с вредоносным программным обеспечением. В конкретном случае Alureon, авторы вредоносных программ Windows Изменение поведения, пытаясь получить доступ к конкретной ячейке памяти, вместо позволяя операционной системой определения адреса, который обычно случается, когда загружен исполняемый файл. Цепь событий, в этом случае была машина стала инфицированных, в ходе которых вредоносные сделал предположение относительно расположения кода Windows на машине. Впоследствии MS10-015 был загружен и установлен, в течение которого расположения кода Windows изменилась. При следующей загрузке вредоносного кода разбился пытаться называть конкретные адреса в Windows кодом, который уже не был предназначен ОС функцию.

Microsoft предпринимает шаги для предотвращения подделки ядра Windows с использованием технологий, как защита от исправлений ядра (иногда называемый PatchGuard) и Kernel Mode Code Signing (KMCS), обе из которых включены в 64-битных систем. Эти технологии позволяют обнаружить при проверке целостности неудачу. Различных версий Alureon что мы исследовали только заразить 32-битных системах и не сможет заразить 64-битных систем. Тем не менее, важно отметить, что работает как обычный пользователь, не используя учетную запись администратора является лучшей практики, что в большинстве случаев будет предотвращения вредоносных программ в режиме ядра, заражение системы. Аналогичным образом, сохраняя антивирусные сигнатуры текущих также предотвратить большинство вредоносных программ от инфекций. Кроме того, поскольку мы определили, что 64-битные системы не влияет, мы открываем автоматического обновления для этих платформ.

Посетители, которые заинтересованы в дополнительные технические подробности того, что ядра Windows это можно узнать больше здесь.

Даже после того, как выпущенные обновления безопасности, работа Microsoft Security Response Center является не сделали. В сочетании с Microsoft в службу поддержки клиентов (CSS), мы отслеживаем форумах и отслеживать звонки клиентов чтобы мы могли ответить на вопросы, сообщили в кратчайшие сроки. В среду, 10 февраля, нам стало известно о сообщениях относительно Windows XP SP2 и SP3 систем становится не в состоянии возобновить после успешной установки MS10-015. В докладах, впервые были определены путем мониторинга MSRC's различные интернет-сообщества поддержки форумов, резкий подъем в поддержку том вызова и телеметрии от нашего потребителя Безопасности центр поддержки. После рассмотрения информации, которую мы имели в своем распоряжении, мы перестали поддерживать автоматическое распределение обновление MS10-015 для того, чтобы свести к минимуму возможности для широкомасштабного воздействия клиента в то время как мы исследовали эти доклады. Даже если мы остановили распространение через автоматические обновления, мы видели большое количество развертывание сил как клиенты могут еще развертывание обновления через Windows Update, WSUS или SMS.

В этой ситуации, наши команды, необходимые для получения информации непосредственно из пораженных систем, чтобы понять причину. Потому, что мы так мало докладов и необходимо изучить состояние пораженных систем, группа CSS даже поехали на место клиента, чтобы получить машину для анализа.

В прошлые выходные, мы работали с Microsoft Malware Protection центра (MMPC) на системах, которые были доставлены в Редмонде в прошлую пятницу, и подтвердил, что все пострадавшие были системах Alureon Rootkit установлены. Команда Windows Engineering затем начал работу по созданию теста матрица для определения вредоносных программ был связан с докладами, которые мы получаем. Для того, чтобы мы определили причину проблемы, Windows Engineering испытания машины с помощью тестового процесса, охватывающего все 32-битные версии Windows. Хотя этот вопрос может повлиять любое 32bit Windows система, которая была заражена вредоносным, поскольку доклады преимущественно по 32bit версии Windows XP Данное испытание процесс описан на высоком уровне упором на той версии, в таблице ниже:


Фазы
Действия
Результат на испытания машины

Отладка Фазы 1 Установить поддерживаемых версий Windows XP
Установить все предыдущие обновления довести ядра Windows до версии обновлено: MS10-015 до версии 5.1.2600.5857.
Установить корневой Alureon Kit.
Установить MS10-015 / KB977165 ядра версии 5.1.2600.5913
Система входит повторное перезагрузки / синий экран

Отладка Фаза 2 Установить поддерживаемых версий Windows XP
Установить все предыдущие обновления довести ядра Windows до версии 5.1.2600.5857
Установить все предыдущие обновления довести ядра Windows от текущей версии до версии обновлено: MS10-015.
Установить корневой Alureon Kit.
Успешная загрузка

Отладка Фаза 3 Установка Windows XP SP3
Установить все предыдущие обновления довести ядра Windows до версии 5.1.2600.5857
Установить MS10-015 обновление версии ядра до версии 5.1.2600.5913
Установить корневой Alureon Kit.
Успешная загрузка

Отладка Этап 4 Установить поддерживаемых версий Windows XP
Установить все предыдущие обновления довести ядра Windows до версии 5.1.2600.5857
Установить MS10-015 довести ядра Windows до версии 5.1.2600.5913
Установить корневой Alureon Kit.
Удалите KB977165 настройки ядра до версии 5.1.2600.5857
Машина идет в прокат перезагрузка




Как указано в таблице, присутствие Alureon не позволяет успешно загрузке зараженной системе. Команда Windows Engineering продолжает тестирование различных конфигураций, а также повторное испытание несколькими сторонними приложениями, ведущей к нашему твердому убеждению, что "голубой экран вопросом является результатом руткита Alureon.

Malware компромисс этого типа является серьезной, и если клиенты не могут подтвердить удаления руткитов Alureon используя свои anti-virus/anti-malware выбрано программное обеспечение, наиболее безопасным является рекомендацией для владельца системы для резервного копирования важных файлов и полностью восстановить системы из чистого отформатированный диск.

Инструкции о том, как создать резервные копии файлов в Windows, посетите здесь:
http://windows.microsoft.com/en-US/w...-up-your-files

Инструкции по переустановке Windows, посетите здесь:
http://windows.microsoft.com/en-us/w...tall-uninstall

Посетители, которые считают, что они испытывают перезагрузки после установки выпуска MS10-015, или требуется поддержка удаления или ремонт их систем, рекомендуется обратиться в службу поддержки клиентов группой либо собирается HTTPS: / / consumersecuritysupport.microsoft.com или телефону 1-866-PCSAFETY (1-866-727-2338). Международные клиенты могут найти местных номеров в службу поддержки здесь: http://support.microsoft.com/common/international.aspx.

Хотя мы не можем предсказать, как авторы вредоносных программ будет автором или изменить свой код, мы привержены поиску новых путей для выявления подобных проблем на зараженных систем. Мы также работаем над более простым решением для обнаружения и удаления Alureon из зараженных систем, которые следует освобожден в течение нескольких недель, а также ряд других сторонних поставщиков.

Мы будем держать вас в курсе здесь на MSRC Блог как у нас больше данных и информации о вредоносном ПО и инструменты автоматического восстановления.

Mike Reavey

Директор MSRC



* Этот комментарий предоставляется "КАК ЕСТЬ" без каких-либо гарантий и передачи прав .*
Подано в: бюллетень по безопасности, обновлений безопасности, вредоносных программ (Malware), вирус

[greg_b]

wolkow70, ну не знаю, на 2-ух машинах прибили tdss, на 2 битая оперативка, с 1 не понятно - после полного скандиска ( ошибок не найдено никаких, сообщений о корректировке битмапов тоже нет) прицепился к Wsus - 977165 поставился - все в порядке

[zloy_buka]

В копилку всеобщей истерии добавлю свои 5 копеек: в моей сети 170 машин получили сию "ч0рную метку" через WSUS - ни одного сбоя. "Зоопарк" от селерон-766 до коре 2 дуо. Что я сделал не так ?

[mike345]

Цитата wolkow70:

Тем не менее, важно отметить, что работает как обычный пользователь, не используя учетную запись администратора является лучшей практики, что в большинстве случаев будет предотвращения вредоносных программ в режиме ядра, заражение системы. »

С начала аналог sudo бы реализовали, а не убогий runas, с которым работать невозможно, а потом уже такие советы бы давали...

Цитата jameszero:

Во всех случаях анализа ситуации не было обнаружено ошибок в обновлении MS10-015 (KB977165). Наша рекомендация остаётся той же: пользователям необходимо установить обновления безопасности за этот месяц и убедиться в актуальности антивирусной защиты компьютера. »

Тоже хорошо. Переложили ответственность. Почему тогда у виндовс нет встроенной антивирусной защиты?
MSE - не катит, тк его нельзя в организациях использовать, а тот который можно платный...

И ведь от винды отказаться сложно, потому что некоторые ушлепки пишут офисный софт только под нее...
Особенно этим госорганизации болеют.

Сорри за оффтоп, но достало все время на пороховой бочке сидеть...

[simplix]

Цитата mike345:

Почему тогда у виндовс нет встроенной антивирусной защиты? »

Есть. Давно.

[zeroua]

и в очередной раз о безопасности (по всем трем ссылкам настройка и оптимизация уровня безопасности ОС происходит штатными средствами:

Info - FAQ | Cайты по информационной безопасности, особенно рекомендую обратить внимание на:

Статьи (руководства от А до Я) посвященные концепциям и методам безопасности ОС семейства Windows (на все случаи жизни):

• Безопасный Интернет. Универсальная защита для Windows ME - Vista
• Руководство по настройке Windows для максимально эффективной защиты от вирусов., Протокол v1.2
• Базовая концепция системы безопасности ОС Windows семейства NT
  В данных статьях (руководствах) перечислены все самые популярные угрозы и методы борьбы с ними. Главным достоинством статей является то что большинство действий по обеспечению защиты ОС и данных реализовано стандартными средствами ОС.

З.Ы. изложенная там информация будет полезна многим это и интернет серферы, пользователи ПК (начинающего и среднего уровня), а также некоторые моменты могут быть интересны и полезны специалистам в области ИТ и ИБ.

[LonerD]

Цитата zloy_buka:

в моей сети 170 машин получили сию "ч0рную метку" через WSUS - ни одного сбоя. "Зоопарк" от селерон-766 до коре 2 дуо. Что я сделал не так ? »

забыл руткита поставить