Какаято новая сетевая зараза ?

Тема в разделе "Мегафлуд", создана пользователем o_nix, 16 дек 2009.

Статус темы:
Закрыта.
  1. o_nix

    o_nix

    Регистр.:
    7 ноя 2007
    Сообщения:
    1.073
    Симпатии:
    1.037
    [​IMG]

    это отлавливает фаер ...
    причём это неисчезло даже после восстановления образа диска...

    Пакеты исчезают только если физически отключить сеть...

    Раньше у меня такого небыло ... что это и откуда ??
     
  2. PhantomUA

    PhantomUA Инквизитор

    Moderator
    • Супермодератор
    Регистр.:
    2 июл 2006
    Сообщения:
    759
    Симпатии:
    1.640
    NetRange: 172.16.0.0 - 172.31.255.255
    OrgTechHandle: IANA-IP-ARIN
    OrgTechName: Internet Corporation for Assigned Names and Number (ICANN)
    OrgTechPhone: +1-310-301-5820
    странно что у тебя туда конектится...
     
  3. xammett

    xammett Создатель

    Регистр.:
    6 дек 2009
    Сообщения:
    11
    Симпатии:
    0
    Попробуй бесплатную утилиту доктора веба.лечит от актуальной дряни.
    Перейти по ссылке

    p.s. закинь файл который ломиться в сеть на
    Перейти по ссылке
    просканит нескаолькими десятками антивирей

    p.s 2 насчёт образа может ты делал образ только одного раздела,а на других зараза осталась или просто уже была в образе.уточняй конкретнее...
     
  4. o_nix

    o_nix

    Регистр.:
    7 ноя 2007
    Сообщения:
    1.073
    Симпатии:
    1.037
    в томто всё и дело что никуя даже представления никакого неимею что это и откуда ...

    Похоже на брут сети тк ip постоянно меняются.. но пля почему с внешнего ip .. у меня айпишник внутрисетевой 10.х.х.х всю эту хрень должен был nat обрубить. Если выдернуть шнур сети то активность прекращается те вроде всётаки вторжение из вне.

    Если считать что это новый вирь засел на компе который дурит outpost - пакеты то типа входящие ... то каким образом он выжил после восстановления образа диска? в системе ещё 3 логических диска неужта както на них засел ... получается влез в область несистемного диска автоматом запускаемую самой незаражонной виндой :eek: невидел такого раньше. Причём эта сетевая активность появляется сразуже после запуска винды... никаких действий делать ненадо такчто вариант автозагрузки с какого либа диска отпадает...

    Процесс который ломится в сеть неизвестен это и оутпост говорит ....

    В системе nod32 и Outpost - оба свежие ... их базы обновляются ежедневно и всегда актуальны в общем даже незнаю что думать.
     
  5. Шейла

    Шейла

    Регистр.:
    12 май 2008
    Сообщения:
    565
    Симпатии:
    158
    netstat -ab
    покажет файл который инициировал сетевую активнасть
    и куда на какой порт лезет

    а на остальных дисках autorun-a случаем не наблюдаеться или на флеш накопителе

    радом с тобой другой сети случаем нет, такая сеть чтоб была за твоим же натом но другая.

    т.к.
    inetnum: 172.16.0.0 - 172.31.255.255

    descr: Class B address space for private internets это тоже самое что и 10.х.х.х тоесть частные адреса
     
  6. o_nix

    o_nix

    Регистр.:
    7 ноя 2007
    Сообщения:
    1.073
    Симпатии:
    1.037
    netstat -ab и вся прочая лабуда и весь софт конечноже НЕпомогает
    яже говорю это Входящие пакеты "Направление(In)" при этом винда даже теоретически неможет знать что стало инициатором.

    По поводу whois
    Вроде и близко никакого отношения к моему провайдеру неимеет ... (Спарк RND)

    Может это общепринятые зарезервированные ip для внутренней сети и они могут быть у любого провайдера ?? тоесть все абоненты имеют одновременно и 10.х.х.х и 172.23.х.х ...

    Тогда единственное подозрение Kido (по поведению очень похож) заразил почти всю подсеть 172.23.241.х

    autorun - действует только при вставке диска или при заходе на диск через проводник... те обязательно нужно какоето действие со стороны пользователя ... которое я неделаю а сетевая активность всёравно есть. такчто этот вариант отпадает сразу.
     
  7. zerg

    zerg

    Регистр.:
    5 май 2006
    Сообщения:
    262
    Симпатии:
    345
    Как выжил после восстановления? чудес не бывает))
    Любые данные за любой период могут быть заражены.
    Кто мешал посидеть неделю другую изучить твою файловую систему и протроянить бекапы? или файлы которые ты при любом раскладе поднимешь будешь юзать? (закладки, любимая песня, квм ключи\сертификаты и т.д.)
    при желании\терпении можно подождать пока будешь писать диски и за мгновение до записи диска сделать себе вечный бекдор?
    если трой писался на заказ то палится он не будет.
    Мне подобный инцедент обошелся всего 60 баксов и заставил перейти на линукс\юзать всегда и везде виртуалки.
    Ни нод\каспер\авз\авптул, ни файрвол и даже линукс не гарантия того что не подцепишь троя. Только параноя спасет мир))
    P/S/ есть много техник скрытия данных Hidden Threat: Alternate Data Streams на файловой системе нтфс и еще пара трюков.
     
  8. o_nix

    o_nix

    Регистр.:
    7 ноя 2007
    Сообщения:
    1.073
    Симпатии:
    1.037
    У меня образы системы под паролем ... их нетак просто изменить :D
    да и найти их на винте та ещё задачка ... они куй знает где
    единственный способ на 99.999% защитить комп от вирей это утопить его в бассейне наполненном бетоном такчто паранойя тут непричём

    факт есть факт меня щас активно ломают с ~50 разных компов в сек ... фаер пока держет .. но тормоза системы заметны ...
    жесть в общем... :(
     
  9. zerg

    zerg

    Регистр.:
    5 май 2006
    Сообщения:
    262
    Симпатии:
    345
    может просто эпидемия нового троя, пытается найти доступные тачки и поломать если система непатченная или кто то запустил что то типа чата или еще чего нить в подобном роде. тоже может сканить опрашивать все машины сегмента
     
  10. swer

    swer

    Регистр.:
    15 июн 2008
    Сообщения:
    305
    Симпатии:
    38
    Звони провайдеру,попроси сделать что нибудь,пость рубают хосты.Так же замечу что нод не надежен,лучше установи вес коплект от оутпост.
     
Статус темы:
Закрыта.