wsimons Опубликовано 7 февраля, 2007 · Жалоба Та же ситуевина. Каждый день примерно всплывает по 1-5 человек с такими же симптомами. Проверка сканерами идею о червяках пока не подтвердила... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
craz Опубликовано 7 февраля, 2007 · Жалоба Домашняя сеть порядка 1500 абонентов, 40 звонков за прошедшие дней 5 с подобной проблемой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 7 февраля, 2007 · Жалоба Ну, так всё же, винда, или в ОСях эта штука свободно плавает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
@ngel Опубликовано 8 февраля, 2007 · Жалоба Винда, однозначно =( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 15 февраля, 2007 · Жалоба В общем, тут вопрос задавали, про редирект DNS-а: На сервере: rdr on $int_if inet proto udp from $admin_host to ($int_if) port domain -> $secondary_dns У меня: # host ya.ru ;; reply from unexpected source: 192.168.200.1#53, expected 192.168.200.2#53 ;; reply from unexpected source: 192.168.200.1#53, expected 192.168.200.2#53 Т.е. - не получится. Как я и предполагал. Потому что сервер ставит свою метку в ответ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
balamutang Опубликовано 15 февраля, 2007 · Жалоба В общем, тут вопрос задавали, про редирект DNS-а:На сервере: rdr on $int_if inet proto udp from $admin_host to ($int_if) port domain -> $secondary_dns У меня: # host ya.ru ;; reply from unexpected source: 192.168.200.1#53, expected 192.168.200.2#53 ;; reply from unexpected source: 192.168.200.1#53, expected 192.168.200.2#53 Т.е. - не получится. Как я и предполагал. Потому что сервер ставит свою метку в ответ. ну дык на DNS сервер еще один алиас повесьте с IP 194.67.57.104, бинд заставить слушать этот IP и смаршрутизировать хост 194.67.57.104 на этот днс. кстати ДНС - это не только UDP но и TCP в некоторых случаях Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 15 февраля, 2007 · Жалоба Эти "некоторые" случаи, как я понимаю, требуют дополнительного вмешательства в клиентский софт, и, если бы вмешательство как таковое было возможно, этого треда вообще бы не существовало, потому рассматривается только дефолтный UDP-вариант резольверов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 15 февраля, 2007 · Жалоба просто обратная развертка должна быть = NAT на линуксе он же DNAT пакет ессно машинку с DNAT должен проходить в обе стороны Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
damned Опубликовано 15 февраля, 2007 · Жалоба теперь имеем от пятерых "с-бродячими-днсками" tcpdump eth7 -n|grep 10.249.1.19 ----бла-бла-бла---- 01:56:25.316447 IP 10.249.1.19 > 88.84.100.59: ip-proto-255 48 01:56:25.316451 IP 10.249.1.19 > 88.84.100.59: ip-proto-255 48 01:56:25.316455 IP 10.249.1.19 > 88.84.100.59: ip-proto-255 48 01:56:25.316459 IP 10.249.1.19 > 88.84.100.59: ip-proto-255 48 01:56:25.316479 IP 10.249.1.19 > 88.84.100.59: ip-proto-255 48 ----бла-бла-бла---- совпадение? х) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 16 февраля, 2007 (изменено) · Жалоба По рассказам одного пользователя: сменился DNS, он это обнаружил, узнал что это действие виря, прогнал машину NOD32. Нашлось: файлики наподобие system101\system101.dll system102\system102.dll в program files и кэше браузера. NOD32 лечит сканером. Монитор не поймал. К сожалению он его грохнул не разбираясь :( По логам NOD обзывает его Win32/Agent.QC. Касперский обзывает его Trojan-Spy.Win32.Agent.qc Возможно и не оно. Других зверьков на машине не обнаружено. Изменено 16 февраля, 2007 пользователем umike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 16 февраля, 2007 · Жалоба http://bash.org.ru/quote.php?num=110015 А ведь как я сразу не догадался - надо-то всего-лишь собрать базу потребностей конкретных пользователей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 16 февраля, 2007 · Жалоба http://bash.org.ru/quote.php?num=110015 А ведь как я сразу не догадался - надо-то всего-лишь собрать базу потребностей конкретных пользователей. Если бы это было так - оно бы работало для пользователя прозрачно. А не работает. Хотя как методология - совершенно работоспособно, вообще-то для фишинга исключительно перспективное техническое решение. Миддльмен быстро, дешево и незаметно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
S_W Опубликовано 17 февраля, 2007 · Жалоба та же история только теперь другие адреса что то в зоне .nl за день 10 клиентов и 1 серв вин2к3 стоящий у нашего клиента - компьютерного клуба слава богу все исравил махом на сайт повешал как лечить такую гадость вроде пока что звонков нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SMH Опубликовано 18 февраля, 2007 · Жалоба поймал енту керь, но благо вылечил уже...где поймал только хз((...umike мой антивир тоже самое у меня на машинке поймал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
S_W Опубликовано 19 февраля, 2007 · Жалоба а у меня антивирь не видит это вообобще просто все запросы на зараженноой машине редиректятся на левый ДНС. правил командой netsh interface ip reset Любоеимяфайла Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KuZia095 Опубликовано 19 февраля, 2007 · Жалоба Таже фигня и у нас. У всех абонентов установлен агент mail.ru (194.67.23.100, 2041/tcp) Пока только такая инфа: " IP[src=192.168.1.33 Dst=194.67.57.104 UDP spo=01285 dpo=00053]}S01>R01mF ", т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 19 февраля, 2007 · Жалоба Хм, нешто мыл-ру решил таким образом инфу о юзверях собирать? Вот за это пи лицу мешалкой можно получить... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 19 февраля, 2007 · Жалоба бредите господа имею на трех машинах установленный Агент + специально в виртуалке его установил последнюю версию (раз уж там win у меня есть) дабы убедиться. Ничего подобного не происходит. А на машине на которой произошла та-же ситуация и было отловлено (см выше) агента НЕТ. Как и у половины пользователей столкнувшихся с этой дрянью. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 20 февраля, 2007 · Жалоба Вот я и не верю в такой расклад. Но прикол-то в том, что виря толком никто не локализовал... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 20 февраля, 2007 · Жалоба Так ведь тут говорили, мол, вылечили, победили, избавились... Что лечили-то? Что победили в итоге? От чего избавились!? Скажите, что это было, кто успел от этого избавиться... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 20 февраля, 2007 · Жалоба Как я успел понять "избавились" - это значит вернули на место DNS :( Кто-то что-то по дороге поймал, но вот связь пойманного с заменой DNS неоднозначна... Если бы я разрабатывал такой крючок, я бы сделал код, который меняет DNS на целевой и тихо умирает. Целевой DNS должен существовать и мирно отвечать на запросы, тогда минимальна вероятность, что это вообще будет замечено, а все антитрипперы будут молчать - машина-то чистая. По Лукьяненко... Чистый, не размножающийся, не стирающий информацию вирус. Разрешенный к применению в виртуальности. На твой страх и риск, разрешенный... А в "час Ч" всех перенаправлять на ресурс, который снова засадит червя, который уже и шуганет куда надо... И снова тихо умрет... Или подсаживать его только в тот момент, когда юзер лезет на интересующий ресурс - пароль снять... И снова умрет. Машина чистая, но под контролем... Красиво! Такие ходы, как говорится, "открывают простор для комбинаций..." А ко мне можно звать врача с сильными санитарами, у меня паранойя :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 21 февраля, 2007 · Жалоба К сожалению, не паранойя, а всего лишь переизбыток осведомлённости. Да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShumBor Опубликовано 28 февраля, 2007 (изменено) · Жалоба Кое чего нарыли по этому поводу. Техник ходил перерыл реестр и наткнулся на ветку: HKU\Software\Microsoft\Search Assistaint\ACMru\5604 там был ключ с этим ip. По его словам он сменил на наши dns в настройках и забил один из наших dns в этот ключ. Копию папки Search Assistaint из %windir% еще не проверял. Изменено 28 февраля, 2007 пользователем ShumBor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jump Опубликовано 28 февраля, 2007 · Жалоба Кое чего нарыли по этому поводу.Техник ходил перерыл реестр и наткнулся на ветку: HKU\Software\Microsoft\Search Assistaint\ACMru\5604 там был ключ с этим ip. По его словам он сменил на наши dns в настройках и забил один из наших dns в этот ключ. Копию папки Search Assistaint из %windir% еще не проверял. Интересна штука, а если поправить реестр в этом месте, не забъет ли он опять туда свой IP? кстати я такую адреса у юзеров наблюдал уже как месяца 3 назад, тогда еще стало интересно, откуда же они эти адреса берут, спрашивал у них, мычат и ничего толком сказать не могут... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zverushka Опубликовано 1 марта, 2007 · Жалоба Кое чего нарыли по этому поводу. Техник ходил перерыл реестр и наткнулся на ветку: HKU\Software\Microsoft\Search Assistaint\ACMru\5604 там был ключ с этим ip. По его словам он сменил на наши dns в настройках и забил один из наших dns в этот ключ. Копию папки Search Assistaint из %windir% еще не проверял. Интересна штука, а если поправить реестр в этом месте, не забъет ли он опять туда свой IP? кстати я такую адреса у юзеров наблюдал уже как месяца 3 назад, тогда еще стало интересно, откуда же они эти адреса берут, спрашивал у них, мычат и ничего толком сказать не могут... это сговор пользователей против админов и инженеров тех поддержки провайдеров :+)))это типа как прийти толпой в одно место и молча с лицами как будто ничего странного не происходит одновременно начать кушать бананы ... :+) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...