[wsimons]

Та же ситуевина.

Каждый день примерно всплывает по 1-5 человек с такими же симптомами. Проверка сканерами идею о червяках пока не подтвердила...

[craz]

Домашняя сеть порядка 1500 абонентов, 40 звонков за прошедшие дней 5 с подобной проблемой.

[GateKeeper]

Ну, так всё же, винда, или в ОСях эта штука свободно плавает?

[@ngel]

Винда, однозначно =(

[GateKeeper]

В общем, тут вопрос задавали, про редирект DNS-а:

На сервере:

rdr on $int_if inet proto udp from $admin_host to ($int_if) port domain -> $secondary_dns

 

У меня:

# host ya.ru
;; reply from unexpected source: 192.168.200.1#53, expected 192.168.200.2#53
;; reply from unexpected source: 192.168.200.1#53, expected 192.168.200.2#53

 

Т.е. - не получится. Как я и предполагал. Потому что сервер ставит свою метку в ответ.

[balamutang]

В общем, тут вопрос задавали, про редирект DNS-а:

На сервере:

rdr on $int_if inet proto udp from $admin_host to ($int_if) port domain -> $secondary_dns

 

У меня:

# host ya.ru
;; reply from unexpected source: 192.168.200.1#53, expected 192.168.200.2#53
;; reply from unexpected source: 192.168.200.1#53, expected 192.168.200.2#53

 

Т.е. - не получится. Как я и предполагал. Потому что сервер ставит свою метку в ответ.

ну дык на DNS сервер еще один алиас повесьте с IP 194.67.57.104, бинд заставить слушать этот IP и смаршрутизировать хост 194.67.57.104 на этот днс. кстати ДНС - это не только UDP но и TCP в некоторых случаях

[GateKeeper]

Эти "некоторые" случаи, как я понимаю, требуют дополнительного вмешательства в клиентский софт, и, если бы вмешательство как таковое было возможно, этого треда вообще бы не существовало, потому рассматривается только дефолтный UDP-вариант резольверов.

[nuclearcat]

просто обратная развертка должна быть = NAT

на линуксе он же DNAT

пакет ессно машинку с DNAT должен проходить в обе стороны

[damned]

теперь имеем от пятерых "с-бродячими-днсками"

tcpdump eth7 -n|grep 10.249.1.19
----бла-бла-бла----
01:56:25.316447 IP 10.249.1.19 > 88.84.100.59:  ip-proto-255 48
01:56:25.316451 IP 10.249.1.19 > 88.84.100.59:  ip-proto-255 48
01:56:25.316455 IP 10.249.1.19 > 88.84.100.59:  ip-proto-255 48
01:56:25.316459 IP 10.249.1.19 > 88.84.100.59:  ip-proto-255 48
01:56:25.316479 IP 10.249.1.19 > 88.84.100.59:  ip-proto-255 48
----бла-бла-бла----

 

совпадение? х)

[umike]

По рассказам одного пользователя: сменился DNS, он это обнаружил, узнал что это действие виря, прогнал машину NOD32. Нашлось:

файлики наподобие system101\system101.dll system102\system102.dll в program files и кэше браузера. NOD32 лечит сканером. Монитор не поймал.

 

К сожалению он его грохнул не разбираясь :(

По логам NOD обзывает его Win32/Agent.QC. Касперский обзывает его Trojan-Spy.Win32.Agent.qc

 

Возможно и не оно. Других зверьков на машине не обнаружено.

Изменено 16 февраля, 2007 пользователем umike

[GateKeeper]

http://bash.org.ru/quote.php?num=110015

 

А ведь как я сразу не догадался - надо-то всего-лишь собрать базу потребностей конкретных пользователей.

[Прохожий]

http://bash.org.ru/quote.php?num=110015

 

А ведь как я сразу не догадался - надо-то всего-лишь собрать базу потребностей конкретных пользователей.

Если бы это было так - оно бы работало для пользователя прозрачно. А не работает. Хотя как методология - совершенно работоспособно, вообще-то для фишинга исключительно перспективное техническое решение. Миддльмен быстро, дешево и незаметно...

[S_W]

та же история только теперь другие адреса что то в зоне

.nl

за день 10 клиентов и

1 серв вин2к3 стоящий у нашего клиента - компьютерного клуба

 

слава богу все исравил махом

на сайт повешал как лечить такую гадость

вроде пока что звонков нет

[SMH]

поймал енту керь, но благо вылечил уже...где поймал только хз((...umike мой антивир тоже самое у меня на машинке поймал.

[S_W]

а у меня антивирь не видит это вообобще просто все запросы на зараженноой машине редиректятся на левый ДНС.

правил командой netsh interface ip reset Любоеимяфайла

[KuZia095]

Таже фигня и у нас. У всех абонентов установлен агент mail.ru (194.67.23.100, 2041/tcp)

 

 

Пока только такая инфа:

" IP[src=192.168.1.33 Dst=194.67.57.104 UDP spo=01285 dpo=00053]}S01>R01mF ", т.д.

[Прохожий]

Хм, нешто мыл-ру решил таким образом инфу о юзверях собирать? Вот за это пи лицу мешалкой можно получить...

[umike]

бредите господа

 

имею на трех машинах установленный Агент + специально в виртуалке его установил последнюю версию (раз уж там win у меня есть) дабы убедиться. Ничего подобного не происходит. А на машине на которой произошла та-же ситуация и было отловлено (см выше) агента НЕТ. Как и у половины пользователей столкнувшихся с этой дрянью.

[Прохожий]

Вот я и не верю в такой расклад. Но прикол-то в том, что виря толком никто не локализовал...

[GateKeeper]

Так ведь тут говорили, мол, вылечили, победили, избавились...

 

Что лечили-то?

Что победили в итоге?

От чего избавились!?

 

Скажите, что это было, кто успел от этого избавиться...

[Прохожий]

Как я успел понять "избавились" - это значит вернули на место DNS :( Кто-то что-то по дороге поймал, но вот связь пойманного с заменой DNS неоднозначна...

 

Если бы я разрабатывал такой крючок, я бы сделал код, который меняет DNS на целевой и тихо умирает. Целевой DNS должен существовать и мирно отвечать на запросы, тогда минимальна вероятность, что это вообще будет замечено, а все антитрипперы будут молчать - машина-то чистая.

 

По Лукьяненко... Чистый, не размножающийся, не стирающий информацию вирус. Разрешенный к применению в виртуальности. На твой страх и риск, разрешенный...

 

А в "час Ч" всех перенаправлять на ресурс, который снова засадит червя, который уже и шуганет куда надо... И снова тихо умрет... Или подсаживать его только в тот момент, когда юзер лезет на интересующий ресурс - пароль снять... И снова умрет. Машина чистая, но под контролем...

 

Красиво!

 

Такие ходы, как говорится, "открывают простор для комбинаций..." А ко мне можно звать врача с сильными санитарами, у меня паранойя :(

[GateKeeper]

К сожалению, не паранойя, а всего лишь переизбыток осведомлённости. Да.

[ShumBor]

Кое чего нарыли по этому поводу.

Техник ходил перерыл реестр и наткнулся на ветку:

HKU\Software\Microsoft\Search Assistaint\ACMru\5604

там был ключ с этим ip.

По его словам он сменил на наши dns в настройках и забил один из наших dns в этот ключ.

Копию папки Search Assistaint из %windir% еще не проверял.

Изменено 28 февраля, 2007 пользователем ShumBor

[Jump]

Кое чего нарыли по этому поводу.

Техник ходил перерыл реестр и наткнулся на ветку:

HKU\Software\Microsoft\Search Assistaint\ACMru\5604

там был ключ с этим ip.

По его словам он сменил на наши dns в настройках и забил один из наших dns в этот ключ.

Копию папки Search Assistaint из %windir% еще не проверял.

Интересна штука, а если поправить реестр в этом месте, не забъет ли он опять туда свой IP?

 

кстати я такую адреса у юзеров наблюдал уже как месяца 3 назад, тогда еще стало интересно, откуда же они эти адреса берут, спрашивал у них, мычат и ничего толком сказать не могут...

[Zverushka]

Кое чего нарыли по этому поводу.

Техник ходил перерыл реестр и наткнулся на ветку:

HKU\Software\Microsoft\Search Assistaint\ACMru\5604

там был ключ с этим ip.

По его словам он сменил на наши dns в настройках и забил один из наших dns в этот ключ.

Копию папки Search Assistaint из %windir% еще не проверял.

Интересна штука, а если поправить реестр в этом месте, не забъет ли он опять туда свой IP?

 

кстати я такую адреса у юзеров наблюдал уже как месяца 3 назад, тогда еще стало интересно, откуда же они эти адреса берут, спрашивал у них, мычат и ничего толком сказать не могут...

это сговор пользователей против админов и инженеров тех поддержки провайдеров :+)))

это типа как прийти толпой в одно место и молча с лицами как будто ничего странного не происходит одновременно начать кушать бананы ... :+)