Jump to content

Новый вирус????? Или что?

vic~
 Share

Recommended Posts

vic~

vic~

Posted
Posted

В сети появился трафик с адреса 127.0.0.1 сканирующий локалку пакеты по 40 и 80 байт. Перестал проходить пинг с максимальным размером пакета.

 

 

В другой сети, серез роутер этого нет.

 

Встречал ли кто такое? Посоветуйте что предпринять....

Barsick

Barsick

Posted
Posted

Содержимое пакетов скинь в конфу, легче советовать будет.

Пакеты с реального мака идут? Или подставлен чужой/несуществующий?

Pirat

Pirat

Posted
Posted

Вирус, но уже не новый, наблюдал где-то осенью пик его активности....

Какая-то из версий MSBlast'а вроде, но с ошибкой, отсюда и 127.0.0.1

Бригинец Александр

Бригинец Александр

Posted
Posted

Вот еще коль заговорили об вирусах.

Началось как ни странно сначала на машине которую только воткнули в сеть.

Через пять минут появилась ошибка "прекращение процесса lsass.exe компьютер быдет вырублен через минуту". У юзверя спросил говорит было такое год назад. Думал старая тема после сервис пака пропадет - ни фига не угадал. Ну ладно говорю каль было то ставь антивирус и лечись.

Через часа три полетел сервер, стал перезагружаться через каждые пять минут потом пошло по всей локалке. Видели бы что в прочате творилось одни сообщения вышел (завершение работы).

За полночь надоело разбираться пошел спать к утру проверил сетевое подключение проработало 17 часов без перезагрузов. после этого сервер не перезагружался ни разу. Найти вирь на машине не удалось вообще следов не было хотя ни кто не копался кроме меня.

Далее...

Слиды этой заразы:

в папке WINDOWS/SISTEM32 появляются файлы n_up.exe где n случайное число. Количество файлов от дужены до несколько сотен.

В папке WINDOWS сидит файл avserve2.exe он же прописан в реестре где то в RUN.

При удалении в безопасном режиме всего перечисленного озникает ощущение избавления от заразы. У меня комп например после этого работает уже третьи сутки и ни чего правда я закрыл порты на которых сидела тварь 9996 и 5554 если не ошибаюсь. Только у других вирь все равно появляется через какое то время. Правдо защиты не стояло никакой на сколько я знаю.

Вот акая вот история да и не знаю как засечь заразу. FPROT, которому всегда отдавали предпочтение даже с последним обновлением ни чего не показал.

Бригинец Александр

Бригинец Александр

Posted
Posted

Вот еще хотел спросить тема конечно в разделе ПО должна быть но тем немение.

FPROT постоянно выдает что то из папки, дай бог не спи...деть (SISTEM VALUE INFORMATION) кажется так. ТОлько в винде ету папку вообще не видать. Файловая система стоит NTFS можа в этом трабл но не переходить же на FAT32.

С помощью FARa удалось увидеть папку а вот открыть ни фига.

Что ето такое? как мне попасть в папку расположеную у меня на МОЕМ компьютере?

unrealvladisla

unrealvladisla

Posted
Posted
Через часа три полетел сервер, стал перезагружаться через каждые пять минут потом пошло по всей локалке.

 

То есть фиксы на сервер вы регулярно не накатываете???

unrealvladisla

unrealvladisla

Posted
Posted
в папке WINDOWS/SISTEM32 появляются файлы n_up.exe где n случайное число. Количество файлов от дужены до несколько сотен.

В папке WINDOWS сидит файл avserve2.exe он же прописан в реестре где то в RUN.

 

Это Sasser.

Виктор С. Грищенко

Виктор С. Грищенко

Posted
Posted
Вирус, но уже не новый, наблюдал где-то осенью пик его активности....

Какая-то из версий MSBlast'а вроде, но с ошибкой, отсюда и 127.0.0.1

Не ошибка. Это раритетная версия MSBlaster, она пытается свалить windowsupdate.com, а такой записи в DNS нету. Поэтому SYN-флудит себя (127.0.0.1), используя случайный адрес источника а потом тачка сама себе отвечает с loopback на тот самый случайный адрес.

Я когда исследовал этот феномен, икал даже. Такое непонятное макроявление. Потом, конечно, посмеялся.

Виктор С. Грищенко

Виктор С. Грищенко

Posted
Posted

Incidents.org про Sasser:

Mailbag: Cleanup Woes

 

A reader asked why we recommend a complete rebuild of systems infected with 'sasser', given that 'sasser' is rather begign and easy to clean.

 

The problem with 'sasser' is that it is an indicator exploit. The fact that you are infected with 'sasser' indicated that you where vulnerable to the LSASS exploit. Before sasser, a large number of bot variants exploited this vulnerability. We find that many systems infected with 'sasser' are infected with one or more bots in addition to 'sasser'.

 

Each day, we receive several distinct 'bot' samples. Anti virus signatures are typically not able to keep up with all versions, and many 'bots' include specific code to plant backdoors, disable firewalls and anti virus products, or to add additional system accounts.

 

Antivirus software is not able to reliable detect and clean all these bots. As a result, it is impossible to tell if any of these bots is left on your system. Only a through (and costly) forensics analysis by a trained specialist will provide some comfort.

 

As a result: If you are infected by 'sasser', try to rebuild your system from scratch. For detailed instructions on setting up a new system safely, see http://www.sans.org/rr/papers/index.php?id=1298 (Windows XP: Surviving the first day). If you are acquiring a new system, assume it is not yet patched and use extreme care the first time you connect it to the network.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.