[vic~]

В сети появился трафик с адреса 127.0.0.1 сканирующий локалку пакеты по 40 и 80 байт. Перестал проходить пинг с максимальным размером пакета.

 

 

В другой сети, серез роутер этого нет.

 

Встречал ли кто такое? Посоветуйте что предпринять....

[Kitsok]

Хм... Особенно интересно, куда уйдет обратный пакет ;)

[UncleDen+Marino95]

На локальный интерфейс "приёмника". Ну а дальше...

[Barsick]

Содержимое пакетов скинь в конфу, легче советовать будет.

Пакеты с реального мака идут? Или подставлен чужой/несуществующий?

[Pirat]

Вирус, но уже не новый, наблюдал где-то осенью пик его активности....

Какая-то из версий MSBlast'а вроде, но с ошибкой, отсюда и 127.0.0.1

[Бригинец Александр]

Вот еще коль заговорили об вирусах.

Началось как ни странно сначала на машине которую только воткнули в сеть.

Через пять минут появилась ошибка "прекращение процесса lsass.exe компьютер быдет вырублен через минуту". У юзверя спросил говорит было такое год назад. Думал старая тема после сервис пака пропадет - ни фига не угадал. Ну ладно говорю каль было то ставь антивирус и лечись.

Через часа три полетел сервер, стал перезагружаться через каждые пять минут потом пошло по всей локалке. Видели бы что в прочате творилось одни сообщения вышел (завершение работы).

За полночь надоело разбираться пошел спать к утру проверил сетевое подключение проработало 17 часов без перезагрузов. после этого сервер не перезагружался ни разу. Найти вирь на машине не удалось вообще следов не было хотя ни кто не копался кроме меня.

Далее...

Слиды этой заразы:

в папке WINDOWS/SISTEM32 появляются файлы n_up.exe где n случайное число. Количество файлов от дужены до несколько сотен.

В папке WINDOWS сидит файл avserve2.exe он же прописан в реестре где то в RUN.

При удалении в безопасном режиме всего перечисленного озникает ощущение избавления от заразы. У меня комп например после этого работает уже третьи сутки и ни чего правда я закрыл порты на которых сидела тварь 9996 и 5554 если не ошибаюсь. Только у других вирь все равно появляется через какое то время. Правдо защиты не стояло никакой на сколько я знаю.

Вот акая вот история да и не знаю как засечь заразу. FPROT, которому всегда отдавали предпочтение даже с последним обновлением ни чего не показал.

[Бригинец Александр]

Вот еще хотел спросить тема конечно в разделе ПО должна быть но тем немение.

FPROT постоянно выдает что то из папки, дай бог не спи...деть (SISTEM VALUE INFORMATION) кажется так. ТОлько в винде ету папку вообще не видать. Файловая система стоит NTFS можа в этом трабл но не переходить же на FAT32.

С помощью FARa удалось увидеть папку а вот открыть ни фига.

Что ето такое? как мне попасть в папку расположеную у меня на МОЕМ компьютере?

[unrealvladisla]

Через часа три полетел сервер, стал перезагружаться через каждые пять минут потом пошло по всей локалке.

 

То есть фиксы на сервер вы регулярно не накатываете???

[unrealvladisla]

в папке WINDOWS/SISTEM32 появляются файлы n_up.exe где n случайное число. Количество файлов от дужены до несколько сотен.

В папке WINDOWS сидит файл avserve2.exe он же прописан в реестре где то в RUN.

 

Это Sasser.

[Виктор С. Грищенко]

Вирус, но уже не новый, наблюдал где-то осенью пик его активности....

Какая-то из версий MSBlast'а вроде, но с ошибкой, отсюда и 127.0.0.1

Не ошибка. Это раритетная версия MSBlaster, она пытается свалить windowsupdate.com, а такой записи в DNS нету. Поэтому SYN-флудит себя (127.0.0.1), используя случайный адрес источника а потом тачка сама себе отвечает с loopback на тот самый случайный адрес.

Я когда исследовал этот феномен, икал даже. Такое непонятное макроявление. Потом, конечно, посмеялся.

[Виктор С. Грищенко]

Incidents.org про Sasser:

Mailbag: Cleanup Woes

 

A reader asked why we recommend a complete rebuild of systems infected with 'sasser', given that 'sasser' is rather begign and easy to clean.

 

The problem with 'sasser' is that it is an indicator exploit. The fact that you are infected with 'sasser' indicated that you where vulnerable to the LSASS exploit. Before sasser, a large number of bot variants exploited this vulnerability. We find that many systems infected with 'sasser' are infected with one or more bots in addition to 'sasser'.

 

Each day, we receive several distinct 'bot' samples. Anti virus signatures are typically not able to keep up with all versions, and many 'bots' include specific code to plant backdoors, disable firewalls and anti virus products, or to add additional system accounts.

 

Antivirus software is not able to reliable detect and clean all these bots. As a result, it is impossible to tell if any of these bots is left on your system. Only a through (and costly) forensics analysis by a trained specialist will provide some comfort.

 

As a result: If you are infected by 'sasser', try to rebuild your system from scratch. For detailed instructions on setting up a new system safely, see http://www.sans.org/rr/papers/index.php?id=1298 (Windows XP: Surviving the first day). If you are acquiring a new system, assume it is not yet patched and use extreme care the first time you connect it to the network.