-
Junior Member
- Вес репутации
- 52
alg.exe лезет на левый IP
Файерволл говорит мне что alg.exe лезет на некий IP:
Remote Point: 91.204.149.62 , port ftp [21]
Protocol: [6] TCP
1. Подскажите как определить что это не троян ?
2. Как узнать кто активизировал alg.exe ?
3. Можно ли по IP, на который лезет прога, выяснить что активничает некий вирус, и какой
Зловредных процессов ни одна прога не показывает.
Антивирусники все молчат.
anvir
avz
HiJackThis
Все показывают, что все хорошо.
alg.exe проверил - валидный
Мне интересны ответы, как по конкретному IP-шнику/вирусу
так и по методологии определения зловредности.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
Насчет IP;
Using server whois.ripe.net.
Query string: "-V Md4.7 91.204.149.62"
inetnum: 91.204.148.0 - 91.204.151.255
netname: YourNet
descr: Your Net
country: RU
org: ORG-YN4-RIPE
admin-c: DK2630-RIPE
tech-c: DK2630-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: YOURNET-MNT
mnt-routes: YOURNET-MNT
mnt-domains: YOURNET-MNT
source: RIPE # Filtered
organisation: ORG-YN4-RIPE
org-name: Your Net
org-type: OTHER
address: Malaja Buharestskaja, 3
address: Saint-Petersburg
address: 192288, Russia
e-mail: [email protected]
mnt-ref: SEVEREN-MNT
mnt-by: YOURNET-MNT
source: RIPE # Filtered
person: Dmitry Kozmenko
address: Malaja Buharestskaja, 3
address: Saint-Petersburg
address: 192288, Russia
phone: +7 812 716-66-22
phone: +7 911 765-17-20
e-mail: [email protected]
e-mail: [email protected]
nic-hdl: DK2630-RIPE
mnt-by: YOURNET-MNT
source: RIPE # Filtered
route: 91.204.148.0/22
descr: Your Net
descr: yournet
origin: AS47459
mnt-by: YOURNET-MNT
source: RIPE # Filtered
-
Вам надо проверится по правилам в разделе "Помогите"
Информация об IP-адресе 91.204.149.62
по данным RIPE:
% This is the Ripe-Mirror Whois server.
% Note: this output has been filtered.
% Information related to '91.204.148.0 - 91.204.151.255'
inetnum: 91.204.148.0 - 91.204.151.255
netname: YourNet
descr: Your Net
country: RU
org: ORG-YN4-RIPE
admin-c: DK2630-RIPE
tech-c: DK2630-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: YOURNET-MNT
mnt-routes: YOURNET-MNT
mnt-domains: YOURNET-MNT
source: RIPE # Filtered
organisation: ORG-YN4-RIPE
org-name: Your Net
org-type: OTHER
address: Malaja Buharestskaja, 3
address: Saint-Petersburg
address: 192288, Russia
e-mail:
[email protected]
mnt-ref: SEVEREN-MNT
mnt-by: YOURNET-MNT
source: RIPE # Filtered
person: Dmitry Kozmenko
address: Malaja Buharestskaja, 3
address: Saint-Petersburg
address: 192288, Russia
phone: +7 812 716-66-22
phone: +7 911 765-17-20
e-mail:
[email protected]
e-mail:
[email protected]
nic-hdl: DK2630-RIPE
mnt-by: YOURNET-MNT
source: RIPE # Filtered
% Information related to '91.204.148.0/22AS47459'
route: 91.204.148.0/22
descr: Your Net
descr: yournet
origin: AS47459
mnt-by: YOURNET-MNT
source: RIPE # Filtered
-
-
Junior Member
- Вес репутации
- 52
Вопрос остался:
Можно ли по IP, на который лезет прога, выяснить что активничает некий вирус, и какой
-
В отдельных случаях можно предположить что это, а в общем - нет.
-
-
Junior Member
- Вес репутации
- 52
Тем не менее что делать в этом конкретном случае ?
-
Junior Member
- Вес репутации
- 53
Сообщение от
Torvic99
Вам надо проверится по
правилам в разделе "Помогите"
Вам уже сказали что делать в Вашем конкретном случае
-
Junior Member
- Вес репутации
- 52
Ну тоесть, я правильно понимаю, что искать процесс, который активировал alg.exe бесперспективно ?
Этот путь не приводит к интересующему меня процессу ?
-
Сообщение от
lesa111
Этот путь не приводит к интересующему меня процессу ?
Пока вы ищете путь раза 2-3 можно было прочитать правила и сделать логи. Может и увидели бы кто через этот Application Layer Gateway ломится в инет.
alg.exe – служба операционной системы Microsoft Windows. Она является ядром для Microsoft Windows Internet Connection sharing и Internet connection firewall. Также эту службу используют некоторые сторонние межсетевые экраны. В случае завершения работы этой службы, у вас пропадет доступ в сеть Интернет до перезагрузки компьютера. Также служба часто используется сторонними программами, например межсетевыми экранами.
Файл Alg.exе всегда запускается от имени LOCAL SERVICE. Процесс, запущенный от имени другого пользователя может означать о наличии злонамеренных программ на вашем комьпютере.
Файл alg.exe всегда расположен в директории C:\Windows\System32. В других каталогах под именем alg.exe может скрываться троян, вирус или сетевой червь. Например:
* W32.Tufik (%SystemRoot%\alg.exe) – этот вирус автоматически загружает и устанавливает другие злонамеренные программы. Он также заражает другие exe файлы, что может потребовать восстановление Windows после удаления вируса.
Обычно только один процесс с именем alg.exe запущен на системе. Наличие множества запущенных копий свидетельствует о заражении комьютера.
Возможные проблемы с alg.exe:
* Межсетевой экран сообщает о том, что alg.exe пытается подключится к сети интернет. Такое поведение возможно когда одновременно на компьютере запущен сторонний межсетевой экран и Windows Firewall. В этом случае Windows Firewall необходимо отключить.
* Alg.exe слушает на 1025 TCP порту – это нормальное поведение.
-
-
Junior Member
- Вес репутации
- 52
Уважаемые Гуру !!!
Я ,конечно, преследую цель выловить вирус, но это для меня не главное.
Конечно я могу пойти "СТАНДАРТНЫМ ПУТЕМ" и поймать вирус,используя
стандартные технологии...
Но,мне кажется, что здесь есть возможность оптимизации процесса поиска.
Предположим существует злобный вирус, который используя alg.exe
сливает интересную ему инфо на свой ftp сайт.
(Гипотеза не лишенная смысла в моем случае, не правда ли ?)
Как здравомыслящий человек, я рассуждаю так :
Вот факт вылазки шпиона! Вот я его запеленговал!
Вроде все на лапе...
Что мне мешает его поймать за руку ?
Есть какие то принципиальные ограничения ?
-
Только скорость света, бритва Оккама и принцип причинности. Ловите.
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
pig
Только скорость света, бритва Оккама и принцип причинности. Ловите.
и поймал !!!
Решение найдено
Рекомендую:
Port Reporter от Microsoft
Оказалось это uTorrent лезет по ftp куда то
при этом всегда активизируется alg.exe
-
Junior Member
- Вес репутации
- 52
Сообщение от
lesa111
Port Reporter от Microsoft
Большое спасибо, действительно полезная утилита. Правда, оффсайт майкрософт не открылся, пришлось с секуритилаб качать.
[offtopic]
С тех пор, как пришел на форум, мой "багаж" полезных программ пополнился, чуть ли не вдвое
[/offtopic]