Сеть из небольшого числа компьютеров (везде WinXP SP2) Сервер Win2003 (Запущена WindowsUpdate – качаются все критические обновления) Symantec AntiVirus Corp 10.0.2.2000 на сервере (обновляется как только выходят обновления), на клиентах – клиентская часть. На клиентах обновления происходят по локальной сети по мере их появления на сервере. Выход в Интернет на сервере через биллинговую программу TrafficInspector ( в ней включен свой сетевой экран). Пользователь заметил очень быструю работу счетчика трафика.Причем счетчик начинает работать очень быстро как только открывается Explorer. Быстренько накачивает 14-20Мб и дальше все нормально. Это происходит бессистемно: один раз на одной машине, другой на другой, периодичность тоже непонятна. Когда попыталась разобраться, выяснилось, что 14-20Мб это то, что пользователь (и то не всякий) заметил, а частенько это происходит менее заметно – по 1-2Мб (не точно, с копейками или без или вообще по мелочи). Я отследила пару адресов с которых идет закачка: Хост Протокол Принято Передано Атрибуты Обьект Активен 84.53.146.82:80 TCP > 80 14325801 316466 100% Островский Юрий 09:44 - 09:55 84.53.146.82:80 TCP > 80 1026789 25539 100% Шушунова Алевтина12.09 14:57 - 12.09 15:08 84.53.146.82:80 TCP > 80 8850 2022 100% Нефедова Ирина 12.09 18:52 - 12.09 19:03 84.53.146.82:80 TCP > 80 186 100% Шпак Андрей 11.09 15:38 - 11.09 15:49 84.53.146.68:80 TCP > 80 13371968 464240 100% Червоненко Татьяна 11.09 08:28 - 11.09 08:39 http://search.msn.com:80 <84.53.146.68> TCP/HTTP > 80 14967 5069 100% Гришина 11.09 19:46 - 11.09 19:57 http://ie.search.msn.com:80 <84.53.146.68>TCP/HTTP > 80 2189 1227 100% Екимова 11.09 08:39 - 11.09 08:50 http://www.symantec.com.ua:80 <84.53.146.68>TCP/HTTP > 80 248 633 100% Перковская 13.09 16:01 - 13.09 16:12 Иногда биллинг пишет просто хост, иногда определяет http. Что это за хост не знаю – по простому туда не зайти. Ощущение, что осуществляется подмена Ip-адреса… Попыталась закрыть эти адреса в сетевом экране – все проходит как мимо стоячего.. Эта история началась где-то в июне – я сразу на вирус подумала, подозрительную машину проверила своим антивирусником (свежак!), подключилась к Касперскому и запустила on-line проверку (свежее некуда!) – все чисто. Пришла из отпуска – история не закончилась и выяснилось, что это система, а не разовый случай. Мне тут еще мысль подбросили, что это Microsoft что-то придумал для прямых обновлений и закопал инициацию этих обновлений в последние заплатки безопасности… Ну не знаю.. Считаю мысль о вирусах более реальной, по крайней мере надо убедиться есть они или нет. Натолкнулась на ваш портал и решила посоветоваться. Я взяла машинку с которой была закачка 11.09.2006 – пользователь обращался. Честно проделала все ваши рекомендации – после антивирусников все чисто.. Результат работы утилит прилагаю Заранее благодарю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
адресочек-то 84.53.146.82 известный - даже через гугл найти можно. а вот что качают - непонятно. может быть какие-то автоапдейты, программ-то у вас много наставлено.
NetOp сами ставили?
пришлите посмотреть (по правилам форума) файлы
c:\windows\system32\fmctrl.exe
C:\WINDOWS\system32\fmedia.cpl
Целевой IP тоже принадлежит akamai. Энное количество лет назад они делали всемирную систему кэширования контента. Идея: отдавать клиенту запрошенное не с источника, а с ближайшего к нему зеркала. Сайт Trend Micro работал с помощью akamai.
Спасибо, что откликнулись.
NetOp ставила сама = мне его подарил наш провайдер. Он не только у меня благополучно работает (он вроде официоз - ключи есть и для серверной и для клиентской частей).
Файлы загрузила.
-присланные файлы, на мой взгляд, абсолютно безвредны в плане информационной безопасности...
Код:
C:\windows\system32\fmctrl.exe - очевидно поставляется со "звуковухой" ForteMedia;
C:\windows\system32\fmedia.cpl - компонент панели управления, обеспечивает управление драйвером всё той же звуковой карты от ForteMedia, Inc;
да, эти файлы от звуковухи ForteMedia. Главное убедились, что все чисто.
Так... Получается все-таки, что надо искать приложения, которые проявляют инициативу без ведома пользователя... ну это следующая задача.
Парни, большое всем спасибо! Отрицательный результат - это тоже результат, а в данном случае это хороший результат.
Насколько я знаю, Windows Update тоже использует сервера akamai.
Могу предложить отключить Windows Update на два-три дня и пронаблюдать за сетевой активностью.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: