Показано с 1 по 9 из 9.

Троян "оседлал" систему, окно- squid.exe (заявка № 74933)

  1. #1
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    5
    Вес репутации
    52

    Thumbs up Троян "оседлал" систему, окно- squid.exe

    При старте системы и прокси- sqid, компьютер превращается в "зомби" и лезет куда попало, особенно активно по протоколу smtp. Лог прокси-сервера растет как на дрожжах, нормальная работа в сети становится затруднительна. Проверка компьютера различными антивирусными приложениями ничего не дала. Если прибить процесс squid вредоносная деятельность прекращается...
    Хотя нет вру- посмотрел лог аутпоста- фиксирует входящий траффик, попытки исходящего по протоколам UDP, ICMP, IGMP- блокирует
    Вложения Вложения
    Последний раз редактировалось AndrevO; 30.03.2010 в 19:11.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от AndrevO Посмотреть сообщение
    Лог прокси-сервера растет как на дрожжах
    Я думаю, его надо понастраивать, а то он у вас открытым прокси работает.

  4. #3
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    5
    Вес репутации
    52
    Погуглил, понастраивал- траффик значительно уменьшился, аутпост уже не вешается как раньше, однако по логу, активность по прежнему продолжается, файервол блокирует некоторые сайты с вредоносным содержимым. Недонастроил?

    Добавлено через 8 часов 39 минут

    проверил- всё настроено правильно. Тем не менее вышеописанное продолжается.
    Последний раз редактировалось AndrevO; 31.03.2010 в 18:02. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Что сейчас в логах сквида? Есть хождения наружных клиентов или сквид их отшивает?

  6. #5
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    5
    Вес репутации
    52
    Почти всех отшивает- изредка возникает коннект с пометкой TCP_DENIED, но вроде никаких особых неприятностей не доставляет. Хождение по вредоносным сайтам прекратилось.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Значит, правильно настроили.

  8. #7
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    5
    Вес репутации
    52
    Ну что-же, это здорово конечно. Только может мне подскажете почему по логу сетевой активности аутпост (вкладка брандмауер) постоянно фиксируются входящие соединения (IN) по протоколу TCP (определяются как входящие так исходящие пакеты) по программе squid.exe? Мне кажется это не совсем нормально, или я ошибаюсь?

    Добавлено через 5 часов 48 минут

    ОФФТОП- драйверы от АVZ- (конкретно uzizmza4), загоняют систему в BSOD- еле-еле по дампу разобрался в чем дело.
    Последний раз редактировалось AndrevO; 02.04.2010 в 20:22. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Пакеты фиксируются потому, что кто-то снаружи пытается через ваш сквид ломиться. Сквид как честное приложение принимает запрос и в соответствии с настройками его отвергает. Я это так понимаю (со сквидом дела не имел, у меня другой прокси, зато я его внутренности хорошо знаю.). Дальше только файрволом закрываться. Или настраивать сквид на слушание только по внутрисетевому подключению, если он это умеет, - тогда запросы извне будут обламываться автоматом по причине отсутствия открытого порта.

  10. #9
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    5
    Вес репутации
    52
    Вобщем, спасибо! Хотя вопрос в итоге оказался и несколько не по теме проблема решилась после переустановки аутпоста (установил правила вручную) и, по совету выше, установки сквида на прослушивание внутрисетевого подключения.

  • Уважаемый(ая) AndrevO, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 24.02.2012, 18:12
    2. Ответов: 2
      Последнее сообщение: 10.10.2011, 16:33
    3. Ответов: 11
      Последнее сообщение: 18.12.2009, 22:35
    4. "пустое окно" на "синем экране" - 2
      От ег15 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 04:14
    5. "пустое окно" на "синем экране"
      От ег15 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 04:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00171 seconds with 18 queries