Здравствуйте.
Пару недель назад Outpost после установки dial-up соединения стал постоянно сигналить о том, что services.exe запрашивает входящее соединение через UDP:1026 на мой сеансовый IP (DHCP). За время приема почты (10 - 15 минут) кнопочку "Блокировать однократно" приходится нажимать раз 20 - 30. После каждой блокировки внешние IP меняются, но всегда китайские:
213.158.11.94
221.130.92.72
202.97.238.203
58.19.183.42
и т. д.
Из окна сетвой активности Outpost видно только, что services.exe возбуждается каким-то n/a процессом.
Других вредоносных эффектов пока не заметил. Хотя Outpost пару раз кричал, что ему пытаются изменить файлы, да The Bat иногда сообщает, что информация о компоненте SSCE5132.dll изменилась (на всякий случай - блокирую до перезапуска).
Пробовал AVZ, Kaspersky Internet Security 6, Dr. Web Cure It - ничего не находят.
При соединении из внутренней сети ADSL провайдера (через провайдерский прокси) эффекта не возникает, но коннект время от времени ненадолго подвисает (как я понимаю, присходит та же самая блокировка, но на провайдерском файере).
Буду признателен за любую помощь. Ибо достал уже
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Не могу добавить его в карантин, AVZ сообщает
"Ошибка карантина файла "explorer.exe", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка".
Сжать winrar'ом с паролем?
Пару недель назад Outpost после установки dial-up соединения стал постоянно сигналить о том, что services.exe запрашивает входящее соединение через UDP:1026 на мой сеансовый IP (DHCP)...
Из окна сетвой активности Outpost видно только, что services.exe возбуждается каким-то n/a процессом.
А почему вы решили, что это троян? Соединение - входящее, т.е. не от вас что-то ломится, а к вам. Отсюда и процесс n/a - правилами для приложений данная активность не описывается, глобальные правила не настроены, Outpost в режиме обучения - вот и спрашивает каждый раз у вас, что с этим входящим соединением делать. Вам, скорее, сюда - http://forum.five.mhost.ru/kb2/index...%D0%B8_Outpost
, проверять настройку глобальных правил. А в логах, действительно, ничего подозрительного.
Последний раз редактировалось Numb; 25.04.2007 в 23:39.
По косвенным.
1. До возникновения эффектов ОР (после его запуска) показывал 18 открытых портов перед установлением соединения и столько же - после, перед запуском первого интернет приложения.
После возникновения эффектов ОР (после его запуска) показывет 20 открытых портов перед установлением соединения и 21 - после, перед запуском первого интернет приложения (открывается дополнительно порт 500:UDP для lsass.exe, чего раньше вроде как не было) .
2. При работе через двух очень разных dial-up провайдеров временнЫе характеристики запросов входящих соединений (интервал до первого запроса и последующая частота) практически одинаковы. Подумал, что вряд ли такое может быть при атаке извне. А вот если троян изнутри сообщает, что он в сети и готов к работе - вполне.
3. Какая-то дрянь по системе все-таки ползает: то иконки у OP или TheBat'а поменяются, то винда про якобы 39 поврежденных системных файлов кричит и требует ОК нажать для реставрации.
Может и паранойя. Специалисты признают - соглашусь.
Глобальные правила OP настраивал именно по этому руководству. Хотя отличия от дефолтных настроек совсем незначительные: отключены GRE Protocol и PPTP control connection. Ну и по мелочи: разлокировал сверхдлинные DNS-запросы и запретил находить новые настройки сети автоматически. Если еще что присоветуете - буду благодарен.
По косвенным.
1. До возникновения эффектов ОР (после его запуска) показывал 18 открытых портов перед установлением соединения и столько же - после, перед запуском первого интернет приложения.
После возникновения эффектов ОР (после его запуска) показывет 20 открытых портов перед установлением соединения и 21 - после, перед запуском первого интернет приложения (открывается дополнительно порт 500:UDP для lsass.exe, чего раньше вроде как не было) .
2. При работе через двух очень разных dial-up провайдеров временнЫе характеристики запросов входящих соединений (интервал до первого запроса и последующая частота) практически одинаковы. Подумал, что вряд ли такое может быть при атаке извне. А вот если троян изнутри сообщает, что он в сети и готов к работе - вполне.
3. Какая-то дрянь по системе все-таки ползает: то иконки у OP или TheBat'а поменяются, то винда про якобы 39 поврежденных системных файлов кричит и требует ОК нажать для реставрации.
Может и паранойя. Специалисты признают - соглашусь.
Глобальные правила OP настраивал именно по этому руководству. Хотя отличия от дефолтных настроек совсем незначительные: отключены GRE Protocol и PPTP control connection. Ну и по мелочи: разлокировал сверхдлинные DNS-запросы и запретил находить новые настройки сети автоматически. Если еще что присоветуете - буду благодарен.
К сожалению, на вашей ОС невозможно установить, какое приложение слушает порт. Однако я практически уверен, что это элементарный эксплойт, который долбится к вам на машину. Пункт 2 вашего ответа значения не имеет: если мы действительно имеем дело с эксплойтом, то ему глубоко все равно, какое у вас подключение - может, его так настроили, начинать долбить машину через n минут после ее появления в сети. Я не вижу никаких причин для беспокойства, хотя вам, конечно же, нисколько не повредила бы установка Windows XP SP2, если позволяет железо.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
я практически уверен, что это элементарный эксплойт, который долбится к вам на машину
Вердикт принят. Поскольку компетентность вашей команды широко известна в узких кругах . Приношу извинения всем, кого зазря оторвал от дел.
хотя вам, конечно же, нисколько не повредила бы установка Windows XP SP2, если позволяет железо.
Спасибо. Но этот 300MHz прадедушка и win2k не очень тянет. KIS 6.0 его анализировал 19 часов. А две действительно рабочие станции отделены от глобальной сети известным Вам наилучшим файрволлом.
Уважаемый(ая) Rhino, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: