Сделать ловушку для зловредов. Как?

В сети предприятия более 10-ти подсетей.
Отвечаю за несколько подсетей, что происходит в остальных сетях понятия не имею, есть контакт с тамошними админами, но они неподвласны.
Постоянно откудато лезут проблемы.
У себя в хозяйстве, развернул Антивирус проапдейтил системы(чувствую себя более менее защищенно).

Была ситуация, поставил ХР СП1 + НОД через пару минут, НОД закричал, что идёт атака с соседней подсети.

Когда машина со всеми паками и обновлена, атаки не видать(дырки закрыты).

Появилась мысль, сделать типа [B]Песочницу для вирусов[/B] виртуальная машина с Win-SP1, которая полнофункционально взаимодействует с сетью предприятия.

Открыта со всех сторон для збора всего мусора который бродит по сети.

[B]Вопрос[/B] Какими средствами и каким образом, можно мониторить, что происходит на машине, дабы знать чего в сети происходит и предпринимать соответствующие меры.

Или может есть другая методика, для достижения желаемого результата?

Ловушка - это экстремальный метод :) (вырус может положить всю сеть и может не попасть в ловушку) ... Есть куда более простые методы:
1. Сеть поделить на подсети, между ними поставить Firewall/роутер, на роутере запретить все по максимуму и установить IDS. Это как показывает практика делается на FreeBSD за пару дней, если не спешитью.
2. Установить корпоративный антивирус, принудительное управление и блокировка отклбючения только из центра, в корпоративном антивирусе на всех ПК включить обнаружение атак (это делает антихакер в KAV например) и в базу центра управления будут поступать оперативные данные, что кого и откуда атакует. Если антивирус это не умеет - выкинуть его и перейти на шаг 2
3. Поднять у себя в сети WSUS сервер и подключить к нему все ПК - чтобы он заапдейтил их до упора
4. Позакрывать расшаренные папки у юзеров, понаставить им паролей, поотключать автозапуск
И все будет хорошо ...

Первые два пункта реализованы.

3 и 4 в планах.

Вот просто ситуация с тем как машина с СП1 зафиксировала атаку, а остальные на которых SP3 нет, так как дырки закрыты.

Но зараза то в сети бродит.

Или кто-то из босов с буком придет, в сеть тырк а там лисец, машины с 3 SP как в танке сидят, а на буке что-то типа Conficker-а сетку опросил и давай пробивать.

И Conficker нигде не зарегистрируеться в логах, т.к. сама винда отбросит, а на машине с SP1 проявиться.
И буду знать, что там-то зверь сидит, необходимо меры предпринять.

[QUOTE=Бумбарам;447100]Первые два пункта реализованы.
...
И Conficker нигде не зарегистрируеться в логах, т.к. сама винда отбросит, а на машине с SP1 проявиться.
И буду знать, что там-то зверь сидит, необходимо меры предпринять.[/QUOTE]
Плохо значит реализованы ... как я писал выше, антивирус может детектировать сетевые атаки. Тот же KAV 6 WKS например "антихакером" ловит атаки KIDO и аналогичных зверей, получается примерно вот такое в логе:
[CODE]
Событие Обнаружение сетевых атак произошло на компьютере ... в домене ... в Mon Aug 10 16:22:59 2009
Intrusion.Win.LSASS.exploit! IP-адрес атакующего: .... . Протокол/сервис: TCP на локальный порт 445. Время: 10.08.2009 16:22:59
[/CODE]
В такой ситуации "ловушками" будут [B]поголовно все[/B] ПК в сети и логи немедленно покажут, откуда идет атака и какого она типа. Если в сети 100 ПК, то эффективность будет на два порядка выше (!!), чем у одиночной ловушки. По поводу ноутбуков еще проще - для них нетрудно сделать "гостевую WiFi сеть", имеющую выход в Инет и доступ к корпоративным ресурсам ЛВС, но никуда более

Такие ловушки называются "Honeypot", их и обычно ставят антивирусные компании и прочие секурники, для поимки свежих зверьков, а также для обнаружения "ручных" атак, в том числе целенаправленных, исследования методов взлома.
Также этим занимаются фрики вроде меня :) Просто, ради поимки свежего зверя.
Во всяком случае, это весьма полезно в исследовательских целях, чего не скажешь о Вашей ситуации. В подсети интернет-провайдера такая система точно не помешала бы. Беда в том, что им (по моему опыту) это не очень интересно.
Вообще-то система Honeypot's могла бы помочь virusinfo в деле пополнения базы. Для осуществления нужны энтузиасты, располагающие доступом в инет, "лишней" установкой винды и неким софтом для анализа изменений в системе. Лично я с удовольствием поучавствую.

Можно ещё так [URL="http://www.snort.org"]snort[/URL] + [URL="http://www.autoshun.org/"]autoshun[/URL]
получится вот так [url]http://www.autoshun.com/files/shunlist.html[/url]

Такой вопрос:
бывают ли почтовые черви, которые для проверки коннективити отсылают по MX-ам письмо на заведомо несуществующий/заблокированный адрес, и в случае удачи (т.е. если прехват исходящих сделан тривиально) самоуничтожаются?

а если перехватывать только фазу DATA, можно пропустить эксплойт в envelope. Да и тест червя может быть рассчитан на отказ-после-точки. Бывают такие сервера...