Обнаружен эксплойт скрытого канала в ICMP-пакете [NOD32]

Printable View

15.11.2010, 17:31
Spinorog

Вложений: 1

Обнаружен эксплойт скрытого канала в ICMP-пакете [NOD32]

Доброго времени суток! Проблемы следующие:

1. Журнал фаерволла NOD32 пестрит сообщениями(все в огромных количествах):
- неверная контрольная сумма пакета ethernet
- Обнаружен эксплойт скрытого канала в ICMP-пакете
- Обнаружена атака DNS cache poisoning
- Обнаружена атака ARP cache poisoning
несколько раз проскакивало:
- В сети обнаружен идентичный IP адрес

2. Компьютер не грузится в безопасном режиме:
При попытке загрузки в safe mode доходит до экрана выбора пользователя, успеваю нажать на пользователя и приблизительно через 7-10 секунд компьютер перезагружается.

3. Переодически отваливается интернет. Причем иногда бывает так, что одно приложение нормально работает с сетью, другое вообще не подключается.
Например:google chrome не может открыть google.com, но при этом IE открывает без проблем, в то же самое время chrome может открыть ya.ru а google.com грузиться не будет.

Очень надеюсь на вашу помощь!

P.S. Делал всё по инструкции, но не понял одного момента: у меня при первом сканировании AVZ получились логи одного размера, при втором другого, какие выкладывать? Решил что второго сканирования, если нужны первого, то их тоже сохранил. Да, и syscure не появился в логах.
15.11.2010, 18:18
Spinorog

Как я понял, это мой комп ломиться кого-то атаковать и пойзонить, потому, что в графе источник вроде везде стоит мой внутренний IP, а в графе объект либо модем, либо в случае ICMP удаленный IP. Посмотрел whois'ом - один из аресов майкрософт, другой какой-то godaddy.com, третий вообще левый.

ip адреса:
217.195.25.72
207.46.19.254
173.201.20.143
16.11.2010, 19:04
Spinorog

Люди, ну не бросайте, ответьте хоть что-нибудь! Больше всего прочего напрягает, что safe mode не грузиться!
20.11.2010, 13:05
Spinorog

Спасибо большое....
20.11.2010, 13:18
Шапельский Александр

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\Windows\system32\ntkrnlpa.exe','');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
Executerepair(1);
Executerepair(10);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"] полного сканирования МВАМ[/url]
20.11.2010, 23:33
Spinorog

Спасибо огромное за отклик!

Скрипт выполнил, карантин выслал.

Как только начал работать MBAM у Eset в журнале появилось 2 записи:

[CODE]20.11.2010 20:36:58 Защита в режиме реального времени файл C:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0004091.dll Win32/Spy.Ursnif.A вирус очистка невозможна NT AUTHORITY\система Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.

20.11.2010 20:36:58 Защита в режиме реального времени файл C:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0004091.dll Win32/Spy.Ursnif.A вирус очистка невозможна NT AUTHORITY\система Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.[/CODE]
21.11.2010, 10:47
Шапельский Александр

Проверим некоторые файлы, выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('E:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0006378.exe','');
QuarantineFile('E:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0006385.exe','');
QuarantineFile('F:\System Volume Information\_restore{A63988A9-6804-4216-8F5B-E6BDDDE5438D}\RP5\A0000036.exe','');
QuarantineFile('F:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0007311.exe','');
QuarantineFile('F:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0007348.exe','');
QuarantineFile('F:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0007355.exe','');
BC_Activate;
RebootWindows(true);
end.[/CODE]
затем следующий
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]файл [B]quarantine.zip[/B] закачайте по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B]
в шапке Вашей темы.
21.11.2010, 23:21
Spinorog

Выполнил скрипт, карантин загрузил.

PS: Проверил интереса ради - безопасный режим так и не грузится.
22.11.2010, 11:59
Шапельский Александр

Выполните скрипт
[CODE] begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('E:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0006378.exe');
DeleteFile('E:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0006385.exe');
DeleteFile('F:\System Volume Information\_restore{A63988A9-6804-4216-8F5B-E6BDDDE5438D}\RP5\A0000036.exe');
DeleteFile('F:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0007348.exe');
ExecuteSysClean;
Executerepair(10);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделайте новые логи и лог МВАМ
22.11.2010, 21:44
Spinorog

Всё сделал!
23.11.2010, 09:18
Шапельский Александр

Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\drivers\vde3mjk3.sys','');
QuarantineFile('C:\Program Files\TOR Coop\ELCUT 5.1\Professional Edition\ActiveField\Tutorial\Lesson1\VB_Code\Lesson1.exe','');
QuarantineFile('C:\Program Files\Connectify\Connectifyd.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
ПК перезагрузится, затем следующий
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]файл [B]quarantine.zip[/B] закачайте по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B]
в шапке Вашей темы.
23.11.2010, 23:37
Spinorog

Всё сделал!
24.11.2010, 00:04
Шапельский Александр

Файлы, что попали в карантин--чистые.
Что сейчас с проблемой?
24.11.2010, 01:31
Spinorog

Безопаска не грузится...Всё так, как описывал в первом посте. Последнее ARP cache poisoning в журнале появлялось 19.11. При этом вырубался интернет. С тех пор тихо... Правда, до 19 было 16. Не знаю, устранилась ли проблема - возможно затишье перед бурей...
Выяснил, что ошибки с пакетами ethernet появляются только при включённом uTorrent. Но ARP не связан с ним.

На всякий случай кусок лога(странно, что источник - модем):

[CODE]19.11.2010 12:28:17 Обнаружена атака ARP cache poisoning 192.168.1.1 192.168.1.3 ARP
19.11.2010 12:28:17 Обнаружена атака ARP cache poisoning 192.168.1.1 192.168.1.1 ARP
19.11.2010 12:28:16 Обнаружена атака ARP cache poisoning 192.168.1.1 192.168.1.1 ARP
19.11.2010 12:28:16 Обнаружена атака ARP cache poisoning 192.168.1.1 192.168.1.1 ARP
19.11.2010 12:24:33 В сети обнаружен идентичный IP-адрес 192.168.1.1 192.168.1.4 ARP
19.11.2010 12:24:32 Обнаружена атака ARP cache poisoning 192.168.1.1 192.168.1.1 ARP
19.11.2010 12:24:32 Обнаружена атака ARP cache poisoning 192.168.1.1 192.168.1.1 ARP
19.11.2010 12:24:32 Обнаружена атака ARP cache poisoning 192.168.1.1 192.168.1.3 ARP
19.11.2010 12:24:32 Обнаружена атака ARP cache poisoning 192.168.1.1 192.168.1.1 ARP

16.11.2010 17:31:17 Обнаружена атака DNS cache poisoning 192.168.1.1:53 192.168.1.4:60026 UDP
16.11.2010 17:31:16 Обнаружена атака DNS cache poisoning 192.168.1.1:53 192.168.1.4:55799 UDP
[/CODE]
24.11.2010, 10:04
Шапельский Александр

Сделайте лог Gmer
24.11.2010, 16:13
Spinorog

В процессе сканирования Gmer'ом в какой-то момент компьютер начал безбожно тормозить. Загрузка ЦП стабильно держалась на 56%. Грузил её процесс System... Потом, через какое-то время вылез синий экран и перезагрузка... Сканировал в это время папку Users.
Сейчас буду пробовать еще раз просканировать...
24.11.2010, 16:22
snifer67

Отключите у антивируса фаервол и установите сторонний.
24.11.2010, 18:47
Spinorog

Лог Gmer пока не удалось сделать... Компьютер для работы нужен, а во время скана невозможно делать ничего. Попробую на ночь оставить.

Поставил Agnitum Outpost. Интересные логи. В секунду порядка 3-4 заблокированных пакетов. Все с разный IP, но все на один и тот же порт, порт, который использует торрент, притом что сам торрент выключен. Вообще с моего непросвещенного взгляда похоже на какую-то атаку.

Посмотрел на ноутбук, который через тот же роутер работает, только через wifi, там в логах eset почти каждый день появлятся: обнаружена атака: сканирование портов и TCP флад-атака. Что это вообще может значить?
25.11.2010, 18:47
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\\system volume information\\_restore{f37eca42-49cf-48e7-bef7-7a8d0f803dba}\\rp1\\a0006378.exe - [B]Trojan-Downloader.Win32.Agent.dryn[/B] ( DrWEB: Trojan.DownLoad2.18371 )[*] e:\\system volume information\\_restore{f37eca42-49cf-48e7-bef7-7a8d0f803dba}\\rp1\\a0006385.exe - [B]Trojan-Downloader.Win32.Agent.dryn[/B] ( DrWEB: Trojan.DownLoad2.18371 )[/LIST][/LIST]