Уязвимость скрытого канала в ICMP-пакете

SQ · 27.06.2016, 23:22

Сделайте лог полного сканирования МВАМ

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Иван Панин** · 28.06.2016, 13:53

Готово.

Сейчас еще с отмеченной файловой системой приложу.

SQ · 28.06.2016, 14:57

Уточните пожалуйста, доступ в интернет у Вас через роутер ?

**Иван Панин** · 28.06.2016, 15:42

Да. Бук через WiFi-роутер

SQ · 29.06.2016, 00:11

- Если в качестве днс-серверов на буке указать следующие:

Код:

8.8.8.8
8.8.4.4

проблема воспроизводиться?

- Переустановка skype проблему решает?

**Иван Панин** · 29.06.2016, 12:25

Переустановка Skype не помогает. DNS-сервера прописал, посмотрим за проблемой.

- - - - -Добавлено - - - - -

Проблема не решена

SQ · 29.06.2016, 12:43

Предоставьте новый лог утилиты FRST (FRST.txt, Additional.txt + Shortcut.txt).

**Иван Панин** · 29.06.2016, 13:04

Сделано

SQ · 29.06.2016, 13:37

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
File: C:\windows\system32\IcnOvrly.dll
U3 BcmSqlStartupSvc; no ImagePath
U2 DriverService; no ImagePath
U2 iATAgentService; no ImagePath
U2 idealife Update Service; no ImagePath
U3 IGRS; no ImagePath
U2 IviRegMgr; no ImagePath
U2 nvUpdatusService; no ImagePath
U2 ReadyComm.DirectRouter; no ImagePath
U2 RichVideo; no ImagePath
U2 RtLedService; no ImagePath
U2 SeaPort; no ImagePath
U2 SoftwareService; no ImagePath
Folder: C:\Users\Админ\AppData\Roaming\mgyun
Task: C:\windows\Tasks\{9D1D07E2-695F-48C5-B440-B4F42BCEE051}.job => c:\program files (x86)\mozilla firefox\firefox.exeZhxxp:/www.skype.com/go/
Task: C:\windows\Tasks\{D1FD53C6-4126-4886-97AE-12A3C176D325}.job => c:\program files (x86)\mozilla firefox\firefox.exeZhxxp:/www.skype.com/go/
File: C:\Windows\System32\IccLibDll_x64.dll
EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Сообщите, если проблема ушла.

**Иван Панин** · 29.06.2016, 14:00

Готово

SQ · 29.06.2016, 14:05

Сообщение от SQ

Сообщите, если проблема ушла.

Есть какие-то улучшения?

**Иван Панин** · 29.06.2016, 14:10

Без изменений

SQ · 29.06.2016, 14:24

Странное поведение, ничего плохово не вижу, возможно паранойя или ложное срабатывание у антивируса.

Зачем Вы используете два антивируса Eset и Comodo?

P.S. Вообще не рекомендуется использовать больше одного антивируса, так как возможны ложные срабатывания и проблемы в работе ПК.

**Иван Панин** · 29.06.2016, 14:31

Ну про два антивируса я знаю. COMODO работает как файер-волл с проактивной защитой. Не раз уже ловил зловреда, в то время, как Eset не реагировал. Данной связкой давно пользуюсь, никогда таких затыков системы не было.
Судя по логам Eset, обращение идет практически по одним и тем же ip.

SQ · 29.06.2016, 14:41

Сообщение от Иван Панин

Судя по логам Eset, обращение идет практически по одним и тем же ip.

Укажите пожалуйста список ip-адресов, на которые идет срабатывание.

P.S. Также ознакомьтесь со статьей Detected covert channel exploit in ICMP packet

**Иван Панин** · 29.06.2016, 14:47

Список экспортировал.
Почему-то кракозябры отображает.
Вторые ip-те к которым идет обращение.

SQ · 29.06.2016, 15:02

Похоже часть из них принадлежит Microsoft. Пробуйте обратиться разработчику антивируса за консультацией.

**Иван Панин** · 29.06.2016, 15:08

SQ, спасибо за помощь!
Успехов!

SQ · 29.06.2016, 15:33

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе.

2. Запустите DelFix.
Важно, для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

4. Нажмите на кнопку Run.

5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt (C:\delfix.txt)

6. Прикрепите этот отчет в вашей теме.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

**Иван Панин** · 29.06.2016, 17:36

Сделано.

Уязвимость скрытого канала в ICMP-пакете (заявка № 201584)

Опции темы

Это понравилось:

Похожие темы

Обнаружена уязвимость скрытого канала в ICMP-пакете 10.65.113.50 10.65.113.1 ICMP

Обнаружена уязвимость скрытого канала в icmp-пакете, удаленный IP адрес......

Обнаружена уязвимость скрытого канала в icmp-пакете

Обнаружена уязвимость скрытого канала в icmp-пакете

обнаружена уязвимость скрытого канала в ICMP-пакете

Ваши права в разделе