Показано с 1 по 8 из 8.

ADSL-роутер D-LINK DSL-G604T и "трояны"? - невероятно!

  1. #1
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    26.04.2007
    Сообщений
    25
    Вес репутации
    0

    ADSL-роутер D-LINK DSL-G604T и "трояны"? - невероятно!

    Здравствуйте!
    Сегодня внезапно для себя обнаружил странную картину.
    Вот не знал и не думал, что роутер этого изделия может быть подвержен "заражению" - см. приложенный скриншот: LanSpy-collage-2.png

    Откуда под роутером "появились" порты:
    162, 445, 500, 1433, 1434, 3003, 3127, 4672, 27015 ??? - не иначе, что-то кем-то поставлено-таки!..
    Да и порт 1900 вроде бы не должен на роутере быть открытым.
    Настораживает странное присутсвие признаков чисто виндоусных зловредов...

    При этом странная вещь. Эта непристойная картина появляется отнюдь не каждый раз после загрузки операционки!
    Сегодня дважды появлялась, а один раз - нет!

    Более того, второй компьютер, правда под Win2k, в той же локалке за роутером, тем же LanSpy'ем не тестирует (ни разу) такой картины.
    (См. второй скриншот: lanspy.jpg)

    Эта картина появления как бы троянов* - она какая-то "виртуальная", и к тому же "видится" лишь с основного моего компьютера под WinXP!..
    * в общем-то по трафику или "миганию" индикаторов ADSL-роутера всё это как бы и не проявляется вовсе!

    Протестил свой компьютер утилитой Зайцева. Результат в архиве.
    (Там guard32.dll - это новый модуль Комодо 3.0.)
    А вот обнаруженные им секции странные и подозрительные:
    ...
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dlldrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[10004F06]
    Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[10004FE6]
    Функция ntdll.dllwClose (921) перехвачена, метод APICodeHijack.JmpTo[10004FE6]
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[10004BA6]
    Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[10001516]
    Функция user32.dll:mouse_event (72 перехвачена, метод APICodeHijack.JmpTo[10001696]
    ...
    -- этого у меня ранее там никогда не детектилось AVZ.
    (Всегда была секция с указанием на cmdguard.sys - это модуль Комодо.)

    Так вот, я не знаю, что это такое. И при том у меня установлен свежий Comodo BOClean. И ни он, ни всегда стоящий самообновляющийся ежедневно (часто не по разу) антивирус "Avast!" ничего не обнаруживали уже давным-давно...

    ХОТЕЛ БЫ УСЛЫШАТЬ компетентное мнение от СПЕЦИАЛИСТОВ защиты компьютеров.
    Изображения Изображения
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    26.04.2007
    Сообщений
    25
    Вес репутации
    0
    Более того! Добавлю, что сейчас, даже не после перезагрузки компьютера, а просто спустя минут 30 после прежнего - первого тестирования lanSpy'ем, эта безобразная картина начисто исчезла!
    Ничего не понимаю. Интернет действует нормально.
    Последний раз редактировалось amrin; 24.11.2007 в 02:00. Причина: Исправление фразы

  4. #3
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от amrin Посмотреть сообщение
    Здравствуйте!
    Сегодня внезапно для себя обнаружил странную картину.
    Вот не знал и не думал, что роутер этого изделия может быть подвержен "заражению"
    Я тоже слабо себе представляю механизм заражения роутера... Если у Вас есть сомнения в чистоте машины, имеет смысл выполнить Правила.
    ---
    С уважением,
    Borka.

  5. #4
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    26.04.2007
    Сообщений
    25
    Вес репутации
    0
    Цитата Сообщение от borka Посмотреть сообщение
    Я тоже слабо себе представляю механизм заражения роутера... Если у Вас есть сомнения в чистоте машины, имеет смысл выполнить Правила.
    В том то и дело, что нет особых подозрений, кроме тех строчек, которые я приводил, и которые ПОЧТИ НАВЕРНЯКА принадлежат сегодня же вновь установленному (вернее - обновлённому) Комодо 3.0 - о чём хотелось бы узнать ДОПОДНИННО от спецов.
    Что касается странного с роутером, то вот опять, спустя примернть час после того, как те порты "исчезали" абсолютно самопроизвольно, они сейчас опять появились - см. скриншот: LanSpy-2007-11-24-02-32.png
    Мда! Чертовшина самая настоящая!
    Всё! Ухожу на покой! На сегодня возни неизвестно с чем для меня предостаточно! %)
    Изображения Изображения

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.06.2005
    Адрес
    Orenburg
    Сообщений
    128
    Вес репутации
    76
    В модеме не включено поддержка UPnP? Там у Вас в частности 1900 порт виден.
    А UPnP судя по описанию в этой модели есть
    * Настройка и управление
    # Web-интерфейс управления
    # Удаленное управление через HTTP
    # Журнал системных событий
    # Поддержка UPnP 1.0

    ниже цитата из руководства по Zyxel
    "14.1.3 Предупреждения по использованию UPnP
    Автоматический характер приложений NАТ traversal при установке их собственных служб и открывании портов межсетевого экрана может привести к проблемам в отношении безопасности сети. В некоторых сетевых окружениях пользователи могут получить доступ к сетевой информации и конфигурации, а также к ее изменению.
    Все устройства с включенной функцией UPnP могут свободно взаимодействовать друг с другом без дополнительной настройки. Отключите функцию UPnP. если вы не собираетесь ее использовать."
    Последний раз редактировалось IgorA; 24.11.2007 в 08:00.
    IgorA

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    602
    Цитата Сообщение от amrin Посмотреть сообщение
    Здравствуйте!
    Протестил свой компьютер утилитой Зайцева. Результат в архиве.
    ХОТЕЛ БЫ УСЛЫШАТЬ компетентное мнение от СПЕЦИАЛИСТОВ защиты компьютеров.
    Компетентное мнение вы услышите после выполнения принятых здесь правил. Гадалок работающих по скриншотам тут давно на работу не берут.
    Опыт — это слово, которым люди называют свои ошибки.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    amrin %)
    Все эти хуки ставит комодо
    К тому же LanSpy'ем надо проверяться не изнутри собственного ПК, а снаружи.

  9. #8
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    26.04.2007
    Сообщений
    25
    Вес репутации
    0
    Цитата Сообщение от IgorA Посмотреть сообщение
    В модеме не включено поддержка UPnP? Там у Вас в частности 1900 порт виден....
    Нет, это ошибка Лан-Спая. Уже выяснилось.
    Спасибо.

    Добавлено через 1 минуту

    Цитата Сообщение от SuperBrat Посмотреть сообщение
    Компетентное мнение вы услышите после выполнения принятых здесь правил. Гадалок работающих по скриншотам тут давно на работу не берут.
    Вы, не поняли. Я отнюдь не просил здесь помощи. Всё, что _изредка_ "зацепляется" за мои компьютеры, я умею выбрасывать из системы сам - с помощью того или иного инструментария. Сообщение это было чисто информационным, однако после выяснения обстоятельств - оказалось, это баг LanSpy'я, проявляющийся в определённых сочетаниях окружения, - оно здесь не уместно. МОДЕРАТОРЫ МОГУТ ПРОСТО УДАЛИЬ ЕГО ЦЕЛИКОМ. Я размещу по-позже уточнённое сообщение на найденном мною форуме автора данного пакета.
    Указанные в сообщении строчки, детектируемые AVZ, действительно прннадлежат новой версии Comodo 3.0.
    Замечу: единственный серьёзный недостаток AVZ - это отсутствие ведения БД вполне "законных" перехватов hook'ами, которые делаются "по делу" такими программами, как тот же Comodo...

    Добавлено через 1 минуту

    Цитата Сообщение от Surfer Посмотреть сообщение
    amrin %)
    Все эти хуки ставит комодо
    К тому же LanSpy'ем надо проверяться не изнутри собственного ПК, а снаружи.
    Вся небольная частная сетка, в которой это было обнаружено, кроме специально расшаренных машин (и своя была в этом числе) - вся "стелсованная" %) и потому "видна" лишь своя машина и роутер... ))
    Последний раз редактировалось amrin; 25.11.2007 в 09:53. Причина: Добавлено

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 26.04.2012, 16:16
  2. Невероятно ! "Одноклассники" отменили плату за регистрацию
    От grobik в разделе Новости интернет-пространства
    Ответов: 2
    Последнее сообщение: 08.09.2010, 12:48
  3. Ответов: 4
    Последнее сообщение: 22.02.2009, 03:39
  4. Ответов: 1
    Последнее сообщение: 28.11.2008, 17:59

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00880 seconds with 20 queries