-
Junior Member
- Вес репутации
- 47
Подозрения на arp-червя
Столкнулся с такой ситуацией, есть небольшая сеть, в ней 3 Windows сервера, linux шлюз, управляемый свитч и клиенты, всё разбито на 2 VLANа гостевой и внутренний. Интернет в вланы приходит через разные сервера.
На клиентах стоял ESET.
Решили для профилактики переставить систему. Сразу же нашлись пара exeшников в общих папках с довольно свежей датой создания. И файлы характерные дляWorm.Win32.Palevo.
Так же нашлись файлы Kido более чем годовой давности...
Переустановили винды, поставили везде Касперский.
Но вдруг в суботу вечером с непереустановленного ноутбука запустился exploit который через 139 порт как то изменил файл winlogon.exe но, Касперский сразу добавил его в карантин и комп пошёл в перезагрузку по кругу...
Потом аналогичным образом в 1:23 атаковали второй компьютер с "ценной информацией"...
На ноутбуке Касперский ничего не нашёл и людей за ним всю ночь не было...
Приехав в понедельник утром на, первом компьютере, я обнаружил в папке C:\windows файл winlogon.exe размером 32 с небольшим килобайта. Но при попытке скопировать его на флэшку файл заменился оригинальным...
После обеда того же дня, пошла новая атака (на уже других компьютерах по очереди (buh01, buh02, ...) вылазело предупреждение Касперско что приложение пытается установить драйверы)
Спалился лишний клиент на VPN...
Решили отключить интернет во внутренней сети... И спокойно разобраться утром... Но оказалось что поскольку до переустановки хакеры долго находились в системе они имели доступ к коммутатору и перекинули внутренний VLAN на гостевой интернет... Что они делали я не знаю но больше человеческая активность вроде не наблюдается...
Но в системе снова появился червь.
На моём ноутбуке через curport постоянно палится активность скрытых процессов... И идут атаки типа arp-спуфинг, нюки, и последнее время восновном сканы. Всё как бы с адресов google... И при подключение к VPN той сети примерно через минуту исчезает доступ к google, who.is, virus.info...
На другом компьютере подключеном через другую сеть, в другом месте тоже много скрытых процесов... Он подключен через роутер который зарегистрирован в ddns при попытке брата подключится к web интерфейсу ftp сервера котороый проброшен на роутер открылся web интерфейс левого роутера но через некоторое время всё вернулось как было но при проверки внешнего ip через компьютер который стоит возле роутера переодически показывает как будто он подключен через proxy...
На компьютере брата тоже скрытые процессы и сетевая активность...
На остальных машинах явных проявлений нет...
Высылаю логи своего ноутбука и ноутбука брата.
Позже могу снять логи с серверов и остальных компьютеров, так же есть ещё виртуальная машина с червём. Логи и дампы сетевой активности, дампы пары машин до первой переустановки, сканирования maxpatrolом самых подозрительных адресов и немно подозрительных файлов...
Касперский молчит и все процессы типа firefox подключаются 1100 порту а только потом на ружу а процессы с id 0 сразу на ружу
PS Пара глупых вопросов...
А нормально что msctf.dll пытается внедриться во всё подряд, в арп таблице vpn много ipшников типа googlовских графа mac пустая и сразу после установки Windows в папке C:\windows\temp 9 файлов с именами вида TS_5C75.tmp?
Последний раз редактировалось kac; 24.06.2011 в 12:56.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) kac, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 47