На вкладке "сетевая активность" в моём Агнитуме (оутпост файрволл) обнаружил случайно неприятную штуку - через OpenVPN у меня фигачит исходящий траффик с бешеной скоростью... навскидку около сотни метров в минуту получается...
Доктор Веб (базы ежедневно обновляются) нифига не нашёл...
"Приступы" эти часто сопровождаются следующей фигнёй :
Инет-соединение (АДСЛ), рвётся-восстанавливается с интервалом 1-2 секунды... максимум 5... иногда в течение продолжительного времени... полчаса-час...
Во время одного из таких приступов я и заглянул в свой файрволл (сначала грешил на своего прова...), обнаружив утекающий траффик ... в приличном темпе... иной раз около метра в секунду...
Что характерно - пока писал эти несколько строк (минута где-нить ушла) связи практически не было... АДСЛ включается на 1-2 секунды и вырубается на 5-10 секунд, НО!!! Файрволл показывает исходящий траффик непрерывным... да ещё и через OpenVPN.exe (она у меня тарелку спутниковую обслуживает... т.е. траффик только входящий по определению...)
Чессказать - вообще нифига не понимаю - запросный-то канал у меня идёт через АДСЛ... оно вырублено - а траффик идёт бешеный НАРУЖУ... т.е. ИСХОДЯЩИЙ...
(пока это дописываю - уже 400метров почти улетело - АХРЕНЕТЬ!!!...
Более того - вырубаю адаптер модема программно (Виндой), а этому ггаду видимо пофигу... трафик в окошке "сетевая активность" файрволла ни на секунду не прерывается...
Вопщем - мама дарагая...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Выполните скрипт, карантин по правилам:...
2. Карантин по правилам. Можете самостоятельно проверить файл на www.virustotal.com для быстроты.
Спасибо Вам большое, Алекс... Скрипт выполнил...
Файл проверил... чисто...
А карантин по правилам - это типа подождать скока-то, пока они там отлежатся ?... Или прислать Вам архив с ними ?...
Прошу прощения за ламерский вопрос...
P.S. Кстати - этот зловред тока щас снова вылез "в эфир"...
Я, злорадно ухмыляясь, выдёргиваю из модема телефонный провод - ему хоть бы хны... траффик крутицца по прежнему... я выдёргиваю до кучи даже USB (гы-гы-гы...)
Т.е. модем уже висит на стене в гордом одиночестве, не имея ничего общего с моим компьютером, а исходящий траффик как фигачил со скоростью 100 метров в минуту - так и фигачит...
Я открываю диспетчер задач, чтоб глянуть через какой адаптер идёт вся эта байда - а он (зловред) почему-то вдруг заткнулся, , на этот раз выбросив всего 180 метров с мелочью (обычно 400 метров примерно...)
Использовал он Адаптер TAP-Win32 Adapter V8 (OpenVPN)... как, собсно, и прежде...
Господи - как может траффик уходить наружу, если отключен модем ?...
Мобыть он внутри машины гоняет эту хрень ?
Тогда почему файрволл исходящий траффик адресует на тот же айпишник, с которым работает OpenVPN (тарелка), где по определению возможен только входящий траффик...
Ведь когда я жму "дисконнект" у OpenVPN - он (зловред) вырубается...
Значит он юзает именно эту тулзу...
Вопщем - чем дальше в лес, тем толще партизаны... Говорила же мама - "учись!!!"...
Последний раз редактировалось NOBEL; 04.09.2007 в 10:24.
В карантине пришел битый архив. Пожалуйста, отправьте его еще раз. И еще вопрос: трафик идет по виртуальному соединению. А какое устройство использует OpenVpn для создания виртуального соединения? Ваш ADSL - модем?
В карантине пришел битый архив. Пожалуйста, отправьте его еще раз.
Отправил... Только щас понял, что я с паролем перемудрил (И ВО ВТОРОЙ РАЗ ТОЖЕ)...
Она avz4 же по умолчанию его ставит, а я, дятел, сам добавил пароль "virus"... вот наверное и проблема...
Рискнуя нарвацца на неприятности, отправил следом (В ТРЕТИЙ РАЗ) "нетронутый" архив, созданный avz4, без моего "вмешательства"... Файл сохранён как 070904_085540_virus_46dd63dcf3b04.zip
Размер файла 112023
MD5 c502de396e12b8015dffb2b48f7d55b3
И еще вопрос: трафик идет по виртуальному соединению. А какое устройство использует OpenVpn для создания виртуального соединения? Ваш ADSL - модем?
Чессказать, как и любой ламер, я могу ошибацца, в маршрутизации я нифига не понимаю, как фпрочем и во многом другом, но из физических устройств у меня только АДСЛ модем и две сетевые платы - TechnoTrend DVBsat PCI budget адаптер (через него OpenVpn получает входящий траффик...) и VIA Rhine II Fast Ethernet Adapter (он вроде пока "не при делах"...), исходящий же идёт через TAP-Win32 Adapter V8 и ADSL модем,
Единственное, что могу сказать точно, так это то, что на модеме исходящий траффик сильно превышает входящий... а на ТехноТренде - наоборот...
Мобыть есть какой-нить простой способ узнать - какое из устройств она использует для создания соединения ? Типа для чукчей... пошагово - открыть "то", нажать "то", прочитать "там" ?...
Повторюсь - в момент "выхода зловреда" я даже выдёргивал из модема все провода, и телефонный и USB, но файрволл всё равно показывал непрерывный бешеный исходящий траффик по UDP протоколу на тот же удалённый адрес, что и обычно ( с которым OpenVpn работает в "состоянии покоя"...)
Господи.. как же с нами, ламерами трудно...
Добавлено через 3 часа 6 минут
Сообщение от Numb
И еще вопрос: трафик идет по виртуальному соединению. А какое устройство использует OpenVpn для создания виртуального соединения? Ваш ADSL - модем?
Вот что ещё нарыл :
При коннекте OpenVpn открывает окно, в котором пишет логи соединения кажецца...
Так вот - там (в этом окне) адаптер упомянут только один :
TAP-WIN32 device [TAP-Win32 Adapter V8]
Последний раз редактировалось NOBEL; 04.09.2007 в 21:16.
Причина: Добавлено
М-мда-а-а...
А мой "зловред" тем временем уже поумнел... сильно связь не рвёт... выскочит... одним ударом выбросит сотню метров траффика и обратно... в кусты...
Чё ж делать-то, братцы ?...
Што мы имеем :
Шпион пользуется услугами OpenVPN по протоколу UDP, мало того - его деятельность я НАБЛЮДАЮ В РЕАЛЬНОМ ВРЕМЕНИ (он правда много времени сейчас не даёт... минута в среднем... )...
Так неужели нет средств, чтобы засечь - КТО активен в этот момент в системе ?...
Тем более ТАК активен (у меня проц грузицца на 99% во время его работы)...
Или вычленить как-то "парциальную" составляющую в общем траффике, проходящем через эту прогу, чтобы обнаружить адрес исходящих пакетов ?...
Системные средства (да и файрволл тоже) "говорят" - openvpn.exe, но "разложить" то траффик можно как-нить ?... Или я ошибаюсь ?...
Мобыть нужно снять с чего-нить логи ИМЕННО ВО ВРЕМЯ РАБОТЫ "зловреда" - не вопрос, братцы... с удовольствием...
Только скажите с чего, и , мобыть - как... Сделаю в лучшем виде...
Я могу, конечно, ошибаться, но, похоже, что вредит вам не вирус, просто та сетевая карта, которую использует OpenVPN, переведена в promiscuous mode. Если провайдер не настаивает на использовании именно openVPN, попробуйте какое-нибудь другое VPN-решение. Попробуйте так же обратиться в службу тех. поддержки вашего провайдера. Очень похоже, что проблема не с вирусами а с настройками сетевых карт и/или VPN соединения.
Я могу, конечно, ошибаться, но, похоже, что вредит вам не вирус, просто та сетевая карта, которую использует OpenVPN, переведена в promiscuous mode. Если провайдер не настаивает на использовании именно openVPN, попробуйте какое-нибудь другое VPN-решение. Попробуйте так же обратиться в службу тех. поддержки вашего провайдера. Очень похоже, что проблема не с вирусами а с настройками сетевых карт и/или VPN соединения.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: