Показано с 1 по 11 из 11.

Кто-то пытается прорваться в интернет через прокси. Похоже на дыру в защите... (заявка № 12924)

  1. #1
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Марий Эл
    Сообщений
    68
    Вес репутации
    39

    Exclamation Кто-то пытается прорваться в интернет через прокси. Похоже на дыру в защите...

    На компьютере установлен прокси на основе WinGate, файрвол Outpost FireWall. Подключение по DialUp.
    Вчера что-то пробилось сквозь защиту. Признак заражения такой - время от времени делаются попытки (не проходят, режутся на компе) отослать что-то на 25 порт разных серверов в инете, причем судя по логам отправители не внутри сети, а внешние.
    Вот пример логов:
    10/03/07 16:38:15 122.126.104.124 Guest 0000007049 Failed authorisation: http://
    10/03/07 16:38:15 122.126.104.124 Guest 0000007049 Failed authorisation: SSL://mail2.xps.idv.tw:25
    10/03/07 16:38:15 122.126.104.124 Guest 0000007049 Requested: SSL://mail2.xps.idv.tw:25
    10/03/07 16:38:15 122.126.104.124 Guest 0000007049 Traffic 304 40 0 0 0s
    10/03/07 16:38:23 122.124.134.182 Guest 0000007050 Failed authorisation: http://
    10/03/07 16:38:23 122.124.134.182 Guest 0000007050 Failed authorisation: SSL://ms1.hinet.net:25
    10/03/07 16:38:23 122.124.134.182 Guest 0000007050 Requested: SSL://ms1.hinet.net:25
    10/03/07 16:38:23 122.124.134.182 Guest 0000007050 Traffic 304 37 0 0 0s
    10/03/07 16:39:27 74.222.2.208 Guest 0000007062 Failed authorisation: http://
    10/03/07 16:39:34 74.222.2.208 Guest 0000007062 Traffic 0 9 0 0 7s
    10/03/07 16:47:00 122.126.121.98 Guest 0000007170 Failed authorisation: http://
    10/03/07 16:47:00 122.126.121.98 Guest 0000007170 Failed authorisation: SSL://mail3.xps.idv.tw:25
    10/03/07 16:47:00 122.126.121.98 Guest 0000007170 Requested: SSL://mail3.xps.idv.tw:25
    10/03/07 16:47:00 122.126.121.98 Guest 0000007170 Traffic 304 40 0 0 0s
    10/03/07 16:51:49 206.251.72.42 Guest 0000007221 Failed authorisation: http://
    10/03/07 16:51:56 206.251.72.42 Guest 0000007221 Traffic 0 9 0 0 7s
    10/03/07 16:52:12 74.222.2.208 Guest 0000007225 Failed authorisation: http://
    10/03/07 16:52:21 74.222.2.208 Guest 0000007225 Traffic 0 9 0 0 9s

    Не понятно, то-ли на компе в сети сидит какой-то вырь, который маскируется и под разными IP пытается осуществить рассылку, то-ли где-то в системе брешь, через которую внешние зараженные компы пытаются что-то разослать.
    CureIt на компе ничего подозрительного не нашел (кроме нескольких троянов в кэше WinGate).
    Последний раз редактировалось KonstS; 10.03.2010 в 19:19.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Вместо virusinfo_cure.zip должен быть virusinfo_syscure.zip.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Марий Эл
    Сообщений
    68
    Вес репутации
    39
    Цитата Сообщение от Bratez Посмотреть сообщение
    Вместо virusinfo_cure.zip должен быть virusinfo_syscure.zip.
    Не получается
    AVZ 4.27 от 30.08.07, базы обновлены.
    Запускаю "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" (№ 3), формирует virusinfo_cure.zip, а не virusinfo_syscure.zip
    Я сегодня с утра специально заново скачал и установил AVZ, обновил базы. Результат тот же.
    Может быть, проблема в том, что при работе скрипта выдается сообщение:
    Ошибка в работе антируткита [Access violation at address 00404D1F in module 'avz.exe'. Read of address 80000007], шаг [11]
    Протоколы работы при выполнении третьего и второго скрипта прилагаю.
    Заодно прилагаю заново сфрмированные логи (кроме virusinfo_cure.zip, он пустой и не нужен).
    Последний раз редактировалось KonstS; 10.03.2010 в 19:19.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501

  6. #5
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Марий Эл
    Сообщений
    68
    Вес репутации
    39
    Цитата Сообщение от V_Bond Посмотреть сообщение
    Сделал в защищенном (safemode.rar) и обычном (standmode.rar)
    Последний раз редактировалось KonstS; 07.06.2010 в 15:16.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Ничего подозрительного не видно.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Марий Эл
    Сообщений
    68
    Вес репутации
    39
    Цитата Сообщение от Bratez Посмотреть сообщение
    Ничего подозрительного не видно.
    Похоже, что это кто-то в сети подцепил. Когда вчера CureIt проверял, выгреб из кэша WinGate несколько штук VBS.PackFor и еще что-то.
    Пользователи вчера прогнали на своих компах CureIt, наверное, вылечили. По крайней мере сегодня не было еще ни одной попытки выхода с внешними адресами.
    Немного смущает, что в логах протокола работы AVZ (avz_log1.txt) есть что-то:
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1005D5D6]
    Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1005D5AE]
    ....
    Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1005DD32]
    Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1005DD0A]

    Может быть, это какие-то хвосты от Outpost? Хотя я его отключил (по крайней мере, в списка задач Outpost не ббыло видно), но видимо, что-то осталось, поскольку далее идет:
    Функция NtAssignProcessToJobObject (13) перехвачена (805D4DD0->9E3F0C10), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
    Функция NtClose (19) перехвачена (805BAEB4->9E3DDAD0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
    ...
    Функция NtUnloadDriver (106) перехвачена (80582F92->9E3EAF90), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
    Функция NtWriteVirtualMemory (115) перехвачена (805B2D5C->9E3F1350), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

    И вот это немного смущает (из avz_log.txt):
    Ошибка в работе антируткита [Access violation at address 00404D1F in module 'avz.exe'. Read of address 80000007], шаг [11]

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Насчет перехватов - это нормально, файрвол вы отключили, но его драйвер по-прежнему загружается и действует, тут страху нет. А вот ошибка антируткита - это странно, по идее так быть не должно.
    I am not young enough to know everything...

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Bratez Посмотреть сообщение
    А вот ошибка антируткита - это странно, по идее так быть не должно.
    Что-то это нас преслодовать стало. Не первая тема, в которой такое происходит.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Марий Эл
    Сообщений
    68
    Вес репутации
    39
    Цитата Сообщение от PavelA Посмотреть сообщение
    Что-то это нас преслодовать стало. Не первая тема, в которой такое происходит.
    Может, статистику какую собрать? Железо, софт...
    У меня Core2Duo (E4400).

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    во всех темах с ошибкой работы антирукита ...Outpost Firewal

  • Уважаемый(ая) KonstS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 21
      Последнее сообщение: 27.07.2012, 16:43
    2. Ответов: 17
      Последнее сообщение: 15.07.2010, 20:04
    3. eKAV, sdra64 - через какую дыру идет заражение?
      От westward в разделе Вредоносные программы
      Ответов: 23
      Последнее сообщение: 29.03.2010, 10:55
    4. Ответов: 9
      Последнее сообщение: 11.01.2010, 10:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00659 seconds with 16 queries