ADSL-роутер D-LINK DSL-G604T и "трояны"? - невероятно!
Здравствуйте!
Сегодня внезапно для себя обнаружил странную картину.
Вот не знал и не думал, что роутер этого изделия может быть подвержен "заражению" - см. приложенный скриншот: LanSpy-collage-2.png
Откуда под роутером "появились" порты:
162, 445, 500, 1433, 1434, 3003, 3127, 4672, 27015 ??? - не иначе, что-то кем-то поставлено-таки!..
Да и порт 1900 вроде бы не должен на роутере быть открытым.
Настораживает странное присутсвие признаков чисто виндоусных зловредов...
При этом странная вещь. Эта непристойная картина появляется отнюдь не каждый раз после загрузки операционки!
Сегодня дважды появлялась, а один раз - нет!
Более того, второй компьютер, правда под Win2k, в той же локалке за роутером, тем же LanSpy'ем не тестирует (ни разу) такой картины.
(См. второй скриншот: lanspy.jpg)
Эта картина появления как бы троянов* - она какая-то "виртуальная", и к тому же "видится" лишь с основного моего компьютера под WinXP!..
* в общем-то по трафику или "миганию" индикаторов ADSL-роутера всё это как бы и не проявляется вовсе!
Протестил свой компьютер утилитой Зайцева. Результат в архиве.
(Там guard32.dll - это новый модуль Комодо 3.0.)
А вот обнаруженные им секции странные и подозрительные:
...
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dlldrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[10004F06]
Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[10004FE6]
Функция ntdll.dllwClose (921) перехвачена, метод APICodeHijack.JmpTo[10004FE6]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[10004BA6]
Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[10001516]
Функция user32.dll:mouse_event (72 перехвачена, метод APICodeHijack.JmpTo[10001696]
...
-- этого у меня ранее там никогда не детектилось AVZ.
(Всегда была секция с указанием на cmdguard.sys - это модуль Комодо.)
Так вот, я не знаю, что это такое. И при том у меня установлен свежий Comodo BOClean. И ни он, ни всегда стоящий самообновляющийся ежедневно (часто не по разу) антивирус "Avast!" ничего не обнаруживали уже давным-давно...
ХОТЕЛ БЫ УСЛЫШАТЬ компетентное мнение от СПЕЦИАЛИСТОВ защиты компьютеров.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Более того! Добавлю, что сейчас, даже не после перезагрузки компьютера, а просто спустя минут 30 после прежнего - первого тестирования lanSpy'ем, эта безобразная картина начисто исчезла!
Ничего не понимаю. Интернет действует нормально.
Последний раз редактировалось amrin; 24.11.2007 в 02:00.
Причина: Исправление фразы
Я тоже слабо себе представляю механизм заражения роутера... Если у Вас есть сомнения в чистоте машины, имеет смысл выполнить Правила.
В том то и дело, что нет особых подозрений, кроме тех строчек, которые я приводил, и которые ПОЧТИ НАВЕРНЯКА принадлежат сегодня же вновь установленному (вернее - обновлённому) Комодо 3.0 - о чём хотелось бы узнать ДОПОДНИННО от спецов.
Что касается странного с роутером, то вот опять, спустя примернть час после того, как те порты "исчезали" абсолютно самопроизвольно, они сейчас опять появились - см. скриншот: LanSpy-2007-11-24-02-32.png
Мда! Чертовшина самая настоящая!
Всё! Ухожу на покой! На сегодня возни неизвестно с чем для меня предостаточно! %)
В модеме не включено поддержка UPnP? Там у Вас в частности 1900 порт виден.
А UPnP судя по описанию в этой модели есть
* Настройка и управление
# Web-интерфейс управления
# Удаленное управление через HTTP
# Журнал системных событий
# Поддержка UPnP 1.0
ниже цитата из руководства по Zyxel
"14.1.3 Предупреждения по использованию UPnP
Автоматический характер приложений NАТ traversal при установке их собственных служб и открывании портов межсетевого экрана может привести к проблемам в отношении безопасности сети. В некоторых сетевых окружениях пользователи могут получить доступ к сетевой информации и конфигурации, а также к ее изменению.
Все устройства с включенной функцией UPnP могут свободно взаимодействовать друг с другом без дополнительной настройки. Отключите функцию UPnP. если вы не собираетесь ее использовать."
Последний раз редактировалось IgorA; 24.11.2007 в 08:00.
В модеме не включено поддержка UPnP? Там у Вас в частности 1900 порт виден....
Нет, это ошибка Лан-Спая. Уже выяснилось.
Спасибо.
Добавлено через 1 минуту
Сообщение от SuperBrat
Компетентное мнение вы услышите после выполнения принятых здесь правил. Гадалок работающих по скриншотам тут давно на работу не берут.
Вы, не поняли. Я отнюдь не просил здесь помощи. Всё, что _изредка_ "зацепляется" за мои компьютеры, я умею выбрасывать из системы сам - с помощью того или иного инструментария. Сообщение это было чисто информационным, однако после выяснения обстоятельств - оказалось, это баг LanSpy'я, проявляющийся в определённых сочетаниях окружения, - оно здесь не уместно. МОДЕРАТОРЫ МОГУТ ПРОСТО УДАЛИЬ ЕГО ЦЕЛИКОМ. Я размещу по-позже уточнённое сообщение на найденном мною форуме автора данного пакета.
Указанные в сообщении строчки, детектируемые AVZ, действительно прннадлежат новой версии Comodo 3.0.
Замечу: единственный серьёзный недостаток AVZ - это отсутствие ведения БД вполне "законных" перехватов hook'ами, которые делаются "по делу" такими программами, как тот же Comodo...
Добавлено через 1 минуту
Сообщение от Surfer
amrin %)
Все эти хуки ставит комодо
К тому же LanSpy'ем надо проверяться не изнутри собственного ПК, а снаружи.
Вся небольная частная сетка, в которой это было обнаружено, кроме специально расшаренных машин (и своя была в этом числе) - вся "стелсованная" %) и потому "видна" лишь своя машина и роутер... ))
Последний раз редактировалось amrin; 25.11.2007 в 09:53.
Причина: Добавлено