Вирус подставляет жертве МАК-адрес со сочетанием "BAD"
Действие вируса следующее:
При появлении линка на сетевом интерфейсе, вирус "вешает" на интерфейс дополнительный МАК-адрес, в котором обязательно содержатся символы bad, например 00:b0:3c:0b:ad:09 или 00:c0:02:c0:ba:d0, Зараженная машина начинает отвечать на ARP запросы сразу 2-мя МАК-адресами (реальным и фиктивным) Вот пример:
[ku@note ~]$ sudo tcpdump -ni fxp0 ether host 00:0d:61:aa:80:98
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on fxp0, link-type EN10MB (Ethernet), capture size 96 bytes
18:07:24.913987 arp who-has 10.22.19.143 tell 10.22.19.143
18:07:24.915720 arp reply 10.22.19.143 is-at 00:0d:61:aa:80:98
18:07:24.920992 arp reply 10.22.19.143 is-at 00:c0:02:c0:ba:d0
18:07:24.921069 arp reply 10.22.19.143 is-at 00:c0:02:c0:ba:d0
Соответственно свазу возникает конфликт IP.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
в логах апсолютно ничего подозрительного ....
поставте какую нибуть программу контролирующую обращение к реестру ... и посмотрите кто пытается обратиться к ветке HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\
в логах апсолютно ничего подозрительного ....
поставте какую нибуть программу контролирующую обращение к реестру ... и посмотрите кто пытается обратиться к ветке HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: