-
Junior Member
- Вес репутации
- 64
Как узнать IP зараженной машины в ЛС?
Дано: Локальная сеть и вирь, который забрасывает во все расшареные папки (и принтера - не видит разницы) самого себя под привлекательными именами.
Требуется: найти комп-источник этого безобразия.
Есть ли какая-то прога, которая бы отслеживала, откуда пришел файл в расшареную папку?
В принципе PrintMonitor может отслеживать, откуда на него послали задание на печать, но хотелось бы именно следилку за расшареным ресурсом.
Или есть иной способ? (Кроме установки на все компы последнего антивируса)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Если не хотите лечить отдельный комп - то вам в это раздел.
А по поводу программы - сниффер какой- нибудь, или Filemon вам помогут.
-
-
Варианты:
1. Сниффер + фильтры, чтобы протокол имел приемлемый для анализа объем
2. Аудит. Очень хорошо подходит для XP ... нужно настроить аудит подключений и доступа к расшаренным папкам и читаь логи
3. Программы типа KillWatcher (http://killprog.narod.ru/kwatchr.html) - т.е. утилиты, которые ведут логи подключений по сети
-
-
Junior Member
- Вес репутации
- 64
Сообщение от
Dewi
Дано: Локальная сеть и вирь, который забрасывает во все расшареные папки (и принтера - не видит разницы) самого себя под привлекательными именами.
Требуется: найти комп-источник этого безобразия.
Только что закончили чистку серверов LAN от этой же, похоже, заразы, везде W2KSP4
Симптомы:
1. В списке процессов виден winlogin32.exe, м.б. несколько.
2. Особо ничего не портит, но впечатление - у компа насморк, где-то что-то как-то не так.
3. Портятся некоторые сервисы, особенно написанные на API.
История болезни:
1. Проникает из инета как http://xxx
2. Расползается по LAN как таракан через 445 порт (расшаренные ресурсы) и прописывает себя как
C:\Documents and Settings\<Имя>\Local Settings\Temporary Internet Files\Content.IE5\<абракадабра>.pl[<число>].jpg
3. Устанавливает связь с IP-источником в инете
4. В %SystemRoot%\System32 появляются a.exe и winlogin32.exe, последний виден в процессах.
Про него смотри
http://www.trendmicro.com/vinfo/viru...T%2EPA&VSect=T
5. В %TEMP% и в %USERPROFILE%\Local Settings\Temp для разных юзеров появляется куча файлов <абракадабра>.ехе.
Как лечили:
1. Определили IP источника в инете - анализ трафика с зараженных компов - и заткнули к нему маршрут.
2. NOD32 со всеми мониторами + регулярное сканирование - детектирует как "модифицированный Win32/Rbot троян". В настройках AMON на странице действия ставить галку "Запретить доступ"
3. Плюс AVZ + Ad-Aware SE Professional + HijackThis - прозвонили по максимуму.
4. Выполнили рекомендации из вышеприведенной ссылки.
Болезнь была запущена, лечили долго.
Теперь лечим пользовательские компы аналогично.
Мораль известна - предохраняться надо! Поэтому - профилактика:
1. Запретили выходить в инет с серверов.
2. На все компы в LAN - NOD32 с по крайней мере AMON и IMON +
Ad-Aware SE Professional с AdWatch + настройки браузеров.
3. На майл сервере - NOD32 с EMON
4. Все av-хозяйство - регулярное обновление баз, естественно.
5. Можно еще многое - на Ваше усмотрение.
Успехов!
Последний раз редактировалось anton_dr; 02.11.2006 в 06:35.
-
помогите
"Симптомы:
1. В списке процессов виден winlogin32.exe, м.б. несколько.
2. Особо ничего не портит, но впечатление - у компа насморк, где-то что-то как-то не так.
3. Портятся некоторые сервисы, особенно написанные на API."
У меня такой вирус, но я, простой юзер, особо не понимаю тонкостей лечения. не могли бы вы написать как что проделать с поправкой на "чайников"? спасибо
-
-
Вам лучше зарегистрироваться, и выполнить "правила"
-