Здравствуйте. Помогите, пожалуйста, одолеть червя.
Есть сеть из 10 компьютеров. Около месяца назад стали приходить на адрес админа сообщения о недоставке писем, отправленных якобы с адресов нашего домена (при этом перед @ стоит бессмысленный набор символов, а дальше - наш домен). К отчету приколоты отправленные письма - разный англоязычный спам. В день приходит порядко 10-15 сообщений о недоставке.
После прогона Касперским всех машин на одной были обнаружены 2 вируса, указанные в теме в двух файлах, находящихся в папке удаленных писем TheBat! (в его служебном файле) и одной из временных папок (с именем Update.<не помно точно что дальше>.exe). Они были удалены, но я так понимаю, что это только скорлупа - червячок уполз.
Отправляю логи той машины на которой был обнаружен вирус. Как проверить, не заразил ли он и другие машины?
Спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Этот червяк не уползает, а заползает Т.е. файлы Update-<буквы-цифры>.exe - это его инсталлятор, если его не запускать, то ничего страшного не будет.
Теперь по логам -
1. наблюдается нехорошая ситуация - несколько антивирусов на одном ПК, причем виден монитор от NOD32 и KAV. Подобные вещи часто чреваты тормозами и конфликтами, нужно оставить монитор только одного AV продукта
2. В логе криминала не видно, в частности Warezov нету
3. Описанные Вами письма (бред@мой-домен) - это новая форма спама ... идея проста - на выдуманный адрес в некоем домене 1 посылается письмо, якобы исходящее из вашего домена. Почтарь домена 1 видит, что такого адресата у него нет и возвращает письмо отправителю, т.е. на ваш домен.
Да нет, не интернет! Эта рассылка идет с одной из машин моей сети. Почтовый сервер нашего домена находится на одной из наших машин. И вирус на какой-то из наших машин. И рассылку он делает мимо почтового сервера, потому что в логах сервера таких адресов нет.
Как же его поймать? Может есть какие-то свойственные ему файлы, которые можно поискать?
P.S. Может я что-то не так объясняю, раз меня неправильно понимают? Подправьте?
Откуда знаете? Обратный адрес почти ни о чём не говорит. Кроме одного: если обратный адрес вашего домена - с очень большой вероятностью рассылка идёт не от вас. Или вы вычислили свою сеть по IP-адресу в шапке возвращённого письма?
То есть кто-то может рассылать письма от имени моего домена не из моей сети? А как убедиться, что это не из моей сети и что делать если это подтвердится?
Я бы не хотел, чтобы мой домен превратили в спаммерский.
То есть кто-то может рассылать письма от имени моего домена не из моей сети? А как убедиться, что это не из моей сети и что делать если это подтвердится?
Я бы не хотел, чтобы мой домен превратили в спаммерский.
Тогда ответьте на вопросы:
1. Сеть большая? сколько в ней ПК ?
2. Как реализована почта (свой почтовый сервер, каждый ПК сам использует некие внешние почтовые ящики) ?
3. Есть ли в сети свитчи/маршрутизаторы ?
4. Как реализован выход клиентских ПК в Инет (прямое подключение, Proxy, маршрутизатор + NAT ... ) ?
суть этих вопросов вот в чем - если сеть невелика, то можно на маршрутизаторе установить сниффер и отследить обмен сети с Интернет (я обычно делаю проще - я включаю хаб в любую точку "в разрыв", что дает возможность мне подключить ноутбук со сниффером и отследить весь обмен с Инет. Далее остается дать команду всем пользователям на полчаса прекратить работать с инет и почтой и проследить, что передается в Инет. Любой современный сниффер позволяет фильтровать трафик, собирать статистику и т.п. - обычно рассылающую спам машину видно невооруженным глазом
Я бы не хотел, чтобы мой домен превратили в спаммерский.
Уж если превратили, то превратили. Он у вас не на букву x или y начинается? Хотя сейчас в ход пустили также b и c - разные рассылки идут по разным спискам.
Вы внимательно смотрите письма, которые вам "возвращают". Там с очень большой вероятностью можно увидеть IP-адрес отправителя (не отскока, а исходного письма). Если ваш - ищите злодея у себя (хотя мне давно не попадались рассылки, в которых обратный адрес соответствовал бы действительному источнику). Если нет - смиритесь, против стихии средства пока нет.
Последний раз редактировалось pig; 21.11.2006 в 19:38.
1. В сети 14 машин.
2. Почтовый сервер Kerio Mail Server стоит на одной из рабочих машин (моей).
3. Три свича.
4. Выделенная линия подключена к моей машине на второй интерфейс, регулирует трафик Kerio WinRoute Firewall.
Косвеные параметры:
1. объем трафика с момента появления этих рассылок не изменился (видно по счетам, которые оплачиваем - линия не безлимитная, то есть качается такой же объем как был раньше).
2. Значок подключения к Инету с ума не сходит, мигает как обычно. В моменты, когда горит и нет активности с моей машины проверял - или почта качается, или кто-то из пользователей в выходит в сеть.
3. Смотрел Proxy Inspector по IP адресам - 70% трафика с моей машины, 30% распределено на остальных. Ночью - тишина, в выходные тоже.
Посмотрел заголовки вложенных писем (исходных) в возвратах. IP моего провайдера нет. Первым отправителем стоят разные IP в разных письмах.
Начинается на a. И что ценно, это домен .ua, то есть для получения которого нам много чего сделать пришлось, в том числе два года ждать регистрации торговой марки.
Потерять - нельзя!
Отнимать домен у вас никто не станет. Если закрывать из-за попадания в спамерские базы, то рухнет всё. Своих доменов лишатся гиганты вроде Xerox и HP, многочисленные Ротари-клубы, все представительства Royal-Canin... это кого навскидку вспомнил - все в моих чёрных списках. Засветили их спамеры.
Gmail.com скомпрометирован не только спамерами, но и червяками. И ничего - живёт себе.
P.S. На a доменов в общей массе не так много пока светится. Но это всё вопрос времени.
А мог ли способствовать появлению спама с моим доменом вирус, указанный в теме? И как длого такой спам теперь будет рассылаться? Можно ли что-то предпринять?
И вирус мог поспособствовать (причём не обязательно у вас, могли запросто спереть адресную книгу кого-то из корреспондентов). И просто адреса могли засветиться.
Предпринять, наверное, ничего нельзя - список ушёл в свободное плавание и будет гулять, пока сами спамеры его не выкинут. А их, гадов много. "На каждом километре" (c)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Т.е. файлы Update-<буквы-цифры>.exe - это его инсталлятор, если его не запускать, то ничего страшного не будет.
Сообщение от for_igor
