Дано: Локальная сеть и вирь, который забрасывает во все расшареные папки (и принтера - не видит разницы) самого себя под привлекательными именами.
Требуется: найти комп-источник этого безобразия.
Есть ли какая-то прога, которая бы отслеживала, откуда пришел файл в расшареную папку?
В принципе PrintMonitor может отслеживать, откуда на него послали задание на печать, но хотелось бы именно следилку за расшареным ресурсом.
Или есть иной способ? (Кроме установки на все компы последнего антивируса)
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Если не хотите лечить отдельный комп - то вам в это раздел.
А по поводу программы - сниффер какой- нибудь, или Filemon вам помогут.
Варианты:
1. Сниффер + фильтры, чтобы протокол имел приемлемый для анализа объем
2. Аудит. Очень хорошо подходит для XP ... нужно настроить аудит подключений и доступа к расшаренным папкам и читаь логи
3. Программы типа KillWatcher (http://killprog.narod.ru/kwatchr.html) - т.е. утилиты, которые ведут логи подключений по сети
Только что закончили чистку серверов LAN от этой же, похоже, заразы, везде W2KSP4Сообщение от Dewi
Симптомы:
1. В списке процессов виден winlogin32.exe, м.б. несколько.
2. Особо ничего не портит, но впечатление - у компа насморк, где-то что-то как-то не так.
3. Портятся некоторые сервисы, особенно написанные на API.
История болезни:
1. Проникает из инета как http://xxx
2. Расползается по LAN как таракан через 445 порт (расшаренные ресурсы) и прописывает себя как
C:\Documents and Settings\<Имя>\Local Settings\Temporary Internet Files\Content.IE5\<абракадабра>.pl[<число>].jpg
3. Устанавливает связь с IP-источником в инете
4. В %SystemRoot%\System32 появляются a.exe и winlogin32.exe, последний виден в процессах.
Про него смотри
http://www.trendmicro.com/vinfo/viru...T%2EPA&VSect=T
5. В %TEMP% и в %USERPROFILE%\Local Settings\Temp для разных юзеров появляется куча файлов <абракадабра>.ехе.
Как лечили:
1. Определили IP источника в инете - анализ трафика с зараженных компов - и заткнули к нему маршрут.
2. NOD32 со всеми мониторами + регулярное сканирование - детектирует как "модифицированный Win32/Rbot троян". В настройках AMON на странице действия ставить галку "Запретить доступ"
3. Плюс AVZ + Ad-Aware SE Professional + HijackThis - прозвонили по максимуму.
4. Выполнили рекомендации из вышеприведенной ссылки.
Болезнь была запущена, лечили долго.
Теперь лечим пользовательские компы аналогично.
Мораль известна - предохраняться надо! Поэтому - профилактика:
1. Запретили выходить в инет с серверов.
2. На все компы в LAN - NOD32 с по крайней мере AMON и IMON +
Ad-Aware SE Professional с AdWatch + настройки браузеров.
3. На майл сервере - NOD32 с EMON
4. Все av-хозяйство - регулярное обновление баз, естественно.
5. Можно еще многое - на Ваше усмотрение.
Успехов!
Последний раз редактировалось anton_dr; 02.11.2006 в 06:35.
"Симптомы:
1. В списке процессов виден winlogin32.exe, м.б. несколько.
2. Особо ничего не портит, но впечатление - у компа насморк, где-то что-то как-то не так.
3. Портятся некоторые сервисы, особенно написанные на API."
У меня такой вирус, но я, простой юзер, особо не понимаю тонкостей лечения. не могли бы вы написать как что проделать с поправкой на "чайников"?
Вам лучше зарегистрироваться, и выполнить "правила"
Ваши права в разделе
Ответить с цитированием
