Показано с 1 по 19 из 19.

Обнаружен эксплойт скрытого канала в ICMP-пакете [NOD32] (заявка № 91769)

  1. #1
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    16
    Вес репутации
    49

    Обнаружен эксплойт скрытого канала в ICMP-пакете [NOD32]

    Доброго времени суток! Проблемы следующие:

    1. Журнал фаерволла NOD32 пестрит сообщениями(все в огромных количествах):
    - неверная контрольная сумма пакета ethernet
    - Обнаружен эксплойт скрытого канала в ICMP-пакете
    - Обнаружена атака DNS cache poisoning
    - Обнаружена атака ARP cache poisoning
    несколько раз проскакивало:
    - В сети обнаружен идентичный IP адрес

    2. Компьютер не грузится в безопасном режиме:
    При попытке загрузки в safe mode доходит до экрана выбора пользователя, успеваю нажать на пользователя и приблизительно через 7-10 секунд компьютер перезагружается.

    3. Переодически отваливается интернет. Причем иногда бывает так, что одно приложение нормально работает с сетью, другое вообще не подключается.
    Например:google chrome не может открыть google.com, но при этом IE открывает без проблем, в то же самое время chrome может открыть ya.ru а google.com грузиться не будет.

    Очень надеюсь на вашу помощь!

    P.S. Делал всё по инструкции, но не понял одного момента: у меня при первом сканировании AVZ получились логи одного размера, при втором другого, какие выкладывать? Решил что второго сканирования, если нужны первого, то их тоже сохранил. Да, и syscure не появился в логах.
    Вложения Вложения
    Последний раз редактировалось Spinorog; 15.11.2010 в 17:48.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    16
    Вес репутации
    49
    Как я понял, это мой комп ломиться кого-то атаковать и пойзонить, потому, что в графе источник вроде везде стоит мой внутренний IP, а в графе объект либо модем, либо в случае ICMP удаленный IP. Посмотрел whois'ом - один из аресов майкрософт, другой какой-то godaddy.com, третий вообще левый.

    ip адреса:
    217.195.25.72
    207.46.19.254
    173.201.20.143

  4. #3
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    16
    Вес репутации
    49
    Люди, ну не бросайте, ответьте хоть что-нибудь! Больше всего прочего напрягает, что safe mode не грузиться!

  5. #4
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    16
    Вес репутации
    49
    Спасибо большое....

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\Windows\system32\ntkrnlpa.exe','');
     DeleteFile('D:\autorun.inf');
     DeleteFile('E:\autorun.inf');
     DeleteFile('F:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(1);
    Executerepair(10);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Сделайте лог полного сканирования МВАМ

  7. #6
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    16
    Вес репутации
    49
    Спасибо огромное за отклик!

    Скрипт выполнил, карантин выслал.

    Как только начал работать MBAM у Eset в журнале появилось 2 записи:

    Код:
    20.11.2010 20:36:58	Защита в режиме реального времени	файл	C:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0004091.dll	Win32/Spy.Ursnif.A вирус	очистка невозможна	NT AUTHORITY\система	Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.
    
    20.11.2010 20:36:58	Защита в режиме реального времени	файл	C:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0004091.dll	Win32/Spy.Ursnif.A вирус	очистка невозможна	NT AUTHORITY\система	Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Проверим некоторые файлы, выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     QuarantineFile('E:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0006378.exe','');
     QuarantineFile('E:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0006385.exe','');
     QuarantineFile('F:\System Volume Information\_restore{A63988A9-6804-4216-8F5B-E6BDDDE5438D}\RP5\A0000036.exe','');
     QuarantineFile('F:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0007311.exe','');
     QuarantineFile('F:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0007348.exe','');
     QuarantineFile('F:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0007355.exe','');
    BC_Activate;
    RebootWindows(true);
    end.
    затем следующий
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
    в шапке Вашей темы.

  9. #8
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    16
    Вес репутации
    49
    Выполнил скрипт, карантин загрузил.

    PS: Проверил интереса ради - безопасный режим так и не грузится.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Выполните скрипт
    Код:
     begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     DeleteFile('E:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0006378.exe');  
     DeleteFile('E:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0006385.exe');     
     DeleteFile('F:\System Volume Information\_restore{A63988A9-6804-4216-8F5B-E6BDDDE5438D}\RP5\A0000036.exe');
     DeleteFile('F:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0007348.exe');
     ExecuteSysClean;
     Executerepair(10);
     BC_Activate;
    RebootWindows(true);
    end.
    Сделайте новые логи и лог МВАМ

  11. #10
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    16
    Вес репутации
    49
    Всё сделал!

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Windows\System32\drivers\vde3mjk3.sys','');
     QuarantineFile('C:\Program Files\TOR Coop\ELCUT 5.1\Professional Edition\ActiveField\Tutorial\Lesson1\VB_Code\Lesson1.exe','');
     QuarantineFile('C:\Program Files\Connectify\Connectifyd.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится, затем следующий
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
    в шапке Вашей темы.

  13. #12
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    16
    Вес репутации
    49
    Всё сделал!

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Файлы, что попали в карантин--чистые.
    Что сейчас с проблемой?

  15. #14
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    16
    Вес репутации
    49
    Безопаска не грузится...Всё так, как описывал в первом посте. Последнее ARP cache poisoning в журнале появлялось 19.11. При этом вырубался интернет. С тех пор тихо... Правда, до 19 было 16. Не знаю, устранилась ли проблема - возможно затишье перед бурей...
    Выяснил, что ошибки с пакетами ethernet появляются только при включённом uTorrent. Но ARP не связан с ним.

    На всякий случай кусок лога(странно, что источник - модем):

    Код:
    19.11.2010 12:28:17	Обнаружена атака ARP cache poisoning	192.168.1.1	192.168.1.3	ARP			
    19.11.2010 12:28:17	Обнаружена атака ARP cache poisoning	192.168.1.1	192.168.1.1	ARP			
    19.11.2010 12:28:16	Обнаружена атака ARP cache poisoning	192.168.1.1	192.168.1.1	ARP			
    19.11.2010 12:28:16	Обнаружена атака ARP cache poisoning	192.168.1.1	192.168.1.1	ARP			
    19.11.2010 12:24:33	В сети обнаружен идентичный IP-адрес	192.168.1.1	192.168.1.4	ARP			
    19.11.2010 12:24:32	Обнаружена атака ARP cache poisoning	192.168.1.1	192.168.1.1	ARP			
    19.11.2010 12:24:32	Обнаружена атака ARP cache poisoning	192.168.1.1	192.168.1.1	ARP			
    19.11.2010 12:24:32	Обнаружена атака ARP cache poisoning	192.168.1.1	192.168.1.3	ARP			
    19.11.2010 12:24:32	Обнаружена атака ARP cache poisoning	192.168.1.1	192.168.1.1	ARP	
    
    16.11.2010 17:31:17	Обнаружена атака DNS cache poisoning	192.168.1.1:53	192.168.1.4:60026	UDP			
    16.11.2010 17:31:16	Обнаружена атака DNS cache poisoning	192.168.1.1:53	192.168.1.4:55799	UDP

  16. #15

  17. #16
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    16
    Вес репутации
    49
    В процессе сканирования Gmer'ом в какой-то момент компьютер начал безбожно тормозить. Загрузка ЦП стабильно держалась на 56%. Грузил её процесс System... Потом, через какое-то время вылез синий экран и перезагрузка... Сканировал в это время папку Users.
    Сейчас буду пробовать еще раз просканировать...

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Отключите у антивируса фаервол и установите сторонний.

  19. #18
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    16
    Вес репутации
    49
    Лог Gmer пока не удалось сделать... Компьютер для работы нужен, а во время скана невозможно делать ничего. Попробую на ночь оставить.

    Поставил Agnitum Outpost. Интересные логи. В секунду порядка 3-4 заблокированных пакетов. Все с разный IP, но все на один и тот же порт, порт, который использует торрент, притом что сам торрент выключен. Вообще с моего непросвещенного взгляда похоже на какую-то атаку.

    Посмотрел на ноутбук, который через тот же роутер работает, только через wifi, там в логах eset почти каждый день появлятся: обнаружена атака: сканирование портов и TCP флад-атака. Что это вообще может значить?

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. e:\\system volume information\\_restore{f37eca42-49cf-48e7-bef7-7a8d0f803dba}\\rp1\\a0006378.exe - Trojan-Downloader.Win32.Agent.dryn ( DrWEB: Trojan.DownLoad2.18371 )
      2. e:\\system volume information\\_restore{f37eca42-49cf-48e7-bef7-7a8d0f803dba}\\rp1\\a0006385.exe - Trojan-Downloader.Win32.Agent.dryn ( DrWEB: Trojan.DownLoad2.18371 )


  • Уважаемый(ая) Spinorog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Обнаружен эксплойт скрытого канала в ICMP-пакете
      От Александр Фадеев в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 17.06.2012, 15:42
    2. Ответов: 2
      Последнее сообщение: 08.06.2012, 02:51
    3. Ответов: 3
      Последнее сообщение: 29.02.2012, 02:00
    4. Ответов: 6
      Последнее сообщение: 21.02.2012, 18:29
    5. Ответов: 5
      Последнее сообщение: 06.12.2011, 00:15

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01472 seconds with 20 queries