gulaypole.info

Hard & Soft => Компьютеры и IT => Тема начата: alex29 от Августа 08, 2007, 10:54:00

Название: rootkit для Windows. Методы борьбы.
Отправлено: alex29 от Августа 08, 2007, 10:54:00

Заметил по анализу трафика, что некоторые рабочие станции локальной сети пытаются периодически самостоятельно по smtp протоколу спамить. Причём количество подключений по smtp одновременно - довольно большое (попытка DDoS на кого-то? ???).
Проверка станций KAV, cureit (drweb), Avast, различными анти -spy & -adware реальных результатов не дала (были найдены trojan, но после уничтожения и перезагрузки они появлялись опять).  Мониторы антивирусов тоже ничего не видют. Скачал утилиты для поиска rootkit в Windows (AVG Anti-rootkit Free и Mcafee_Rootkit_Detective). На нескольких станциях нашло скрытые процессы. После уничтожения их, станции больше не спамят. Но на некоторых утилиты не нашли ничего, антивирусы тоже и они продолжают пытаться спамить. (На шлюзе (FreeBSD) rootkit не обнаружен).

Хде копать?
Меры профилактики?

 

Название: Re: rootkit для Windows. Методы борьбы.
Отправлено: alex29 от Августа 08, 2007, 11:02:25

И ещё забыл.. С заражённых станций не постоянно предпринимается попытка самопроизвольного соединения с парой IP адресами по https & http. Я их прикрыл файерволлом, но попытки продолжаются.

Название: Re: rootkit для Windows. Методы борьбы.
Отправлено: rabbit от Августа 08, 2007, 11:52:21

ну, Сань, с твоим уровнем подготовки, даже не знаю, что и советовать  ???  Попробуй разве что такую софтину Stelsscanner2.exe если нет, могу выслать. Она показывает все приложения, приконнекченные в текущий момент к инету. И показывает откуда они стартуют. Разве что так просмотреть, а потом перегрузиться в безопасном режиме и удалить вручную.
Я так делаю обычно, но если у тебя такой супер-пупер хитрый зверь...

Или скачай Hiren BootCD и проверь на вирусы с него, не загружая ОС.

Название: Re: rootkit для Windows. Методы борьбы.
Отправлено: alex29 от Августа 08, 2007, 21:04:22

Утилита AVZ4 (хттп://z-oleg.com/secur/avz/download.php) в данном случае рулила. Оччрекомендую..
Вычистил нечисть..

Название: Re: rootkit для Windows. Методы борьбы.
Отправлено: alex29 от Августа 08, 2007, 21:34:55

А  через эту гадость (Trojan-Proxy.Win32.Pixoliz.a по версии AVZ) лезли эти гады:

root@/home/alex29> whois 75.126.130.164
OrgName:    SoftLayer Technologies Inc.
OrgID:      SOFTL
Address:    1950 N Stemmons Freeway
City:       Dallas
StateProv:  TX
PostalCode: 75207
Country:    US

Название: Re: rootkit для Windows. Методы борьбы.
Отправлено: rabbit от Августа 08, 2007, 21:56:05

Да, Сань, круто!

Название: Re: rootkit для Windows. Методы борьбы.
Отправлено: alex29 от Августа 08, 2007, 22:29:54

Если б побольше знаний, наверно столько бы не мучился. Вечное копание.. :)