Автор Тема: rootkit для Windows. Методы борьбы.  (Прочитано 5883 раз)

alex29

  • Hero Member
  • *****
  • Сообщений: 1 485
  • Карма: +1/-0
    • Просмотр профиля
rootkit для Windows. Методы борьбы.
« : Августа 08, 2007, 10:54:00 »
Заметил по анализу трафика, что некоторые рабочие станции локальной сети пытаются периодически самостоятельно по smtp протоколу спамить. Причём количество подключений по smtp одновременно - довольно большое (попытка DDoS на кого-то? ???).
Проверка станций KAV, cureit (drweb), Avast, различными анти -spy & -adware реальных результатов не дала (были найдены trojan, но после уничтожения и перезагрузки они появлялись опять).  Мониторы антивирусов тоже ничего не видют. Скачал утилиты для поиска rootkit в Windows (AVG Anti-rootkit Free и Mcafee_Rootkit_Detective). На нескольких станциях нашло скрытые процессы. После уничтожения их, станции больше не спамят. Но на некоторых утилиты не нашли ничего, антивирусы тоже и они продолжают пытаться спамить. (На шлюзе (FreeBSD) rootkit не обнаружен).

Хде копать?
Меры профилактики?

 
Пиво по утрам не только вредно, но и полезно... (с) Н. Фоменко

alex29

  • Hero Member
  • *****
  • Сообщений: 1 485
  • Карма: +1/-0
    • Просмотр профиля
Re: rootkit для Windows. Методы борьбы.
« Ответ #1 : Августа 08, 2007, 11:02:25 »
И ещё забыл.. С заражённых станций не постоянно предпринимается попытка самопроизвольного соединения с парой IP адресами по https & http. Я их прикрыл файерволлом, но попытки продолжаются.
Пиво по утрам не только вредно, но и полезно... (с) Н. Фоменко

rabbit

  • Moderator
  • Hero Member
  • *****
  • Сообщений: 1 731
  • Карма: +36/-3
    • Просмотр профиля
Re: rootkit для Windows. Методы борьбы.
« Ответ #2 : Августа 08, 2007, 11:52:21 »
ну, Сань, с твоим уровнем подготовки, даже не знаю, что и советовать  ???  Попробуй разве что такую софтину Stelsscanner2.exe если нет, могу выслать. Она показывает все приложения, приконнекченные в текущий момент к инету. И показывает откуда они стартуют. Разве что так просмотреть, а потом перегрузиться в безопасном режиме и удалить вручную.
Я так делаю обычно, но если у тебя такой супер-пупер хитрый зверь...

Или скачай Hiren BootCD и проверь на вирусы с него, не загружая ОС.
И один в поле воин, если он знает, что он один.

alex29

  • Hero Member
  • *****
  • Сообщений: 1 485
  • Карма: +1/-0
    • Просмотр профиля
Re: rootkit для Windows. Методы борьбы.
« Ответ #3 : Августа 08, 2007, 21:04:22 »
Утилита AVZ4 (хттп://z-oleg.com/secur/avz/download.php) в данном случае рулила. Оччрекомендую..
Вычистил нечисть..
Пиво по утрам не только вредно, но и полезно... (с) Н. Фоменко

alex29

  • Hero Member
  • *****
  • Сообщений: 1 485
  • Карма: +1/-0
    • Просмотр профиля
Re: rootkit для Windows. Методы борьбы.
« Ответ #4 : Августа 08, 2007, 21:34:55 »
А  через эту гадость (Trojan-Proxy.Win32.Pixoliz.a по версии AVZ) лезли эти гады:

root@/home/alex29> whois 75.126.130.164
OrgName:    SoftLayer Technologies Inc.
OrgID:      SOFTL
Address:    1950 N Stemmons Freeway
City:       Dallas
StateProv:  TX
PostalCode: 75207
Country:    US
Пиво по утрам не только вредно, но и полезно... (с) Н. Фоменко

rabbit

  • Moderator
  • Hero Member
  • *****
  • Сообщений: 1 731
  • Карма: +36/-3
    • Просмотр профиля
Re: rootkit для Windows. Методы борьбы.
« Ответ #5 : Августа 08, 2007, 21:56:05 »
Да, Сань, круто!
И один в поле воин, если он знает, что он один.

gulaypole.info

Re: rootkit для Windows. Методы борьбы.
« Ответ #5 : Августа 08, 2007, 21:56:05 »


alex29

  • Hero Member
  • *****
  • Сообщений: 1 485
  • Карма: +1/-0
    • Просмотр профиля
Re: rootkit для Windows. Методы борьбы.
« Ответ #6 : Августа 08, 2007, 22:29:54 »
Если б побольше знаний, наверно столько бы не мучился. Вечное копание.. :)
Пиво по утрам не только вредно, но и полезно... (с) Н. Фоменко