portal.krasno.ru
http://www.portal.krasno.ru/

Внимание вирус в городской сети
http://www.portal.krasno.ru/viewtopic.php?f=12&t=5784		 Страница 1 из 5
Автор:  hornet [ Вс 09 дек, 2007 21:31 ]
Заголовок сообщения:  Внимание вирус в городской сети
Обьясните подробнее что делать с вирусом если он проберётся в компьютер? как предостеречся? может вообще на время кабель вытащить? уж больно не хочется виндовс сносить
Автор:  webmines [ Вс 09 дек, 2007 21:37 ]
Заголовок сообщения: 
А антивирус ставить не пробовал?
Автор:  hornet [ Вс 09 дек, 2007 21:40 ]
Заголовок сообщения: 
стоит, всёравно опасно, может новый какой, а обновления на него не сделали ещё
Автор:  Sin [ Вс 09 дек, 2007 21:53 ]
Заголовок сообщения: 
почему нет варианта ответа "йа креведко"?
Автор:  nextUser [ Вс 09 дек, 2007 22:04 ]
Заголовок сообщения: 
Почему нет варианта - никакого вируса нет?
Автор:  Наблюдатель... [ Вс 09 дек, 2007 22:07 ]
Заголовок сообщения:  Re: Внимание вирус в городской сети
hornet писал(а):
Обьясните подробнее что делать с вирусом если он проберётся в компьютер? как предостеречся? может вообще на время кабель вытащить? уж больно не хочется виндовс сносить

Поставить антивирус с последними базами, фаерволл, антируткит, отключить в браузере JavaScript и Java, проверить автозагрузку на наличие подозрительных программ и сервисов, проверить память на наличие подозрительных процессов (Ctrl+Alt+Del) и т.д.
Есть ещё более параноидальные советы, правда я думаю их врядли кто-то будет выполнять.
Автор:  Trace [ Вс 09 дек, 2007 23:00 ]
Заголовок сообщения: 
Перестать пользоваться IE как вариант, опасность заражения снизится.
Автор:  zadoff [ Пн 10 дек, 2007 09:25 ]
Заголовок сообщения: 
Выкинуть комп и пойти кататься на санках/лыжах/коньках и больше не думать о подобной чепухе!
Автор:  Дима [ Пн 10 дек, 2007 11:38 ]
Заголовок сообщения: 
Trace писал(а):
Перестать пользоваться IE как вариант, опасность заражения снизится.
заметил такую особенность, если на сайты красно.ру заходил через IE, то выскакивало иногда окно антивируса с предупреждением, через мазилу ни разу не выскочило.
Автор:  Raf [ Пн 10 дек, 2007 12:41 ]
Заголовок сообщения: 
Цитата:
26.11.2007 18:39:39 IMON архив http://bara.degunino.net/books/cyberlib ... z/rn01.tgz IRC/Zcrew.B троян Связь завершена

Больше я ничего не обнаруживал.
Автор:  Shef [ Вт 11 дек, 2007 00:10 ]
Заголовок сообщения: 
Дима писал(а):
заметил такую особенность, если на сайты красно.ру заходил через IE, то выскакивало иногда окно антивируса с предупреждением, через мазилу ни разу не выскочило.

Просто на IE у Вас включена поддержка Java, а на мозиле выключена.
Больной комп ставит себе адрес шлюза. К нему от вас летит пакет с запросом на открытие форума. А он в ответ отправляет джавного трояна. Троян приплывает в IE, и втаскивает из Инета вируса и передает управление. (Есть в IE эта дыра) И Вы уже спидоносец.
Автор:  Дима [ Вт 11 дек, 2007 00:47 ]
Заголовок сообщения: 
Shef, залез в настройки мозилы, стоят галочки напротив Использовать JavaScript и Использовать Java.
Автор:  Shef [ Вт 11 дек, 2007 10:20 ]
Заголовок сообщения: 
Дима писал(а):
Shef, залез в настройки мозилы, стоят галочки напротив Использовать JavaScript и Использовать Java.
Я пока все выводы делаю по косвенным признакам. (что админы скажут, что в форумах понапишут, как пинги проходят и трассировки; живьем вируса не видел....наверное к счастью)
Значит вирус рассылает трояна только на IE. А узнает о типе эксплоера из запроса. Умный, гад. Совет Трейса в силе - не пользоваться IE.
Автор:  Ka3us [ Вт 11 дек, 2007 16:50 ]
Заголовок сообщения: 
Признаки появились только что в 15ч19мин местного времени в злополучном доме №1. Засечена попытка (успешная) подмены адреса.

1 - 15:19:40: Mapping changed: 172.18.50.254 changed from 00-19-5B-12-56-82 to 00-80-48-1A-53-AB
2 - 15:21:33: Mapping changed: 172.18.50.254 changed from 00-80-48-1A-53-AB to 00-19-5B-12-56-82
3 - 15:21:39: Mapping changed: 172.18.50.254 changed from 00-19-5B-12-56-82 to 00-80-48-1A-53-AB
4 - 15:21:40: Mapping changed: 172.18.50.254 changed from 00-80-48-1A-53-AB to 00-19-5B-12-56-82
5 - 15:21:43: Mapping changed: 172.18.50.254 changed from 00-19-5B-12-56-82 to 00-80-48-1A-53-AB
6 - 15:21:45: Mapping changed: 172.18.50.254 changed from 00-80-48-1A-53-AB to 00-19-5B-12-56-82
7 - 15:21:46: Mapping changed: 172.18.50.254 changed from 00-19-5B-12-56-82 to 00-80-48-1A-53-AB

и так 27 пунктов.

При попытке войти на данный портал через IE-подобный эксплорер (умышленно) антивирус блокировал попытку проникновения трояна. Указанный файл пытался разместиться во временных файлах интернета.

Изображение

Ну и самое интересное :
Код:
IP   MAC   in system chache   last changed   vendor   network order IP   host order IP   type   adapter



172.18.50.10   00-80-48-1A-53-AB   yes   -   COMPEXINCORPORATED
   171053740   2886873610   dynamic   0x2 Intel(R) PRO/100 VE Network Connection - Минипорт планировщика пакетов

172.18.50.254   00-80-48-1A-53-AB   yes   15:32:46   COMPEXINCORPORATED
   4264694444   2886873854   dynamic   0x2 Intel(R) PRO/100 VE Network Connection - Минипорт планировщика пакетов
Автор:  Shef [ Вт 11 дек, 2007 17:00 ]
Заголовок сообщения: 
Ka3us
Опишите для пользователей каким ПО ловите ARP запросы.
Пользователям, у кого сеть падает - такое описание проблемы, как у Ka3us, позволяет нам быстро принять меры по изоляции вирусоносителя.
Автор:  VAlery [ Вт 11 дек, 2007 17:12 ]
Заголовок сообщения: 
Shef писал(а):
Дима писал(а):
заметил такую особенность, если на сайты красно.ру заходил через IE, то выскакивало иногда окно антивируса с предупреждением, через мазилу ни разу не выскочило.

Просто на IE у Вас включена поддержка Java, а на мозиле выключена.
Больной комп ставит себе адрес шлюза. К нему от вас летит пакет с запросом на открытие форума. А он в ответ отправляет джавного трояна. Троян приплывает в IE, и втаскивает из Инета вируса и передает управление. (Есть в IE эта дыра) И Вы уже спидоносец.


Эта дыра есть на старых версиях IE. Обновляйтесь друзья.
Автор:  Ka3us [ Вт 11 дек, 2007 17:21 ]
Заголовок сообщения: 
Программа называется XArp, выложил на 172.18.50.50 в папку Soft/Lan_Arp под названием XArp_0.1.5_win2000_winxp.zip
Установки не требует, после запуска надо минимизировать окно - оно свернется в трей и ждать :) При попытке смены физического адреса всплывет окно. Из меню сохранить в текстовый файл содержимое двух окон и файлы выслать провайдеру. Всё.
Автор:  Наблюдатель... [ Вт 11 дек, 2007 17:28 ]
Заголовок сообщения: 
Прикольная программка. Вот ещё:
1 - 16:25:25: Mapping changed: 172.18.50.254 changed from 00-E0-4C-51-63-B0 to 00-19-5B-12-56-82

2 - 16:25:28: Mapping changed: 172.18.50.254 changed from 00-19-5B-12-56-82 to 00-E0-4C-51-63-B0
Автор:  Trace [ Вт 11 дек, 2007 18:02 ]
Заголовок сообщения: 
Наблюдатель... писал(а):
2 - 16:25:28: Mapping changed: 172.18.50.254 changed from 00-19-5B-12-56-82 to 00-E0-4C-51-63-B0

выключили
Автор:  D_guest [ Вт 11 дек, 2007 18:23 ]
Заголовок сообщения: 
Shef писал(а):
Ka3us
Опишите для пользователей каким ПО ловите ARP запросы.
Пользователям, у кого сеть падает - такое описание проблемы, как у Ka3us, позволяет нам быстро принять меры по изоляции вирусоносителя.

Я не Ка3us, но
Возможно использование отечественного продукта....
ВОТ: http://mdprograms.narod.ru/ MDArp
Автор:  hornet [ Вт 11 дек, 2007 18:38 ]
Заголовок сообщения: 
что должна показать MDArp когда произошла подмена адреса?
Автор:  D_guest [ Вт 11 дек, 2007 18:44 ]
Заголовок сообщения: 
Trace писал(а):
Наблюдатель... писал(а):
2 - 16:25:28: Mapping changed: 172.18.50.254 changed from 00-19-5B-12-56-82 to 00-E0-4C-51-63-B0

выключили

Вы там осторожнее выключайте .. не 37 год, я тоже вон в субботу настучал (по телефону) на какого -то пострадавшего.. за это же, как - то неудобно, просил не отключать , а позвонить ему сначала.
А то начнется :) взял из кэша чей-нибудь адрес 8) и..
Вообще , ставьте постоянный МАС на шлюз и дорогие вам адреса из вашей подсети и проблем намного меньше будет, я об этом вспомнил только когда после первода сети забыл это снова сделать :)
Автор:  D_guest [ Вт 11 дек, 2007 19:07 ]
Заголовок сообщения: 
hornet писал(а):
что должна показать MDArp когда произошла подмена адреса?

заносите MAC шлюза в образцы (в принципе она сама заносит- вы проверьте что он правильный), и на каждую смену : окно сообщений (МАС и адрес) + лог ведется :) (100кб :) всего лишь мониторится ваш arp кэш)
Автор:  hornet [ Вт 11 дек, 2007 19:40 ]
Заголовок сообщения: 
спасибо.
я так понял MDArp запускать надо при включении компьютера и сворачивать? о подмене надеюсь MDArp даст знать?
Автор:  D_guest [ Вт 11 дек, 2007 19:49 ]
Заголовок сообщения: 
hornet писал(а):
спасибо.
я так понял MDArp запускать надо при включении компьютера и сворачивать? о подмене надеюсь MDArp даст знать?

Да, поставьте шлюз статическим, запускайте программу и ловите врагов. народа (список в логе будет)
Автор:  hornet [ Вт 11 дек, 2007 19:54 ]
Заголовок сообщения: 
(поставьте шлюз статическим)

я наверно надоел? ))
как это сделать
Автор:  Ka3us [ Вт 11 дек, 2007 19:57 ]
Заголовок сообщения: 
D_guest писал(а):
Вы там осторожнее выключайте .. не 37 год
А если бездействовать, то будет 33-й. :) Если мне не изменяет память, то похожий вирус гулял в сети лет 5-6 назад. Правда сеть была проще и в основном страдали пользовательские машины. И на этот лекарство найдут.
Автор:  D_guest [ Вт 11 дек, 2007 20:11 ]
Заголовок сообщения: 
hornet писал(а):
(поставьте шлюз статическим)

я наверно надоел? ))
как это сделать

Вот здесь в конце это обсуждали viewtopic.php?t=1833&start=810
В общем Пуск- Выполнить-cmd - arp -s 172.18.ХX.254 00-хх-хх-хх-хх-хх 172.18.ХX.ХХ
т.е arp -s {адрес шлюза в вашей подсети} {МАС шлюза} {ваш адрес}
МАС шлюза смотрите в той же MDarp когда все работает норм
Ka3us писал(а):
А если бездействовать, то будет 33-й.

А что там было-то?
Сетьв целом не падает( из-за данной проблемы) (пока arp трафик все не забьет :) ), просто у юзеров пропадает шлюз и, соответственно, хосты из других подсетей становятся недоступны (Дима тут писал : "странно krasno.ru пропадает, а на 50.50 :) могу зайти"- это ж в одной подсети - ничего странного)
Автор:  Trace [ Вт 11 дек, 2007 21:33 ]
Заголовок сообщения: 
http://www.krasno.ru/arp-gw.php

скриптик прописывает статическую запись в системе и в реестре в автозагрузке.
Советую запустить всем, должны уменьшиться потери связи.
Автор:  Aleksey [ Вт 11 дек, 2007 21:33 ]
Заголовок сообщения: 
1 - 20:30:01: Mapping changed: 172.18.0.254 changed from 00-14-5E-6B-52-96 to 00-80-48-3A-A2-BF

2 - 20:30:03: Mapping changed: 172.18.0.254 changed from 00-80-48-3A-A2-BF to 00-14-5E-6B-52-96

3 - 20:30:09: Mapping changed: 172.18.0.254 changed from 00-14-5E-6B-52-96 to 00-80-48-3A-A2-BF

4 - 20:30:10: Mapping changed: 172.18.0.254 changed from 00-80-48-3A-A2-BF to 00-14-5E-6B-52-96

5 - 20:30:27: Mapping changed: 172.18.0.254 changed from 00-14-5E-6B-52-96 to 00-80-48-3A-A2-BF

Вот етот цикл раз 10-15 повторился.
Сеть естественно еле дышит.
Страница 1 из 5 Часовой пояс: UTC + 3 часа [ Летнее время ]
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/