Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Как можно вычислить процесс, который шлёт icmp-пакеты

RSS
 
Denis Rasskazov
Denis Rasskazov
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 05.03.2015
Размещено 05.03.2015 13:13:00
Господа, помогите нейтрализовать приложение, которое в фоне отправляет icmp пакеты.
Изменено: rasskaz - 05.03.2015 21:25:36

Ответы

Пред. 1 2 3
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 11.03.2015 20:46:25
Нужен новый образ автозапуска в uVS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.03.2015 05:52:45
Цитата
C:\Windows\System32\GroupPolicy\csrss.exe
да, этот файл был виден в образе, при проверке на VT оказывается чист, хотя по идее, нечего ему там делать.
давайте новый образ автозапуска посмотрим.
там на этот файл есть еще несколько других с подобным хэшем.

C:\WINDOWS\SYSTEM32\GROUPPOLICY\CSRSS.EXE
(SHA1 ~ 1D31123D3268D2A0D44F0B30BB5936518198FDC2)(1)

возможно, вот эта служба восстанавливает данный csrss.exe

Цитата
C:\WINDOWS\SYSTEM32\SNMPTRPS.EXE
HKLM\System\CurrentControlSet\Services\SNMPTRAP\ImagePath
(SHA1 ~ 1D31123D3268D2A0D44F0B30BB5936518198FDC2)(1)
угу, тоже попал под детект сигнатуры, добавленной Zloydi
a variant of MSIL/Gruf.A
https://www.virustotal.com/ru/file/8a3a80dc3c88f303cf0607688648bc82a32680b93c0768dc­add17f3ecea4dd24/...

сама служба похоже легальная
SNMPTRAP Service
http://support.hp.com/us-en/document/c01862894?openCLC=true?docNotFound=true

есть ли  подмена здесь файла или нет, вопрос конечно.


--------------------
значит, эту пару файлов тоже надо сносить скриптом.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

zoo %Sys32%\GROUPPOLICY\CSRSS.EXE
delall %Sys32%\GROUPPOLICY\CSRSS.EXE
zoo %Sys32%\SNMPTRPS.EXE
delall %Sys32%\SNMPTRPS.EXE
QUIT

перезагрузка, пишем о старых и новых проблемах.
+
добавить новый образ автозапуска для контроля.
Изменено: santy - 12.03.2015 06:58:31
[ Как создать образ автозапуска? ]
 
rasskazov
rasskazov
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 05.03.2015
Размещено 12.03.2015 11:55:28
Цитата
santy написал:
да, этот файл был виден в образе, при проверке на VT
Что означает VT?


Цитата
santy написал:
сама служба похоже легальная
SNMPTRAP Service
Вот тут я нахожу прямое совпадение. Поясню:
На одной инфицированной машине, что вы мне помогли вылечить, я сканировал утилитой от Kaspersky - tdsskiller.exe
Вот скрин:

после него icmp-паеты тоже пропадали.

На сервере (который мы сейчас лечим) есть:
C:\Windows\System32\snmpapi.dll
C:\Windows\System32\snmptrap.exe
по результату проверки на  www.virustotal.com они не попадают под статус заражённых.
Но на сервере НЕТ:
там нет:
snmplib.dll


Цитата
santy написал:
выполняем скрипт в uVS:
скрипт, к сожалению, смогу запустить в конце дня. В процессе работы мне перезагрузить не получится.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.03.2015 12:14:44
ВТ или VT - это мы так сокращенно называем Virustotal.com
---------
не факт конечно, что это вредоносный файл. ведь детектируется как неподписанный, без цифровой подписи.

здесь немного другой файл в образе, и он теперь детектируется, после того как Есет добавил сигнатуру на svchost.exe левый.
а этот файл C:\WINDOWS\SYSTEM32\SNMPAPI.DLL чист. и подписан Микрософт.


Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\SNMPTRPS.EXE
Имя файла                   SNMPTRPS.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске
                           
www.virustotal.com          2015-03-11
Kaspersky                   UDS:DangerousObject.Multi.Generic
ESET-NOD32                  a variant of MSIL/Gruf.A
                           
Удовлетворяет критериям    
TEMP.KRIT                   (SHA1 ~ 1D31123D3268D2A0D44F0B30BB5936518198FDC2)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      сервис в автозапуске
File_Id                     5440CEFB24000
Linker                      6.0
Размер                      118784 байт
Создан                      13.01.2012 в 10:25:55
Изменен                     16.07.2011 в 08:37:12
                           
TimeStamp                   17.10.2014 в 08:10:35
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            ta.exe
Версия файла                6.1.7600.16385
Версия продукта             6.1.7600.16385
Описание                    Сliеnt Sеrvеr Runtimе Prосеss
Производитель               Miсrоsоft Соrpоrаtiоn
Комментарий                 Сliеnt Sеrvеr Runtimе Prосеss
                           
Доп. информация             на момент обновления списка
SHA1                        1D31123D3268D2A0D44F0B30BB5936518198FDC2
MD5                         54108C290A9BA2D3B00545FAEA76A9FE
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\SNMPTRAP\ImagePath
ImagePath                   C:\Windows\System32\snmptrps.exe -k
SNMPTRAP                    тип запуска: Авто (2)
                           
Изменено: santy - 12.03.2015 12:19:21
[ Как создать образ автозапуска? ]
 
rasskaz
rasskaz
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 05.03.2015
Размещено 12.03.2015 23:32:41
На данный момент сервер не посылает срытые icmp-пакеты на удалённый узел, НО сразу после перезагрузки (до входа в систему, т.е. до ввода логина/пароля) на маршрутизаторе наблюдается попытки отправить ICMP echo request на весь диапазон IP-адресов соседней локальной сети по последнему октету x.y.z.1 - x.y.z.254.
Сеть x.y.z.0/24 маршрутизируется и имеет доступ к заражённому серверу по нескольким портам. Обе сети разделены маршрутизаторами с закрытыми файеролами (с жёсткой фильтрацией, по принципу: что не разрешено, запрещено).
После попытки отправить запросы, сервер замолкает. Программа uVS v385 выдаёт чистенький результат.
По какому пойти пойти дальше.

Уважаемые коллеги! Кто занимается сетевой безопасностью, тому будет интересная статья:
http://www.securitylab.ru/analytics/423450.php
это как раз то, с чем я имею дело.
 
Пред. 1 2 3
Читают тему