Размещено 05.03.2015 13:13:00
Господа, помогите нейтрализовать приложение, которое в фоне отправляет icmp пакеты.
Изменено: rasskaz - 05.03.2015 21:25:36
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.
На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения
PRO32
— надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.
Приглашаем вас присоединиться к новому форуму PRO32.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.
Как можно вычислить процесс, который шлёт icmp-пакеты
Ответы
Размещено 12.03.2015 05:52:45
| Цитата |
|---|
| C:\Windows\System32\GroupPolicy\csrss.exe |
давайте новый образ автозапуска посмотрим.
там на этот файл есть еще несколько других с подобным хэшем.
C:\WINDOWS\SYSTEM32\GROUPPOLICY\CSRSS.EXE
(SHA1 ~ 1D31123D3268D2A0D44F0B30BB5936518198FDC2)(1)
возможно, вот эта служба восстанавливает данный csrss.exe
| Цитата |
|---|
| C:\WINDOWS\SYSTEM32\SNMPTRPS.EXE HKLM\System\CurrentControlSet\Services\SNMPTRAP\ImagePath (SHA1 ~ 1D31123D3268D2A0D44F0B30BB5936518198FDC2)(1) |
a variant of MSIL/Gruf.A
сама служба похоже легальная
SNMPTRAP Service
есть ли подмена здесь файла или нет, вопрос конечно.
--------------------
значит, эту пару файлов тоже надо сносить скриптом.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
| Код |
|---|
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %Sys32%\GROUPPOLICY\CSRSS.EXE delall %Sys32%\GROUPPOLICY\CSRSS.EXE zoo %Sys32%\SNMPTRPS.EXE delall %Sys32%\SNMPTRPS.EXE QUIT |
перезагрузка, пишем о старых и новых проблемах.
+
добавить новый образ автозапуска для контроля.
Изменено: santy - 12.03.2015 06:58:31
Размещено 12.03.2015 11:55:28
| Цитата |
|---|
| santy написал: да, этот файл был виден в образе, при проверке на VT |
| Цитата |
|---|
| santy написал: сама служба похоже легальная SNMPTRAP Service |
На одной инфицированной машине, что вы мне помогли вылечить, я сканировал утилитой от Kaspersky - tdsskiller.exe
Вот скрин:
после него icmp-паеты тоже пропадали.
На сервере (который мы сейчас лечим) есть:
C:\Windows\System32\snmpapi.dll
C:\Windows\System32\snmptrap.exe
по результату проверки на они не попадают под статус заражённых.
Но на сервере НЕТ:
там нет:
snmplib.dll
| Цитата |
|---|
| santy написал: выполняем скрипт в uVS: |
Размещено 12.03.2015 12:14:44
ВТ или VT - это мы так сокращенно называем Virustotal.com
---------
не факт конечно, что это вредоносный файл. ведь детектируется как неподписанный, без цифровой подписи.
здесь немного другой файл в образе, и он теперь детектируется, после того как Есет добавил сигнатуру на svchost.exe левый.
а этот файл C:\WINDOWS\SYSTEM32\SNMPAPI.DLL чист. и подписан Микрософт.
---------
не факт конечно, что это вредоносный файл. ведь детектируется как неподписанный, без цифровой подписи.
здесь немного другой файл в образе, и он теперь детектируется, после того как Есет добавил сигнатуру на svchost.exe левый.
а этот файл C:\WINDOWS\SYSTEM32\SNMPAPI.DLL чист. и подписан Микрософт.
| Цитата |
|---|
| Полное имя C:\WINDOWS\SYSTEM32\SNMPTRPS.EXE Имя файла SNMPTRPS.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске 2015-03-11 Kaspersky UDS:DangerousObject.Multi.Generic ESET-NOD32 a variant of MSIL/Gruf.A Удовлетворяет критериям TEMP.KRIT (SHA1 ~ 1D31123D3268D2A0D44F0B30BB5936518198FDC2)(1) Сохраненная информация на момент создания образа Статус сервис в автозапуске File_Id 5440CEFB24000 Linker 6.0 Размер 118784 байт Создан 13.01.2012 в 10:25:55 Изменен 16.07.2011 в 08:37:12 TimeStamp 17.10.2014 в 08:10:35 EntryPoint + OS Version 4.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя ta.exe Версия файла 6.1.7600.16385 Версия продукта 6.1.7600.16385 Описание Сliеnt Sеrvеr Runtimе Prосеss Производитель Miсrоsоft Соrpоrаtiоn Комментарий Сliеnt Sеrvеr Runtimе Prосеss Доп. информация на момент обновления списка SHA1 1D31123D3268D2A0D44F0B30BB5936518198FDC2 MD5 54108C290A9BA2D3B00545FAEA76A9FE Ссылки на объект Ссылка HKLM\System\CurrentControlSet\Services\SNMPTRAP\ImagePath ImagePath C:\Windows\System32\snmptrps.exe -k SNMPTRAP тип запуска: Авто (2) |
Изменено: santy - 12.03.2015 12:19:21
Размещено 12.03.2015 23:32:41
На данный момент сервер не посылает срытые icmp-пакеты на удалённый узел, НО сразу после перезагрузки (до входа в систему, т.е. до ввода логина/пароля) на маршрутизаторе наблюдается попытки отправить ICMP echo request на весь диапазон IP-адресов соседней локальной сети по последнему октету x.y.z.1 - x.y.z.254.
Сеть x.y.z.0/24 маршрутизируется и имеет доступ к заражённому серверу по нескольким портам. Обе сети разделены маршрутизаторами с закрытыми файеролами (с жёсткой фильтрацией, по принципу: что не разрешено, запрещено).
После попытки отправить запросы, сервер замолкает. Программа uVS v385 выдаёт чистенький результат.
По какому пойти пойти дальше.
Уважаемые коллеги! Кто занимается сетевой безопасностью, тому будет интересная статья:
это как раз то, с чем я имею дело.
Сеть x.y.z.0/24 маршрутизируется и имеет доступ к заражённому серверу по нескольким портам. Обе сети разделены маршрутизаторами с закрытыми файеролами (с жёсткой фильтрацией, по принципу: что не разрешено, запрещено).
После попытки отправить запросы, сервер замолкает. Программа uVS v385 выдаёт чистенький результат.
По какому пойти пойти дальше.
Уважаемые коллеги! Кто занимается сетевой безопасностью, тому будет интересная статья:
это как раз то, с чем я имею дело.
Читают тему