Вход
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Обнаружена атака путем подделки записей кэша DNS

1
RSS
 
Lexx766
Lexx766
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 30.01.2013
Размещено 30.01.2013 14:00:55
День добрый.
С недавних пор (с середины декабря) ESET SS v.6 начал выдавать сообщение о подделки записей кэша DNS при открытии страниц в браузере.
Все рекомендации на странице http://forum.esetnod32.ru/forum9/topic3998 выполняю регулярно.
Пример журнала файервола:
30.01.2013 14:21:32 Обнаружена атака путем подделки записей кэша DNS 213.87.75.99:53 192.168.1.100:50600 UDP
30.01.2013 14:21:30 Обнаружена атака путем подделки записей кэша DNS 213.87.75.99:53 192.168.1.100:50600 UDP
30.01.2013 14:21:28 Обнаружена атака путем подделки записей кэша DNS 213.87.75.99:53 192.168.1.100:50600 UDP
30.01.2013 14:21:26 Обнаружена атака путем подделки записей кэша DNS 213.87.72.155:53 192.168.1.100:50600 UDP
30.01.2013 14:21:24 Обнаружена атака путем подделки записей кэша DNS 213.87.72.155:53 192.168.1.100:50600 UDP
30.01.2013 14:21:22 Обнаружена атака путем подделки записей кэша DNS 213.87.72.155:53 192.168.1.100:50600 UDP

Мой провайдер МТС, модем Huawei E303. Причем, как я понимаю, атаки происходят от провайдера МТС с IP из диапазонов 213.87.75.96 - 213.87.75.255 и 213.87.72.0 - 213.87.75.95.
Сканировал компьютер различными программами mbam, AVZ и тд. Результат- система чиста. Обращался в техподдержку МТС - безрезультатно.
Решился на крайние меры: преразбил жесткий диск, переставил Windows, а проблема осталась. Помогите докопаться до истины.
 
santy
santy
Администратор
Сообщений: 17635
Баллов: 14108
Регистрация: 16.03.2010
Размещено 30.01.2013 14:09:44
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
marshal64
marshal64
Пользователь
Сообщений: 1023
Баллов: 818
Регистрация: 16.03.2010
Размещено 30.01.2013 16:20:04
Если лог будет чистым, и проблем с интернетом нет, то просто отключите уведомления.
А вообще, можно почитать следующее:
http://forum.esetnod32.ru/forum9/topic5130/
пункт 9
 
Lexx766
Lexx766
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 30.01.2013
Размещено 30.01.2013 17:30:18
Образ автозапуска прилагаю.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 30.01.2013 19:16:51
Доброго времени суток!

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

exec C:\PROGRAMDATA\ASUS\AI SUITE II\SETUP.EXE
regt 3
regt 18
deltmp
delnfr
restart
И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

Во время выполнения скрипта будет удалена программа AI SUITE II

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа
 
Lexx766
Lexx766
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 30.01.2013
Размещено 31.01.2013 09:43:35
Спасибо за совет.
Программу Asus AI Suite снес. Посмотрим как будут развиваться события.
Лог MBAM прилагаю.

P.S. Что бы удовлетворить моё любопытство, скажите пожалуйста, что противозаконного делала эта утилита?
 
Валентин
Валентин
Администратор
Сообщений: 5146
Баллов: 4126
Регистрация: 12.05.2010
Размещено 01.02.2013 11:28:18
Лог чистый. Программа проявляла сетевую активность, которая по неким причинам воспринималась файерволом, как атака. Сообщения в журнале больше не появляются? Если нет - тему закрываем.
ESET Technical Support
 
Lexx766
Lexx766
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 30.01.2013
Размещено 01.02.2013 21:25:58
Благодарю за помощь. Сообщения об подделки записей кэша DNS больше не появляются.
 
1
Читают тему (гостей: 1)