Обнаружена уязвимость скрытого канала в ICMP-пакете - Форум технической поддержки ESET NOD32

Сообщений: 5

Баллов: 2

Регистрация: 30.03.2013

Размещено 31.03.2013 00:44:56

Ув. модератор, такая же проблема, "обнаружена уязвимость скрытого канала в ICMP-пакете", удаленный IP-адрес 77.87.180.226. В приложении образ автозапуска. Помогите пожалуйста.

MICROSOF-E96C4C_2013-03-30_00-36-14.7z (419.86 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.03.2013 08:14:18

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE setdns Hamachi\4\{019D12BC-12A6-4308-A594-A8157B5763E2}\ delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML delref HTTP://XTREME.WS/ deltmp delnfr delref HTTP://FIREFOX.YANDEX.RU/ EXEC cmd /c"ipconfig /flushdns" exec "C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\UNINS000.EXE" exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} exec MSIEXEC.EXE /quiet /I{3248F0A8-6813-11D6-A77B-00B0D0160060} restart

Код

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
setdns Hamachi\4\{019D12BC-12A6-4308-A594-A8157B5763E2}\
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
delref HTTP://XTREME.WS/
deltmp
delnfr
delref HTTP://FIREFOX.YANDEX.RU/
EXEC cmd /c"ipconfig /flushdns"
exec "C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\UNINS000.EXE"
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216020FF}
exec MSIEXEC.EXE /quiet /I{3248F0A8-6813-11D6-A77B-00B0D0160060}
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 30.03.2013

Размещено 31.03.2013 16:07:02

После выполнения скрипта и перезагрузки ПК проблема осталась. Быструю проверку проверку системы в малваребайт делал вчера. Результат был следующий:mbam-log-2013-03-30 (22-51-25).txt (3.1 КБ)
Результат сегодняшней проверки в малваребайт:
MBAM-log-2013-03-31 (14-28-08).txt (2.34 КБ)

Само сообщение про уязвимость скрытого канала в ICMP-пакете возникает закономерно. Пару дней назад я установил ПО PokerStars.net. Зарегистрировал нового пользователя. Указанное выше сообщение систематично появляется каждый раз после авторизации в ПО PokerStars.net. (см.приложение)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.03.2013 16:36:44

сделайте проверку в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 30.03.2013

Размещено 31.03.2013 21:57:41

отчет по результату поиска в приложении:
AdwCleaner[R1].txt (8.79 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 31.03.2013 22:02:21

В программе нажать на кнопку DELETE
Пк перезагрузится.

Сообщений: 5

Баллов: 2

Регистрация: 30.03.2013

Размещено 31.03.2013 23:08:49

после удаления ПК перезагрузился. При загрузке автоматически сформировался новый отчет:
AdwCleaner[S1].txt (8.67 КБ)
после этого результат повторной проверки в AdwCleaner:
AdwCleaner[R3].txt (1.34 КБ)

Запустил ПО PokerStars. После ввода логина и пароля сообщение об уязвимости моментально появилось:

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 31.03.2013 23:12:41

http://forum.esetnod32.ru/forum9/topic5130/
Пункт 5.4 внести адрес который у Вас появляется. Это адрес сервера покера.

Сообщений: 5

Баллов: 2

Регистрация: 30.03.2013

Размещено 01.04.2013 22:53:33

Спасибо. Сообщение об уязвимости более не тревожит.

[ Закрыто ] Обнаружена уязвимость скрытого канала в ICMP-пакете