в сети вирус, или только меня атакуют? - 192.168.35.8:15544/x

[Улитка]

в течение последней недели с периодичнеостью в 30-40 минут выскакивает сообщение от NOD и не только, что на комп производится атака с 192.168.35.8:15544/x
Объясните пожалуйста мне, "чайнику", что за фигня? как с этим бороться? Если это какой-то вирус, то его надо, я так думаю, общими силами истреблять?

NOD пишет дословно следующее:
ФАЙЛ:192.168.35.8:15544/x
ВИРУС: вероятно модифицированный win32/Static приложение

заранее спасибо

На компьютере стало просто невозможно работать - после того, как начали выскакивать эти предупреждения, он начал тормозить, и периодически виснуть.

[AntonFox]

фаервол/брендмауэр есть? Если нет - поставь и будет все тихо.
Если есть - настрой.
Общими усилиями не получиться, поскольку некоторые личности вообще только инетом пользуются и про локальные форумы и прочую приятность даже не слышали.
Кроме того, есть люди которым все по барабану - если система упала, то они переставляют ее, ставят контру (или че нить типа того) и играют дальше, не заморачиваясь на установку антивирей и прочей софтины для безопасности.

[Главарь]

у меня такое же происходит с недавних пор, хотя замедления скорости работы компьютера не заметил.

[Улитка]

AntonFox, спасибо!
файрвол стоит - outpost... и вроде бы даже настраивал его, но всё равно эта шняга лезет. Её ловит Nod32 v.2.75... но он замучал предложениями разорвать связь с этим адресом, и ещё - переустановка винды не помогла. вот так.

попробую покопаться в настройках ещё.

а вообще можно как-нибудь отследить чей это комп? может кого-то из тех, кто сидит в хабе?
Сообщения объединены: 31 марта 2009, 10:42:26
а теперь ещё грустнее. Пока писал предыдущий ответ атаки происходили 3 раза, все три раза с разных адресов.

192.168.41.86:1237/х

другие не записал...

[Human-oid]

файрвол стоит - outpost... и вроде бы даже настраивал его, но всё равно эта шняга лезет. Её ловит Nod32 v.2.75... но он замучал предложениями разорвать связь с этим адресом, и ещё - переустановка винды не помогла. вот так.

может стоит для начала обновить нод? уже 4 вышел (http://forum.from63.ru/index.php?topic=12167.msg254729#msg254729)

[AntonFox]

Кстати, у меня вот такая бодяга была - http://forum.from63.ru/index.php?topic=12167.msg214343#msg214343
Два дня фаервол и Нод меня доставали - НОД все куда-то ломился, потом затих и все. Уже несколько месяцев тишина.
А когда стоял на компе Каспер - тот вообще иногда кричал что порты сканят, его бедного атакуют. Причем в айпишниках были такие.... Например Диггер и Кеньти. Диггера в тот раз не поймал, а вот Кеньти сразу написал, он грит " я сижу - фильм смотрю". Очень сомневаюсь, что Кеньти или Диггер такими вещами занимаются или что у них на компе вирь живет и так нахально себя ведет.
Вполне возможно какая-то прога шалит. Например ХоумСеарч или ФТП сканер Диггера шарят по определенным портам в поисках нужного им (игровой сервер, шара, фтп), а антивирь с ума сходит.

Кстати прошарил я все по своим базам и не нашел такого ИП (192.168.35.. Вполне возможно что это новичек и у него полно вирей на компе.

192.168.41.86 - есть тут у нас в сети, часто появляется. Надеюсь сам прочтет и отпишется в ветку или лично.
Однако если с разных мест - скорее всего глюк какой-нить.

[Vader]

Кстати прошарил я все по своим базам и не нашел такого ИП (192.168.35.8). Вполне возможно что это новичек и у него полно вирей на компе.

Нет. Из этого сегмента более 100 человек.

[AntonFox]

Нет. Из этого сегмента более 100 человек.

Не понял? Какая связь? Хоть тысяча! Этот ИП не засветился на форуме, да и вообще практически нигде его не видел вроде. А вот других людей из этого сегмента видел, причем некоторые тут уже не первый год. Поэтому вполне возможно что новичек.

[Vader]

Не понял? Какая связь? Хоть тысяча!

Ну да, создали сначала IP до 35.xxx, а потом вдруг 35.8 решили выделить.

[Улитка]

Human-oid, я знаю что появляются новые версии NOD, но смысла обновляться нек вижу никакого:
1) устанавливал 3 - он не видит половины того, что видит 2. По какой причине, но это так одна и та же флешка проверенная 3 ничего не содержала, проверенная 2 - содержала вирусы. Это замечено неоднократно и не только мной.
2) насколько я знаю над антивирусными базами работает одна и таже команда разработчиков, и обновления для 2 продолжают создавать => базы одинаковы. А раз так, зачем отказываться от привычного второго НОДА, который, к тому же, меня полностью устраивает в функциональном плане - ничего лишнего.

файрвол OUTPOST не спасает, так как атаки идут с разных адресов. я ЗАМУЧАЛСЯ нажимать кнопку для блокирования атак.

Вполне возможно какая-то прога шалит. Например ХоумСеарч или ФТП сканер

я перестал записывать с каких адресов это идёт. Но не думаю, что это шалящая прога... слишком много адресов. это какой-то вирус, и он, по-видимому, расползается..

и ещё один вопрос - где можно посмотреть описание вируса?
на viruslist.com, virusinfo.info - нет
ueuk? яндекс - тоже ни чего не находят.

[digger]

файрвол OUTPOST не спасает, так как атаки идут с разных адресов. я ЗАМУЧАЛСЯ нажимать кнопку для блокирования атак.

"OUTPOST не спасает, так как атаки идут с разных адресов" - смиялсо.
Это что ж за файрволы такие дурацкие, что спасают только от атаки с одного адреса и в которых нужно постоянно нажимать кнопки.

По-моему, даже стандартный виндовый файрвол может молча резать все что не разрешено.

[AntonFox]

Диггер хотел сказать, что если во всех этих атаках есть закономерность, то можно выделить ее в отдельное правило и сказать чтоб Аутпост реагировал согласно этому правилу и не задавал глупых вопросов. Это раз.
Второе. Там же (на окне извещении об атаке) должно быть место для галочки, которую если поставить, то он НЕ будет выдавать впредь такие сообщения. Правда это сработает только если он знает что делать в этой ситуевине. А чтоб знал - смотри пункт первый.

Далее. Вадер, ты в курсе что при подключении оставляли много адресов "про запас"? Вот например в одном доме подключился один человек, а во втором человек 50! И что, у первого будет ИП 35.1, а второй дом начнется с 35.2? Вряд ли, оставят наверняка несколько адресов на всяк случай, тем более что времена громадных сегментов прошли и сейчас наверное самый большой сегмент не содержит 100 компов и более. Вроде как-то слышал цифру 30 компов в сегменте, но не уверен.
А еще учти что 30.8 мог быть из тех, кто пользуется только инетом и в локалке не светился, а затем и вовсе ушел из Шанхая. На его место пришел новичек, которому дали этот же ИП...

[Human-oid]

Human-oid, я знаю что появляются новые версии NOD, но смысла обновляться нек вижу никакого:
1) устанавливал 3 - он не видит половины того, что видит 2. По какой причине, но это так одна и та же флешка проверенная 3 ничего не содержала, проверенная 2 - содержала вирусы. Это замечено неоднократно и не только мной.
2) насколько я знаю над антивирусными базами работает одна и таже команда разработчиков, и обновления для 2 продолжают создавать => базы одинаковы. А раз так, зачем отказываться от привычного второго НОДА, который, к тому же, меня полностью устраивает в функциональном плане - ничего лишнего.

мб новый нод не будет также бредить и придумывать отаки?

[ultra]

Вот эта гадость на работе всю сеть положила ... жуть.

В связи с большим количеством обращений пользователей Лаборатория Касперского подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup. С комментариями выступил Виталий Камлюк, ведущий антивирусный эксперт Лаборатории Касперского.

Что такое Kido?

Вредоносная программа Kido представляет на данный момент серьезную угрозу для всего интернет-сообщества. Миллионы компьютеров, зараженных Kido, потенциально могут стать самым мощным ресурсом киберпреступников в Интернете. Эта вредоносная программа впервые была детектирована в ноябре 2008 года. Ее активизация ожидается 1 апреля: ботнет Kido начнет искать центр управления среди 50 000 доменов в день (ранее он подключался лишь к 250 доменам) и загружать на компьютеры пользователей новые версии других вредоносных программ. Последующие за этим действия злоумышленников на настоящий момент не поддаются прогнозированию.

В чем опасность Kido?

Таким образом, созданная авторами Kido гигантская зомби-сеть (ботнет) потенциально может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).

До последнего времени Kido распространялся через компьютерные сети и сменные носители информации. В частности, он проникал на компьютеры, используя критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года. По мнению экспертов, на значительной части машин патч не был установлен на момент пика распространения Kido в январе.

Этот фактор, а также игнорирование эффективной антивирусной защиты и привели к эпидемии: в настоящее время различными версиями Kido заражены, по меньшей мере, от 5 до 6 миллионов компьютеров, имеющих доступ в сеть Интернет. В последних версиях Kido отсутствует явная возможность самораспространения. Программа лишь пытается "укрепиться" на уже зараженных компьютерах.

В Kido реализованы самые современные технологии вирусописателей - например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д.

Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.

Как избежать заражения вредоносной программой Kido?

Продукты Лаборатории Касперского успешно блокируют проникновение всех версий Kido на компьютеры пользователей. Проверьте, что автоматические обновления не отключены и, в том случае, если у вас есть подозрение, что Kido уже мог проникнуть на компьютер, выполните сканирование всего компьютера с помощью Антивируса Касперского. Своевременная установка патчей для ликвидации уязвимости MS08-067, безусловно, является обязательной мерой для предотвращения заражения, однако установленное решение Kaspersky Internet Security не позволит использовать уязвимость даже на непропатченной операционной системе.

Как понять, что произошло заражение сети или компьютера?

При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Если вы подозреваете заражение своего компьютера, попробуйте открыть браузер и перейти на произвольную страничку любимого поискового движка. Если страница открылась - попытайтесь загрузить www.kaspersky.com или www.microsoft.com. Если этого сделать не удалось - то доступ к сайтам, скорее всего. блокирует вредоносная программа.

Я - администратор локальной сети. Как мне быстрее и удобнее всего локализовать проблему?

Удаление сетевого вредоносной программы производится с помощью специальной утилиты KKiller.exe. С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
- Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001.

- Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

- Отключить автозапуск исполняемых файлов со съемных носителей.

- Остановить службу Task Scheduler (Планировщик Задач) в Windows.

Удаление вредоносной программы Kido утилитой KKiller.exe необходимо производить локально на зараженном компьютере.

Как бороться с Kido обычному пользователю домашнего компьютера?

Скачайте архив KKiller_v3.4.1.zip (http://data2.kaspersky-labs.com:8080/special/KKiller_v3.4.1.zip) и распакуйте его в отдельную папку на зараженной машине. Запустите файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y. Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KKiller.exe, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

[Vader]

Далее. Вадер, ты в курсе что при подключении оставляли много адресов "про запас"? Вот например в одном доме подключился один человек, а во втором человек 50! И что, у первого будет ИП 35.1, а второй дом начнется с 35.2? Вряд ли, оставят наверняка несколько адресов на всяк случай, тем более что времена громадных сегментов прошли и сейчас наверное самый большой сегмент не содержит 100 компов и более. Вроде как-то слышал цифру 30 компов в сегменте, но не уверен.
А еще учти что 30.8 мог быть из тех, кто пользуется только инетом и в локалке не светился, а затем и вовсе ушел из Шанхая. На его место пришел новичек, которому дали этот же ИП...

У меня IP заканчивается на 29, у друга из соседнего дома на 27. Подключали нас с разницей в две недели. Так что адреса выдаются линейно. Хотя, от тахиона можно что угодно ожидать.

"Вроде как-то слышал цифру 30 компов в сегменте, но не уверен." - ну да, ты бы хоть стат посмотрел в том же форуме. Благо, твоя группа "супермодератор" тебе это позволяет.

И еще, пожалуйста: если не можешь адекватно сделать транскрипцию моего ника, делай ctrl+c, ctrl-v английского аналога.