Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Много странных соединений microsoft-ds (вирус?)

Автор: OkeaH
Дата сообщения: 17.02.2009 00:24
Подскажите при просмотрете netstat вижу около сотни подобных соединений.
Просканировал все каспером никаких вирусов нет, но не может же быть столько соединений в нормальном режиме.
Может кто сталкивался с подбным.

TCP a3:3979 103.14.209.105:microsoft-ds SYN_SENT
TCP a3:3980 138.123.59.105:microsoft-ds SYN_SENT
TCP a3:3981 207.102.64.63:microsoft-ds SYN_SENT
TCP a3:3982 214.121.253.39:microsoft-ds SYN_SENT
TCP a3:3983 40.87.49.74:microsoft-ds SYN_SENT
TCP a3:3984 h75.132.117.75.dynamic.ip.windstream.net:microso
ft-ds SYN_SENT


Система winxp sp2
Автор: Cheery
Дата сообщения: 17.02.2009 00:26
OkeaH

Цитата:
но не может же быть столько соединений в нормальном режиме.
Может кто сталкивался с подбным.

теоретически - нет.. практически.. могли и что то новое подхватить.
не пробовали netstatn -anb
? укажет и приложение или с помощью tcpview утилиты
Автор: Dgek17
Дата сообщения: 17.02.2009 00:35
spam_detected
Автор: Cheery
Дата сообщения: 17.02.2009 00:39
Dgek17
Предлагаю пойти подальше с форума со своей рекламой.
Автор: 01pump
Дата сообщения: 17.02.2009 06:20
OkeaH
Может быть и спамбот и руткит сидеть. Если новая модификация и его нет в базе антивиря, то он его не видит.
Возможно я уже сталкивался с подобной проблемой, решал через avz
Автор: OkeaH
Дата сообщения: 17.02.2009 10:40
Как только появляется сеть сразу резко увеличивается количество процессов svchost.exe




netstat -anb
[more] Имя Локальный адрес Внешний адрес Состояние PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1184
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
-- неизвестные компоненты --
[svchost.exe]

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
[Система]

TCP 0.0.0.0:1110 0.0.0.0:0 LISTENING 1796
[Система]

TCP 0.0.0.0:3050 0.0.0.0:0 LISTENING 684
[ibserver.exe]

TCP 0.0.0.0:7277 0.0.0.0:0 LISTENING 1224
[svchost.exe]

TCP 0.0.0.0:19780 0.0.0.0:0 LISTENING 1796
[Система]

TCP 127.0.0.1:1033 0.0.0.0:0 LISTENING 992
[alg.exe]

TCP 169.254.170.243:139 0.0.0.0:0 LISTENING 4
[Система]

UDP 0.0.0.0:4500 *:* 760
[lsass.exe]

UDP 0.0.0.0:500 *:* 760
[lsass.exe]

UDP 0.0.0.0:445 *:* 4
[Система]

UDP 127.0.0.1:1900 *:* 1304
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP 127.0.0.1:123 *:* 1224
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
-- неизвестные компоненты --
[svchost.exe]

UDP 127.0.0.1:1025 *:* 1224
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\WININET.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP 169.254.170.243:137 *:* 4
[Система]

UDP 169.254.170.243:138 *:* 4
[Система]

UDP 169.254.170.243:1900 *:* 1304
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP 169.254.170.243:123 *:* 1224
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe] [/more]

Добавлено:
Виновник вроде найден
Прямое чтение C:\WINDOWS\system32\cqbdi.dll
C:\WINDOWS\system32\cqbdi.dll >>>>> Trojan-Downloader.Win32.Agent.aqfw удаление запрещено настройкой
Пойду поищу инфо по этому трояну
Автор: OkeaH
Дата сообщения: 17.02.2009 17:08
Итог у кого еще не установлено обновление MS08-067 в срочно порядке ставьте http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Нашел еще один экземпляр под видм картинки в c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\C3I7UJYV\jrzkchw[1].jpg

Инфо по файлу
MD5 d9cb288f317124a0e63e3405ed290765 размер файла 62976 байт
Касперский определяет его как Net-Worm.Win32.Kido.t

Описание: (по MD5 dll совпала с описание по ссылке 1 остальных файлов я у себя не нашел.)

1. http://www.anti-malware.ru/node/987

2.
[more]
Worm:Win32/Conficker    15:52
Компания Microsoft предупреждает пользователей операционных систем Windows об эпидемии нового вируса под названием Worm:Win32/Conficker.A. Всем тем, кто пользуется службами обновления в ручном режиме, рекомендуется запустить скачивание последних «заплаток» защиты. Вирус заражает корпоративные Сети, но не брезгует и компьютерами обычных пользователей. Какую конкретно опасность несет новый вредоносный код, нам не сообщают – все тонкости взаимодействия «червя» с зараженным компьютером пока не выявлены.


Сетевой червь, эксплуатирующий уязвимость, описанную в бюллетене MS08-067. Червь может также загружать и выполнять произвольные файлы.

При запуске, червь Win32/Conficker.A создает копию в директории %System% с произвольным именем. Win32/Conficker.A c проверяет использует ли зараженная машина Windows 2000. Если да, то червь внедряет свой код в процесс services.exe.

Если операционная система отлична от Windows 2000, червь создает службу со следующими характеристиками:


Имя службы: netsvcs
Путь к файлу: %System%\svchost.exe -k netsvcs

Также создает следующий ключ реестра:

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\<worm executable filename>.dll"

Win32/Conficker.A подключается к домену trafficconverter.biz и пытается загрузить и выполнить следующие файлы:

trafficconverter.biz/<censored>/loadadv.exe
[/more]
Автор: Cheery
Дата сообщения: 17.02.2009 18:07
OkeaH

Цитата:
Касперский определяет его как Net-Worm.Win32.Kido.t

Эпидемия Net-Worm.Win32.Kido.dz
Автор: OkeaH
Дата сообщения: 18.02.2009 11:45
Cheery
Спасибо за ссылку.

Кстати, глянул лог Firewall за промежуток в 4 часа, ко мне стучалось 22 хоста:
(С одного из аж 53 обращения. )

Кол-во обращений    Порт
122     445
40     135
8     139
2 2967




Страницы: 1

Предыдущая тема: Сломал службу терминалов в Windows Vista

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.