Перейти к содержимому

George

Пользователи
  • Публикации

    10
  • Зарегистрирован

  • Посещение

Репутация

0 Обычный

О George

  • Звание
    Новичок
  • День рождения 30.04.1959

Контакты

  • Сайт
    http://
  • ICQ
    0

Информация

  • Пол
    Мужчина
  • Город
    Керчь
  1. 17 Июл 2008 14:14:22 Заголовок сообщения: Технические работы в Клубе -------------------------------------------------------------------------------- Уважаемые члены Клуба! В ближайшие несколько дней возможны нестабильная работа форума и трекера. Кроме того, есть риск того, что Клуб будет в течение некоторого времени недоступен. Мы постараемся перенести периоды недоступности на ночные часы, чтобы большинство из вас этого даже и не заметило. Однако, если Вы все-таки столкнетесь с проблемами, не беспокойтесь, мы проводим плановые технические работы. Если у Вас не получается зайти в Клуб, попробуйте сделать это через несколько минут, а мы постараемся сократить перерывы в работе к минимуму. Мы рассчитываем, что к понедельнику 21 июля 2008 года все технические вопросы будут решены и работоспособность будет не только восстановлена, но и еще улучшена. Приносим свои извинения. Надеемся на Ваше понимание. -------------------------------------------------------------------------------- Администрация клуба
  2. Хм...

    Насколько я понимаю, мы имеем дело с arp-атаками, организуемыми троянами, гуляющими у нас по сети. Нашел кое-что по этому поводу: ------------------------------------------------------------------------------------------ Протокол ARP и атаки с его использованием. — Vano™ (05.12.2007, 02:30) Добавить пост в: Из-за недавных событий и всё что происходит в сетях , а также конкретно происходящие с сети Норком ( в какойто мере данная тема затрагивает их дистрофию опыта и знаний ), Поченму именно Норком ? об этом я напишу в самом конце а также подарю им пару советов. А для начала немного теории об ARP ведь именно он затрагивает так сказать дыру безопасности в любой сети. Благо умное оборудование предупреждает Switch History Log Sequence Time Log Text 465 2007-12-05, 00:36:48 Possible spoofing attack from 00-40-F4-B6-12-96 port 1:21 464 2007-12-05, 00:36:45 Possible spoofing attack from 00-40-F4-B6-12-96 port 1:21 463 2007-12-05, 00:36:41 Possible spoofing attack from 00-40-F4-B6-12-96 port 1:21 462 2007-12-05, 00:36:37 Possible spoofing attack from 00-40-F4-B6-12-96 port 1:21 461 2007-12-05, 00:36:33 Possible spoofing attack from 00-40-F4-B6-12-96 port 1:21 460 2007-12-05, 00:36:30 Possible spoofing attack from 00-40-F4-B6-12-96 port 1:21 да я не поленился выкинуть лог с реальным маком ( если честно достал , но об этом он и не догадывается у него просто вирус) именно в таком виде я наблюдаю подобную картину каждый день. Ну а теперь немного теори собраной с разных WIKI про ARP и атаки. ( если вам лень понимать что пишется, не торопитесь закрывать браузер всё самое интересное еще в переди ) ARP-spoofing (ARP-poisoning) — техника сетевой атаки применяемая преимущественно в Ethernet, но возможная и в других, использующих протокол ARP сетях, основанная на использовании недостатков протокола ARP и позволяющая перехватывать трафик между узлами, которые расположены в пределах одного широковещательного домена. В статье детально описана техника атаки ARP-spoofing, рассмотрены такие методы обнаружения и предотвращения ARP-атак,использование VLAN и PPPoE. Что такое и для чего нужен ARP Протокол ARP предназначен для преобразования IP-адресов в MAC-адреса. Чаще всего речь идёт преобразовании в адреса Ethernet, но ARP используется и в сетях других технологий: Token Ring, FDDI и других. Дополнительная информация: Address Resolution Protocol — страница в WikipediA RFC 826 — описание стандарта ARP Алгоритм работы ARP Протокол может использоваться в следующих случаях: Хост A хочет передать IP-пакет узлу B, находящемуся с ним в одной сети; Хост A хочет передать IP-пакет узлу B, находящемуся с ним в разных сетях, и пользуется для этого услугами маршрутизатора R. В любом из этих случае узлом A будет использоваться протокол ARP, только в первом случае для определения MAC-адреса узла B, а во втором — для определения MAC-адреса маршрутизатора R. В последнем случае пакет будет передан маршрутизатору для дальнейшей ретрансляции. Далее для простоты рассматривается первый случай, когда информацией обмениваются узлы, находящиеся непосредственном в одной сети. (Случай когда пакет адресован узлу находящемуся за маршрутизатором отличается только тем, что в пакетах передаваемых после того как ARP-преобразование завершено, используется IP-адрес получателя, но MAC-адрес маршрутизатора, а не получателя.) Проблемы ARP Протокол ARP является абсолютно незащищённым. Он не обладает никакими способами проверки подлинности пакетов: как запросов, так и ответов. Ситуация становится ещё более сложной, когда может использоваться самопроизвольный ARP (gratuitous ARP). Самопроизвольный ARP — такое поведение ARP, когда ARP-ответ присылается, когда в этом (с точки зрения получателя) нет особой необходимости. Самопроизвольный ARP-ответ это пакет-ответ ARP, присланный без запроса. Он применяется для определения конфликтов IP-адресов в сети: как только станция получает адрес по DHCP или адрес присваивается вручную, рассылается ARP-ответ gratuitous ARP. Самопроизвольный ARP может быть полезен в следующих случаях: Обновление ARP-таблиц, в частности, в кластерных системах; Информирование коммутаторов; Извещение о включении сетевого интерфейса. Несмотря на эффективность самопроизвольного ARP, он является особенно небезопасным, поскольку с его помощью можно уверить удалённый узел в том, что MAC-адрес какой-либо системы, находящейся с ней в одной сети, изменился и указать, какой адрес используется теперь. Подробнее: Gratuitous_ARP на wiki.wireshark.org ARP-spoofing До выполнения ARP-spoofing'а в ARP-таблице узлов A и B существуют записи с IP- и MAC-адресами друг друга. Обмен информацией производится непосредственно между узлами A и B. (зелёная стрелка) В ходе выполнения ARP-spoofing'а компьютер C, выполняющий атаку, отправляет ARP-ответы (без получения запросов): узлу A: с IP-адресом узла B и MAC-адресом узла C; узлу B: с IP-адресом узла A и MAC-адресом узла C. В силу того что компьютеры поддерживают самопроизвольный ARP (gratuitous ARP), они модифицируют собственные ARP-таблицы и помещают туда записи, где вместо настоящих MAC-адресов компьютеров A и B стоит MAC-адрес компьютера C. (красные стрелки) После того как атака выполнена, когда компьютер A хочет передать пакет компьютеру B, он находит в ARP-таблице запись (она соответствует компьютеру C) и определяет из неё MAC-адрес получателя. Отправленный по этому MAC-адресу пакет приходит компьютеру C вместо получателя. Компьютер C затем ретранслирует пакет тому, кому он действительно адресован — т.е. компьютеру B. (синие стрелки) Методы обнаружения Программа arpwatch отслеживает всю ARP-активность на указанных интерфейсах. Когда она замечает аномалии, например, изменение MAC-адреса при сохранении IP-адреса, или наоборот, она сообщает об этом в syslog. XArp — аналог arpwatch для Windows remarp — аналог arpwatch, работающий через SNMP * ArpStar — система автоматического обнаружения и предотвращения ARP-spoofing'a; возможно восстановление ARP-таблицы заражённых узлов Методы предотвращения Одностороняя атака Если нужно перехватить трафик, который уходит с какого-то узла в сети во внешнюю сеть, атаковать нужно узел и шлюз сети. Однако на шлюзе средство обнаружения ARP-spoofing'а может присутствовать с намного более высокой вероятностью, чем на узле. Поскольку нас интересует трафик, который узел отправляет в сеть, достаточно модифицировать ARP-таблицу только узла и не рисковать быть замеченным шлюзом. Данные, которые шлюз отправляет узлу будут проходить напрямую, а данные, которые узел отправляет шлюзу будут проходить через систему злоумышленника. (как на шлюзе, так и на узле можно было бы отследить, что на пакетах приходящих от узла MAC-адреса отличаются от тех, что записаны у него в ARP-таблице, т.е. что пакеты отправляются на один MAC-адрес, а приходят с другого. Но вот какие системы это делают?) Борьба с ARP-spoofing'ом с помощью arpwatch и подобных инструментов оказывается хотя и очень простой, но далеко не эффективной. Во-первых, для того чтобы зафиксировать атаку, на защищаемых узлах должна работать программа arpwatch (или аналогичная). В том случае если она запущена только на одном из двух узлов, подвергающихся ARP-spoofing'у, существует возможность незамеченной односторонней атаки. Во-вторых, и это более важно, arpwatch позволяет только зафиксировать атаку, но он не в состоянии её предотвратить. Для предотвращения последствий атаки необходимо вмешательство администратора или внешней системы. В первом случае между обнаружением и реакцией администратора может пройти слишком много времени. Во втором вмешательство не требуется, реакция выполняется автоматически: как только ARP-аномалия зафиксирована, определяется порт коммутатора, к которому подключён источник аномалии, и порт блокируется до выяcнения. Однако, такой подход имеет большой недостаток -- он может быть использован для выполнения DOS атаки: достаточно только узнать MAC адрес компьютера, который надо отключит от сети, и сымитировать атаку с этого компьютера. Дальше наша система обнаружения и предотвращения ARP-spoofing'а все сделает сама. В основе рассматриваемых способов противодействия ARP-атакам лежат два совершенно раличных принципа, каждый из которых обладает как достоинствами, так и недостатками. Оба способа, помимо того что они надёжно защищают от ARP-spoofing'а имеют ещё то преимущество, что позволяют полностью контролировать трафик -- не только тот, что проходит через шлюз, но и тот, который циркулирует между машинами (В случае использования PPPoE машины могут по взаимному согласию обмениваться данными между собой напрямую. В случае использования VLAN такой возможности они лишены напрочь.) Статический ARP Можно бороться со слабостями протокола ARP кардинально -- просто не использовать его. ARP-таблицу можно сформировать вручную, при этом она становится неуязвимой к ARP-атакам. Для этого нужно добавить необходимые MAC-адреса в таблицу. Если при этом отключить использование ARP на сетевых интерфейсах, то доступны будут только те системы, (1) MAC-адреса которых добавлены в ARP-таблицу нашего узла и (2) наш MAC-адрес добавлен в ARP-таблицы узлов, с которыми производится обмен трафиком. Если не отключать использование ARP на сетевых интерфейсах, MAC-адрес заданный статически имеет приоритет. Если MAC-адрес для какого-то IP-адреса не задан, используется ARP-запрос. Преимущества и недостатки Метод ручного формирования ARP-таблиц имеет следующие недостатки: добавляется много рутинной работы, связанной с добавлением и модификацией MAC-адресов. Каждое изменение в сети, связанное с заменой или перестановкой сетевых карт, должно сопровождаться редактирование ARP-таблиц в файлах. клиентские узлы остаются по-прежнему уязвимыми к ARP-spoofing'у. Другие методы борьбы с ARP-spoofing'ом К сожалению, этот метод не применим к Windows-системам, и другим системам, работающим под управлением ОС, исходный код которых недоступен. Необходимо решить проблему кардинально: нужно так построить сеть, чтобы выполнение ARP-spoofing'а в ней было принципиально невозможно. А если возможным, то бесполезным. Это можно сделать двумя способами: Ограничить для каждого узла широковещательный домен до уровня двух узлов: самого узла и ближайшего шлюза. подробнее. Почему атаку невозможно выполнить в этом случае. Тогда атаку просто некому выполнять -- нужен третий. А его нет. Сделать так чтобы все, абсолютно все, передаваемые в сети данные были зашифрованы и прослушивание этих данных, ни к чему бы не привело. Любое же изменение данных, в случае возникновения, сразу же обнаружено. То есть, фактически сеть должна быть такой же и безопасной при использовании вместо коммутатора концентратора. Первый способ делается с помощью VLAN'ов. Второй -- с помощью PPPoE. Использование VLAN Основная статья: VLAN Компьютер C может использовать ARP-spoofing против компьютера A только в том случае, если они находятся в одной сети канального уровня. В том случае, если они разделены маршрутизатором, атака невозможна (возможна атака на маршрутизатор, но это совсем другое дело). VLAN'ы помогают сегментировать сеть -- превратить одну сеть в множество изолированных на канальном уровне фрагментов, которые соединены между собой маршрутизатором. Атака ARP-spoofing возможна только между компьютерами находящимися в одном VLAN'е. В наиболее крайнем случае, когда в каждом VLAN'е находится только два компьютера: собственно компьютер и маршрутизатор, атака ARP-spoofing становится невозможной в принципе. К сожалению, такая организация сети являются очень требовательной к ресурсам маршрутизатора и используется редко. Преимущества От клиента ничего не требуется. Он работает, как и работал. Если IP-адрес задан статически, необходима смена IP-адреса и сетевой маски. Данные не шифруются, и производительность не теряется. Малые потери на дополнительные поля в заголовке. Нельзя организовать обмен данными в обход шлюза между узлами в разных VLAN'ах. Если каждый узел находится в собственном VLAN'е такой обмен невозможен вообще. Недостатки Необходима поддержка VLAN'ов коммутатором. Необходимо потратить время на настройку VLAN'ов, дополнительную настройку DHCP'сервера. Данные не шифруются. Если их прослушивание каким-то образом удастся, то они могут быть прочтены и/или модифицированы. Использование PPPoE Основная статья: PPPoE Преимущества Данные шифруются Нет никаких требований к железу. Даже не обязательно чтобы сеть была коммутируемой Недостатки На клиенте требуется настройка доступа по PPPoE. На некоторых системах требуется инсталляция специального клиентского программного обеспечения. За счёт потерь на инкапсуляцию, снижается производительность сети. Если выполняется шифрование данных, то временные потери увеличиваются. При взаимном согласии сторон можно организовать обмен данными между узлами в обход шлюза. При большом количестве соединений PPPoE (>200) возрастает нагрузка на центральный процессор сервера. Иногда, приходится жертвовать шифрованием данных. Если будет большая нагрузка на сервер легче использовать PPTPd или IPsec Мифы и заблуждения, касающиеся ARP-spoofing ARP-spoofing можно предотвратить с помощью функции port-security коммутаторов Функция port-security коммутатора позволяет защититься от смены MAC-адреса на порту коммутатора. В том случае если компьютер, подключенный к порту коммутатора меняет MAC-адрес или если меняется компьютер, коммутатор замечает подмену и перестаёт передавать пакеты отправленные с новым обратным адресом. Кроме этого, могут выполняться другие действия: отсылка SNMP-трапа, запись в syslog и тому подобное. При ARP-spoofing'е MAC-адрес отправителя (атакующего) не меняется и поэтому с точки зрения port-security никаких аномалий нет. Функция port-security никак не отвечает за соответствие IP-адресов и MAC-адресов, а атака ARP-spoofing построена именно на этом. ARP cache poisoning Компьютер, связанный с IP/Ethernet сетью имеет два адреса. Глобально-уникальный MAC адрес для каждого сетевого интерфейса и логический IP адрес, назначенный программой. Протокол определения адресов (ARP protocol) формирует ассоциацию между этими двумя адресами. Когда компьютер должен послать пакет IP адресу, расположенному в той же самой сети, он пошлет широковещательное сообщение "ARP who has ?". Как показано на рисунке, владелец IP адреса отвечает со своим Ethernet адресом. Чтобы минимизировать широковещательные ARP запросы, операционные системы кэшируют ARP ответы. К сожалению, протокол определения адресов не поддерживает состояние подключения (stateless), и большинство операционных систем обновляет кэш при получении ARP ответа, независимо от того, отослали ли они фактический запрос. Посылая поддельные ARP ответы, атакующий может заставить операционную систему посылать фреймы, предназначенные одному компьютеру на другой компьютер. Этот процесс известен как "ARP Cache poisoning". В зависимости от операционной системы, отравление кэша может быть достигнуто восемью типами ARP сообщений со следующими свойствами: ARP сообщение послано в MAC broadcast или MAC unicast. Код операции может быть "ARP Who is" или "ARP Reply". ARP сообщение - допустимое сообщение или недопустимое (внедрение тех же самых IP адресов для источника и адресата) Согласно проведенным испытаниям на операционных системах Windows 9x, NT, 2000, XP, Solaris 8, Linux kernel 2.2 и 2.4, Cisco IOS 12, Nokia IPSO 3.5, существует не менее одного типа ARP сообщения, способного отравить кэш. Кроме того, на системах Windows (9x/NT/2K), статическая ARP запись может всегда быть перезаписана, используя фальшивое ARP сообщение. Обратите внимание, что из-за способа обработки MAC адреса на концентраторе, имитация источника MAC адреса приведет к тому, что злонамеренный пользователь некоторое время будет получать весь трафик, предназначенный подмененной системе, вызывая тем самым отказ в обслуживании на короткое время. IP Smart Spoofing Используя отравления ARP кэша, злонамеренный пользователь вставляет свой компьютер по пути связи от сервера к клиенту. Используя IP переадресацию, существующий трафик все еще направляется к клиенту. Конечно, ICMP Redirect должен быть заблокирован на компьютере злонамеренного пользователя. Наконец, SNAT (Source Network Address Translation) используется злонамеренным пользователем для обмана IP адреса клиента и установления нового подключение к серверу. После этого, злонамеренный пользователь может запустить любые стандартные сетевые приложения, чтобы подключиться к серверу, используя IP адрес клиента. Любое управление доступом, основанное на IP адресе клиента, будет успешно обойдено. Кроме того, существующий трафик не будет нарушен со стороны сервера, т.е. smart spoofing атака не может быть обнаружена. Воздействие Smart Spoofing Сетевые устройства, типа маршрутизаторов или межсетевых защит часто используют фильтрацию по IP адресу источника. Эти правила могут быть обойдены с любого компьютера, расположенного на сетевом пути между авторизованным клиентом и межсетевой защитой. Например, в большинстве корпоративных сетей, подключенных к Internet через межсетевую защиту, только немногие из идентифицированных компьютеров могут непосредственно обращаться к интернету (внутренний прокси сервер, получение/отправка SMTP сообщений на прямую, и т.п). Используя smart spoofing, любой внутренний пользователь может обойти правила фильтрации. Тем же самым способом, приложение, доступ которого ограничен определенным IP адресам, может неправильно эксплуатироваться любым компьютером, расположенным на сетевом пути между авторизованным клиентом и сервером. Уязвимость может воздействовать на многие приложения, типа Apache ACL, r-commands, NFS, TCP Wrapper, ограниченные административные средства, и т.д Выводы Из-за проблем защиты в ARP протоколе и возможному smart spoofing нападению, ограничения доступа, основанные на IP адресе, могут неправильно эксплуатироваться. ( полностью как он работает расписывать не буду , однажды уже писал на форуме норкома , но пост так и не запостили , видемо посчитали ненужным). Сама суть работы проста вы на самом деле загружаете страницу не через шлюз , а через уязвимый компьютер в вашем сегменте. Ну а теперь самое интересное: Недавно появившейся и очень развитая разновидность вируса Trojan-Downloader.JS. Agent появившеяся в сетях использует метот spoofing'a, тем самым внедряя свой зловредный код в html страници которые просматривают другие. Немного дегтя в сеть Norcom : Не надо быть в их сети , хватает и простой логики и постепенным сбором информации чтобы понять всё что творится в их сети и где они допустили глупость. Глупости: Использование громадных сегметов с маской подсети 255.255.224.0 котороя может включать в себя 2 000 000 компьютеров ( нехиленький сегментик ) . Соответственно использование таких сегментов позволило норкому обойтись ими поминимуму ( всего их 3 или 4 у них ). Именно этот фактор позволяет легко использовать ARP атаки и плодится вирусу подобному Trojan-Downloader.JS. Agent. И на этом еще не всё их оборудование и каждый компьютер страдает от таких сегментов , т.к создаётся большой широковещательный шторм , который в своё время доставляется всем в сегменте проходя через все порты комутаторов ( даже те которые выключены , а потом спрашивают откуда у нас входящий трафик если компьютером не пользовался ), ну а все это сводится к завышенной нагрузке на оборудование ( отсюда и потери связи и большие пинги ). Работать в условиях НПР по бумагам и приказанием из Москвы, наверное это самая большая глупость т.к из неё посути вытекают все остальные. Работая по проектам зделаны не для наших условий Норком подвергся большинству неудачь и до сих пор наверное понять неможет как так ( вспомним прошлый год и фразу "хитрый пользователь"). Помните что здесь нет быстрого интернета заявленого на банерах, здесь сильно развиты внутресетевые ресурсы, траффик между пользователями во много раз превышает по меркам в любых других городах. Домашние сети уже давно не смотрят на проекты других сетей и городов ( и правельно делают) , каждый проект отрабатывается под определёные условия и много раз приходится всё менять. Использование хорошего оборудования не по назначению. Кто-то щас в уме подумал как-так не по назначению , обьясню что использовать оборудование с поддержкой вещей как ACL и не пользоватся этим просто маразм. А ну да из "глупости 2" вытекает сетевая защита как port-security ( см. Мифы и заблуждения, касающиеся ARP-spoofing) и защита MD5 которую любит использовать Норком. Обе защиты приносят больше неудобств чем защиты ( порт авторизованый по MD5 пропускает все пакеты и компьютеры пока авторизующийся комп в сети). Использование по промому назначению чуть ниже в советах. Нет квалифицированых рабочих ( я не про высшее образование, а про опыт и знание ). Данная глупость возникает из-за неправельного отбора рабочих , а также в некоторых случаях неправельной оценки знаний / зарплаты. Все мы когдато учились в разных заведениях , но всему чем там обучают в реальной жизне ненадо , приходится учить всё самому и набиратся опыта. Зачем знающему человеку терять своё время на обучение которое нечего не даст ?, чтобы получить корочки "тепрь у меня вышка" , или всёже потратить это время на самообучение не имея данных корочек и работать за сумму в двое больше на другую компанию. Несогласваность персонала и отделов в компании. Каждый отдел незнает что творится в соседнем отделе , ТП вобще не в курсе что происходит и соответсвенно незнает что отвечать абонентам с вопросами что творится. На этом можно пока список закончить , т.к его продолжать можно ещё долго. ( думаю еслиб работал у них , меня бы никто не послушал и наверное даже уволили , уж очень они не любят правды ) Ну и ладно ято я всё о плохом да о плохом , а давайте всё х плохое свяжем и дадим пару советов и озадачим рутиной работой и после подведём плюсики что будет. Советы для Norcom и для развивающихся сетей: Норком правельно поступает что пользуется нормальным оборудованием ( благо средства позволяют), не секрет что на уровне доступа стоят свичи Dlink DES-3526 который не только хорошо зарекомендовал себя в режиме работы второго уровня а также имеет ACL с возможностью работать с четвертым уровнем. Итак некоторые особености свичей 3526 и почему стоит уйти от порт-секюрити и MD5 ?, ответ прост правельно настроеный ACL перекроет возвожности и того и другова , а соответсвенно от первых небудет некакого толку и они будут тольк мешать. При помощи ACL можно зделать много вещей , в частности построить хорошо защищёную еть без всякого лишнего флуда. Вот вам создание правила (для 3526 и 3550 ) которые решит почти все проблемы ( ой и рутинной работы у админа будет, мне проще т.к имеется способ всё зделать быстро): create access_profile packet_content_mask offset_0-15 0x0 0x0000ffff 0xffffffff 0x0 offset_16-31 0xffff0000 0x0 0x0 0x0000ffff offset_32-47 0xffff0000 0x0 0x0 0x0 profile_id 20 Если люди всё пойму , то думаю и поймут как этим пользоватся. В добавок можно еще на шлюзах создать Static-ARP ( с одной стороны глюков меньше) И так каковы будут плюсы ?: Существующие и мешающие защиты не будут усложнать жизнь как рабочим так и пользователям , можно будет использовать любые Операционки не ища к ним приблуды для авторизации MD5 , Порт не отключается а просто не пропускает пакеты с неверным IP-MAC. Из этого всего будет еще много вытекающих плюсов т.к вирус описаный выше больше не будет действовать.
  3. Проблемка

    У меня такая же проблема. Нашел по этому вопросу следующую информацию: Эммм...У меня на компе обнаружился вирус, Trojan-Downloader.JS.Multi.cj , который создает файлики в папке Temporary Internet Files, ессн Касперыч их видит и предлагает удалить, удаляю, но они появляются вновь...На форуме Касперыча пишут, что у меня он где то завелся и они пока не знают, что это, и как с ним бороться...на Вируслист.ком его тоже нет... что то подобное уже было, только назывался он Trojan-Downloader.JS.Small.js, и он тоже никак не лечился: "заражённый компьютер подменяет собой шлюз и начинает работать как прокси сервер между настоящим шлюзом и компьютером клиента. Если клиент просматривает вэб страницы, не имеет значения откуда они исходят (из сервера в локалке или из инета) этот самый прокси сервер подставляет в код страницы jawa скрипт, инициирующий загрузку трояна Trojan.downloader.JS.small.JS c Китайского (вроде бы, судя по трассировке IP адреса) сервера. Троян палится антивирусом Касперского. Если у клиента антивирус неактивен, то троян активируется и качает ещё более злостную вирусятину, делающую компьютер клиента таким же лжешлюзом. Этот вирус не палится ничем. 5 таких компьютеров в локалке и сеть лежит. Остановил распространение заразы путём блокировки на всех каналах в интернет и всех шлюзах ip адреса 222.216.28.25. получил этот адрес путём подстановки имени сервера в запрос на DNS. Соединение с сервером пропало и заразу качать стало неоткуда. Но заражённые машины в сети остались, потихоньку хожу и лечу. Палю outpostом по сетевой активности. Сегодня вылечил человеку комп. но сглупил: удалил образцы. До этого человек жаловался на то, что explorer.exe кушает 80-100% системных ресурсов. Отправлял его в лабораторию Касперского, там всё чисто. На днях обязательно добуду образец. Со своей стороны рекомендую сотрудникам лаборатории проверить URL. хттп://g.asdafdgfgf.com/ads.js Умышленно изменил http на хттп, чтобы кто нибудь не тисканул нечаянно. Это троян. он палится. А вот то что он качает не палится." и там же предлагали закрыть доступ на этот IP и Url сайт.... вот только КАК это сделать? Как запретить доступ на данные сайты?! Источник <http://letinet.ru/forum/index.php?showtopic=124&st=120&p=22281&> Запретил в Касперском адрес 222.216.28.25. Теперь троян не появляется, но проблемы с загрузкой сетевых ресурсов все равно периодически происходят.
×