Windows: Post-blaster world of trojans

[Мыслитель]

После искоренения Бластера, целью которого, по мнению некоторых спецов, было оформление backdoors и загрузки троянов, а также после установки Windows SP4 и заточенных патчей, мною было обнаружено следующее на Windows 2000:

1) Таинственным образом были установлены программы CMEII и GMT, находящиеся в каталоге Program FIles/Common Files, которые запускались из реестра ключом Run и из Startup Menu. Произошло это спустя несколько дней после установки всех нужных патчей (знаю наверняка, так как в своё время ручками удалял msblast.exe оттуда). Заметил случайно в списке процессов.

2) Постоянно слушаются TCP порты 135, 139 и 445. Вопрос в том, какой модуль их слушает. Из netstat это определить не получается, IPSEC-фильтры на эти порты я поставил.
Однако спустя некоторое время фильтры пришлось снять, так как отвалились сетевые диски в Miscrosoft-сети.

3) В списке процессов ничего интересного не обнаружено после убийства GMT и CMEII. Нортон Антивирус тоже ничего не находит

4) Продолжают всплывать Messenger Popups с предложениями избавиться от них, сходив туда-то и туда-то. После снесения GMT я пока их не видел.

Изменилось ли что у кого-либо ещё после профилактических работ?

[DmitryMA]

После искоренения Бластера, целью которого, по мнению некоторых спецов, было оформление backdoors и загрузки троянов, а также после установки Windows SP4 и заточенных патчей, мною было обнаружено следующее на Windows 2000:

.......
4) Продолжают всплывать Messenger Popups с предложениями избавиться от них, сходив туда-то и туда-то. После снесения GMT я пока их не видел.

Изменилось ли что у кого-либо ещё после профилактических работ?

Скорее всего, таинственный GMT к этому непричастен. Избавиться от Messenger Popups можно очень просто - disable Messenger Service. А вот тот факт, что ваш файрвол (если он существует) пропускает эти собщения, говорит о том, что защита вашего компьютера не на высоте.

2) Постоянно слушаются TCP порты 135, 139 и 445. Вопрос в том, какой модуль их слушает. Из netstat это определить не получается, IPSEC-фильтры на эти порты я поставил.
Однако спустя некоторое время фильтры пришлось снять, так как отвалились сетевые диски в Miscrosoft-сети

Последние трояны атаковали 135-й порт, при этом вырубался svchost процесс. Т.о., по крайней мере 135-й порт прослушивался svchost-ом

[StressedintheUS]

После искоренения Бластера, целью которого, по мнению некоторых спецов, было оформление backdoors и загрузки троянов, а также после установки Windows SP4 и заточенных патчей, мною было обнаружено следующее на Windows 2000:

.......
4) Продолжают всплывать Messenger Popups с предложениями избавиться от них, сходив туда-то и туда-то. После снесения GMT я пока их не видел.

Изменилось ли что у кого-либо ещё после профилактических работ?

Скорее всего, таинственный GMT к этому непричастен. Избавиться от Messenger Popups можно очень просто - disable Messenger Service. А вот тот факт, что ваш файрвол (если он существует) пропускает эти собщения, говорит о том, что защита вашего компьютера не на высоте.

Речь повидимому идёт о так называемом Messenger Spam. Связано это с открытым RPC портом 135, и приходящими UDP-пакетами. Однако останавливая Messenger service, вы сервер слушающий этот порт не убираете. Просто избавляетесь от popups.

По поводу GMT и прочих программух - принадлежит это дело семейству программ Gator. Отсюда позвольте мне спросить вас, дорогой друг, а не ставили ли вы в последнее время DivX codec версии 5.0.5? Как я недавно выяснил, версия Pro этого кодека милым образом инсталлирует вам эти программы, причём выбираются эти программы на случайной основе. Я себе поставил версию с divxnetworks - которая установила только сам кодек безо всяких довесков.

Чем занимается предсловутый Gator меня мало интересует, но факт состоит в том, что он устанавливается на вашей машине без авторизации и без опции удаления, и при этом их программы устанавливаются на автоматическую загрузку.

2) Постоянно слушаются TCP порты 135, 139 и 445. Вопрос в том, какой модуль их слушает. Из netstat это определить не получается, IPSEC-фильтры на эти порты я поставил.
Однако спустя некоторое время фильтры пришлось снять, так как отвалились сетевые диски в Miscrosoft-сети

Последние трояны атаковали 135-й порт, при этом вырубался svchost процесс. Т.о., по крайней мере 135-й порт прослушивался svchost-ом

Порт 135, насколько я помню, это WINS и DCOM. Порт 139 связан с NetBIOS (если вы применяете NetBios over TCP/IP) - применятся для обмена файлами в сетях Микрософт. Порт 445 открыт только в Win2000 - для Windows Directory Service. Последний порт уж точно не нужно держать открытым для доступа из Интернета.

[VYLE]

[quote="Мыслитель"][/quote]

Для инспекции содержимого списка процессов отличная програмка -

http://www.sysinternals.com/ntw2k/freew ... cexp.shtml

[Andrey S]

http://www.lavasoftusa.com/

[Hamster]

Таинственным образом были установлены программы CMEII и GMT, находящиеся в каталоге Program FIles/Common Files, которые запускались из реестра ключом Run и из Startup Menu. Произошло это спустя несколько дней после установки всех нужных патчей (знаю наверняка, так как в своё время ручками удалял msblast.exe оттуда). Заметил случайно в списке процессов.

Они ставятся с DivX 5.xx Ad-supported version. Жить в принципе не мешают ( 1-2 popup'а в неделю ). Можно их убить с помощью AdAware, но перестанет работать кодек. Проще поставить на firewall.
Их могут ставить с собой p2p клиенты ( kazaa / morpheus / grokster / edonkey / overnet ).

Постоянно слушаются TCP порты 135, 139 и 445. Вопрос в том, какой модуль их слушает. Из netstat это определить не получается, IPSEC-фильтры на эти порты я поставил.

Слушаются системой, если у вас включен file & printer sharing. 135, скорее всего, можно спокойно прикрыть. 139 и 445 держите открытыми только для локальной сети.

[SkyWalker]

Пресловутый gator предлагает установку своих adware программ еще и при инсталляции eDonkey. Кроме того очень часто ето дело может выпрыгнуть при посещении сайтов соответствующей тематики (музыка и т.д.)
Практически всегда при установке задается вопрос устанавливать данные программы или нет. Просто обычно на это дело не обращают внимания.
При установке с сайта идет вопрос о доверии gator ActiveX - тоже самое, очень часто просто нажимают Ok. Кстати gator имеет легальную подпись, так что придраться не к чему . Чистить это дело надо:
HKLM/Software/Microsoft/Windows/Current Version/Run
HKCU/Software/Microsoft/Windows/Current Version/Run
Кроме того удаляете соответствующие директории из
Program File/Common Files или Documents and Settings/All Users/Programs/Startup.
Кроме того очень часто gator цепляется процессом на IE или Explorer.
Спасет от этого опять таки удаление из Common Files.

[PavelM]

Для инспекции содержимого списка процессов отличная програмка -

http://www.sysinternals.com/ntw2k/freew ... cexp.shtml

там еще есть утилита tcpview для поиска процессов слушающих порты.

[A. Fig Lee]

Пресловутый gator предлагает установку своих adware программ еще и при инсталляции eDonkey. Кроме того очень часто ето дело может выпрыгнуть при посещении сайтов соответствующей тематики (музыка и т.д.)
Практически всегда при установке задается вопрос устанавливать данные программы или нет. Просто обычно на это дело не обращают внимания.

Я всегда за етим внимательно слежу. И и-данки ничего мне не предлагал, но установил кучу барахла. Фри версия - а кому щас легко?

[PavelM]

После искоренения Бластера, целью которого, по мнению некоторых спецов, было оформление backdoors и загрузки троянов, а также после установки Windows SP4 и заточенных патчей, мною было обнаружено следующее на Windows 2000

За неделю до вируса вышел публичный эксплойт, на том же механизме, позволяющий получать полный контроль над удаленной машиной.

2) Постоянно слушаются TCP порты 135, 139 и 445. Вопрос в том, какой модуль их слушает. Из netstat это определить не получается, IPSEC-фильтры на эти порты я поставил.
Однако спустя некоторое время фильтры пришлось снять, так как отвалились сетевые диски в Miscrosoft-сети.

1. Указанные порты, да и вообще в идеале все порты всегда должны быть заблокированы для трафика входящего из интернет.
2. На локальной сети - порт 135/TCP запретить скорее невозможно, это порт Endmaper-a от которого зависят все RPC коммуникации - куча сервисов отвалится. 139 -й запретить легко - оключите нетбиос в свойствах тисипиайпи сетевой карты (если у вас все на 2000/XP). 445-й заменит 139-й для обмена файлами и печати, т.е. если его запретите тоже то ни того ни другого не будет.
3. Все вышеуказанное делается фильтрами IPSEC, т.е. блокируем для интернет и открываем локальным пользователям. Все локальные компьютеры должны быть защищены одинаково.