ארכיון רד-בורד: וירוס ברשת אצלי?

2004-07-08 15:36 Enn

טוב עכשיו ההודעה הזאת ערוכה ואין כל כך צורך לקרוא את התגובות בעמוד הראשון כיוון שכל ההסברים מתוארים כאן.

לאח שלי מופיעים מאות מחשבונים- ללא הסבר. אנטי וירוסים לא מוצאים שום דבר. פירמוטים לא משפיעים על הוירוס שממשיך להקפיץ מחשבונים.
יכול להיות שדבר נוסף שהוירוס גם משחק עם כל מיני פורטים אז אנא סריקת פורטים מצאה את הפורטים הבאים פתוחים:
25
110
135
389
445
1002
1025
1720
3001
3002
3003
3007
5000

ניסיון מחיקה של קובץ של המחשבון לא משפיע- ותוך זמן קצר שוב חוזרים המחשבונים. הוירוס לא מגיע מהרשת- כיוון שניסתי לפרמט ולהתקין בלי רשת/אינטרנט. הוירוס לא מגיע עם מערכת ההפעלה כיוון שזה אותו CD שמותקן גם אצלי.

אז איפה יכול לשבת הוירוס?[נערך על-ידי Enn בתאריך 2004/07/16 11:54]

2004-07-08 23:23 Enn

ממש חשוב שתענו על השאלה הראשונה- לא צריך בשביל זה ידע

*סליחה על הספאם*

2004-07-08 23:58 g.o.d

תוכנית או תהליך?

2004-07-09 00:41 Enn

תהליך...

2004-07-09 01:33 cp77fk4r

1)כן, יש תהליך כזה בXP.
2)אני ממש לא חושב שוירוס יכול לשבת בראוטר, הוא אחראי רק על ניתוב המידע לא על אחסונו..
3)זה כבר תלוי באיך שהוירוס כתוב.. יכול להיות שהוא יושב על המחשב "המכרזי" ברשת ומשם שולח פקודות למחשבים אחרים, או שהוא מנסה להשיג גישה של אדמיניסטראטור וכשהוא משיג במחשב מסויים מהרשת אז הוא יושב עליו ומשם שולח פקודות, יש תולעי רשת מאוד מאוד מתוכחמות.

ערן,הNetcontroler (שזה לא רק תולעת אלה גם סוס טרויאני) פותח על המחשב שלך את הפורט 123, תבדוק אם הפורט הזה פתוח במצב האזנה.

2004-07-09 01:54 Enn

קודם כל תודה.

אוקיי אני משנה כיוון חשיבה...
זה הכיוון מחשבה החדש:
1.זה שSystem פועל או לא פועל זה לא קשור לוירוס.
2. כיוון שהוירוס חזר למחשב גם לאחר פירמוט עולות האפשרויות הבאות:
סבירות נמוכה- יש וירוס באחד או יותר ממחשבי הרשת והוא מעביר את עצמו לאח שלי (הסיבה שהדבר לא יתכן כל כך זה גם בגלל שדי נדיר למצוא וירוסים מתוכמים שמעבירים את עצמם דרך הרשת אך בעיקר בגלל שמיליון Calcים קופצים רק אצל אח שלי, למרות שגם אצל אחותי יש מחשב מאוד דומה לשלו)
סבירות גבוהה יותר- הוירוס הצליח להגיע למחשב מהאינטרנט:
לאחר הפירמוט אח שלי נכנס דרך אחד הדפדפנים הפחות מאובטחים - אקספלורר, לאתר mozilla.org.il ומשם הוריד מוזילה (לפחות לפי טענתו). הוא התקין את מוזילה ורק לאחר מכן נכנס לאתר parapara.co.il והוריד משם את system mechanic. כאשר נכנסים דרך אקספלורר לאתר מוזילה הישראלי לא אמור להופיע שום וירוס סתם ככה ולכן יש שתי אפשרויות:
א. הוירוס בא יחד עם הקובץ של המוזילה
ב. הוירוס בא יחד עם הקובץ של system mechanic
אז אני יצטרך לבדוק את שתי האפשרויות האלו....

בכל מקרה זה מקרה מאוד משונה...

2004-07-09 01:57 cp77fk4r

או שהוא באמת נמצא על אחד המחשבים ומפיץ את עצמו ברשת.. יש הרבה תולעי לאן כאלה..

2004-07-09 02:11 Enn

אוקיי אני כרגע צריך לחפש איזה וירוס זה.

בעיקרון זה המידע שחשוב לדעת:
1. לפני שהמחשב פורמט הוא נלקח לתיקון, ומצאו בו טרוייאן. הטרויאן נמחק והמחשב "תוקן" אבל אחרי זה שוב חזר הוירוס (באותו היום) ושוב נלקח לתיקון- בתיקון ההוא עשו פירמוט והתקינו גם AVG וגם נורטון
2. הוירוס פותח מלא מחשבונים - עד שזה מגיע למאה ומשהו ואז מופיעה הודעה מסויימת ואז יש צורך להפעיל מחדש את המחשב.
3. חיפוש בנורטון מעודכן לא מצא וירוס וגם חיפוש בAVG לא מצא

אם מישהו מוצא וירוסים שמעלים מיליון מחשבונים אנא פרסמו את שמו כאן כדי שאוכל לבדוק אם הוא אכן הוירוס

תודה

עריכה:
עוד מידע חשוב :) הרשת הביתית עובדת עם ראוטר שבתוכו יש Firewall[נערך על-ידי Enn בתאריך 2004/07/09 02:13]

2004-07-09 02:13 cp77fk4r

אמרת שאבא שלך אמר שזה משהו כמו Bugger (בIRC), אולי זה הוירוס Beagle, הוא לא מריץ אלפי מחשבונים, בכל אופן, רק כדי שניהיה בטוחים- תסרוק פורטים ותביא לפה את הרשימה.

(הBeagle פותח את הפורט 1234).

2004-07-09 02:16 Enn

איך לסרוק פורטים?

2004-07-09 02:24 cp77fk4r

תוריד את התוכנה הזאת, ותסרוק על
האי פי 127.0.0.1 .

2004-07-09 10:57 Enn

טוב הורדתי סורק פורטים אחר כיוון שהייתה בעיה עם איזשהו OCX

בכל מקרה אלו הפורטים הפתוחים
25
110
135
389
445
1002
1025
1720
3001
3002
3003
3007
5000

2004-07-09 12:50 ofir

5000 אני חושב שהפורט הזה מהווה את הבעיה שלך !
אני לא בטוח אבל בעזרת הפורט הזה אפשר להרוס תוכנות ולשבש עוד דברים במחשב !
כשאתה מתקין פייראוול אל תאשר את הפורט הזה בשום אופן !!
בקשר לפורט 445 - עדיף לחסום אותו ! כי אפשר באמצעותו לפתוח ftp על המחשב שלך ! .
אבל אני כמעט בטוח שאם תחסום את שתי הפורטים הללו הבעיה תיפטר ! וכמובן כמובן אל תשתמש באקספלורר!!!!!!
דרך אגב אני השתמשתי פעם עם אקספלוייט 5000 לעזור למישהוא להחריב מחשב של מישהוא שעשה לו נזקים במחשב והאקספלוייט עבד .. הוא שיבש לו את המערכת ואף הייתה אפשרות לתקוע לו את המחשב ..
כנס לדוס -> netstat -an -o צלם תמונה ותביא לפה ואני יוכל ליהיות בטוח בדברים שאני אומר .. בכל מקרה תחסום את הפורטים 445 ו 5000 הם יעשו לך סתם נזקים ! 445 תחסום את הנכנסות !

2004-07-09 13:35 Enn

יש לי פיירוול פיזי וזה חרא ואני לא יודע איך לבטל אותו ואוסרים עליי לבטל אותו או בכלל לשנות הגדרות בו

אבל ברור שאין שאין אף האקר בעולם (אולי) שיפתח באופן ידני מאות מחשבונים בכמה שניות ויבצע את זה במשך כל היום, גם בבוקר וגם בלילה :-) אז הבעיה הראשונה והחשובה ביותר היא איזה וירוס מקפיץ מלא מחשבונים.

אהה... וזה מחשב של אח שלי אז תשתדל לדבר בגוף שלישי :)

2004-07-09 13:55 cp77fk4r

Ofir... אני מצטער שאני אומר את זה, אבל.. הרבה ממה שאמרת לו היה נכון :\

תיראה, הפורט 445 זה הפורט של הSMB, זה בדיוק כמו הNetbios רק למערכות וינדוס כמו Win2000 (הם החליפו את ה135 ו139..), זה הפורט של השיתופים, אם אתה לא משתף את כל הכונן, או שאתה משתף ושמת סיסמה אז אין לך מה לדאוג...

הפורט 5000, זה הפורט של הטרויאן הצרפתי הישן "Soket de Troie", אבל הוא כבר עבר מהעולם וכל אנטי וירוס מזהה אותו, ואם האנטי וירוס לא מתריע עליו זאת אומרת שכניראה תוכנה אחרת (חוקית) משתמשת בו, ולכן אין לך מה לדאוג.

בקשר לשאר הפורטים, לפי הסדר:

25- זה הפורט של ה(SMTP (Simple Mail Transfer Protocol, שירות דואר, חוקי לחלוטין.
110- זה הפורט של ה(Pop3 (Post Office Protocol, גם, שירות דואר, חוקי לחלוטין.
135- NetBios, תבדוק אם אתה לא משתף תיקיות רגישות, או קבצים רגישים (קליק ימני על השיתוף, תוריד את הV מהשיתוף, תעשה רפרש, אפליי, תכבה את המחשב, והשיתופים ירדו).
389- זה הפורט של הLDAP, זה של הNetMeeting, גם, חוקי לחלוטין.
445- כבר הסברתי.
1002-אין לי מושג- כשאני אחזור אני אחפש על זה מידע.
1025-"פושט חופשי", זה פורט עזר, חוקי.
1720-H.323/Q.931, גם חוקי, זה הפורט של החיבור.
3001-MDaemon Worldclient, אתה מריץ את התוכנה הזאת?
3002-כנ"ל.
3003-כנ"ל.
3007- אין לי מושג- כשאני אחזור אני אחפש על זה מידע.

2004-07-09 14:02 cp77fk4r

אהה, ושכחתי מה שרציתי להגיד לOfir, תשמע, פורטים אלו כלים שבעזרתם מעבירים מידע ממודם למודם, בעזרתם אי אפשר לבצע פעולות או לסגור ולהרוס תוכנות... הם _רק_ מעבירים מידע!

אם בשני המחשבים יש תוכנה, שפותחת את אותו הפורט, במחשב אחר על מצב האזנה, ובמחשב שני על מצב שליחת מידע, אז יהיה אפשר להעביר את המידע, אם במחשב של האזנה, יש תוכנה שעושה עם המידע שהיא מקבלת פעולות מסויימות, ואחת הפעולות היא "להרוס תוכנה" או "למחוק קבצים" אז כן, אז יהיה אפשרי למחוק מידע, יהיה אפשרי לשלוח מידע ממחשב אחד למחשב השני ושם, בעזרת המידע שעבר דרך אותו הפורט ה"תוכנה תהרס" (למחוק קבצים חשובים לה או לשנות את הקוד וכו').

אבל הפורט לא עושה כלום, הפורט רק מעביר את המידע, ולכן כל מידע שעובר דרך הפורט 5000 יכול לעבור גם דרך 333 או דרך 1 או דרך 2341... זה לא משנה איזה פורט, אין פורטים מסויימים שאפשר לבצע דרכם פעולות, כשאתה מתחבר למחשב מסויים דרך פורט שפתחת אתה מתחבר לתוכנה, לתוכנה שפתחה את אותו הפורט ואתה רואה את הממשק שלה.

לפני כמה זמן ראיתי מישהו שמבקש "אקספלויט לפורט ___" (לא זוכר את המספר), זאת טעות! אין אקספלויט לפורט מסויים.. יש אקספלויט לתוכנה שפותחת את הפורט.. לא יותר.

אני מקווה שהבנת.

2004-07-09 17:01 Enn

איך לדעתכם אפשר לטפל בעניין? בSAFE MOD זה לא קרה. בדקתי בMSCONFIG אם הוירוס עולה דרך שם בהתחלה והוא לא (לפחות לא מוצג באמאסקונפיג)

2004-07-09 18:33 cp77fk4r

Safe Mode*

והוירוס יכול לעלות מאוד הרבה מקומות:

תחפש ב: C:\Aoutoexec.bat קריאת "Call".
או ברג'סטרי, במיקום:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
או במיקום:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

איזה שהם מפתחות זדוניים..

2004-07-16 11:47 Enn

מצטער שאני מקפיץ את זה אבל הוירוס ההוא עובר כל גבול....

עכשיו אחרי פירמוטים חוזרים ונשנים גם הורדתי את החיבור לLAN ולאינטרנט - פירמטתי מחדש ושוב המחשבונים עולים בקצב.

אז לא מעניין אותי איזה וירוס זה, מעניין אותי: איפה יכול לשבת הוירוס?

2004-07-16 12:01 Crossbow

המממ.. היה לי פעם קטע של הרצת תוכנות בגלל המחשב עצמו... תבדוק אם המאוורר בסדר... בכל מקרה, בדרך כלל וירוס נמצא במקומות הבאים:
Start >> Run >> Msconfig
שם תבחר באפשרות Startup יש שם כמה דברים מעניינים... אלו כל התוכניות שרצות אצלך כשהמחשב מתחיל...

מלבד זאת, כמו שאמרו יש את Autoexec.bat תבדוק אותו...
בנוסף, תבדוק קבצים עם הסיומות vbs ו- html... וכמו כן אני מציע לך להכנס ל- "מצב בטוח" באמת, ושם לחפש קובץ שמכיל את המילים Calc.exe (תעשה חיפוש על הכל, זה ייקח הרבה זמן אבל אז יהיו לך יותר אופציות לדעת איפה הוירוס).
בהצלחה.

2004-07-16 12:17 cp77fk4r

וואלה, רעיון, צודק קרוס, יהיה חכם לעשות בדיקה על קבצים שמריצים את המילה Calc.exe.

בכל אופן, ערן, אני מקווה שתמצא אותו בדרך שקרוס הציע, אם אתה מוצא אותו, שלח לי ת'קוד שלו לפרטי, או שתשים פה, מעניין אותי לדעת כמה דברים בנוגע אליו.. סבבה?

2004-07-16 12:21 Enn

אני חושב שניסתי אבל אני ינסה. בכל מקרה לא נראה לי שלוירוס מצורף קובץ readme שמכיל את הקוד של הוירוס.

2004-07-16 13:51 cp77fk4r

חחח כן, אבל אם זה קובץ VBS (מה שהכי ניראה לי הגיוני) פשוט תשנה אותו לTxt ותעתיק את הקוד.

2004-07-16 17:31 Crossbow

ותעדכן בבקשה מה קורה עם המחשב שלך גם... :)

2004-07-16 17:43 Enn

אהה המחשב שלי?? שלי זה מחשב עם לינוקס ווינדוס- לינוקס מופעל כמעט תמיד וינדוס כמעט אף פעם לא כך שלא אכפת לי אם הוירוס הזה היה אצלי על המחשב- כי המטומטם שבנה אותו לא התאים אותו ללינוקס :( (אולי אני יריץ את הוירוס עם xwine אני בספק אם זה יעבוד :) )

ולגבי המחשב של אח שלי:
חיפשתי calc בכל המחשב ולא מצאתי משהו חשוד

2004-07-16 17:47 Crossbow

אמממממ... בנוגע למחשב של אח שלך: תוכל לשלוח תמונת מסך אולי?

2004-07-16 17:57 Enn

http://planet.nana.co.il/erun/nir.png
טוב אז הקישור למעלה - זאת תמונת מסך... (אני הרצתי את הקונטרול אלט דליט ואת האקספלורר וכל המחשבונים האלו הריץ הוירוס.)

2004-07-19 09:03 Crossbow

כי היה לי פעם מקרה בדיוק כמו שלו, ובסוף המאוורר לא עבד כמו שצריך והמעבד התחמם והתחרפן...

2004-07-18 14:01 cp77fk4r

דווקא המאוורר? למה דווקא הוא קרוס?

2004-07-18 08:22 Crossbow

אני אומר שוב -- תבדוק אם המאוורר מסתובב כמו שצריך.

רד-בורד: ארכיון

ראשי > אבטחת מידע > וירוס ברשת אצלי?