Jump to content
Matthew3000

Массовая сетевая атака Dos.Generic.SYNFlood [В процессе]

Recommended Posts

Добрый день!

С сегодняшнего утра антивирус Касперского на многих компьютерах в сети блокирует сетевую атаку Dos.Generic.SYNFlood на 445 и 139 порты. Атака приходит с разных IP адресов. На атакующих машинах установлен антивирус Касперского - вирусов не находит. Сторонних системных процессов на атакующих машин не обнаружено.

Чтобы исключить возможность ложного срабатывания Анти-Хакера, подскажите, пожалуйста, обновлялись ли в последние сутки сигнатуры определения сетевых атак?

Share this post


Link to post
Добрый день!

С сегодняшнего утра антивирус Касперского на многих компьютерах в сети блокирует сетевую атаку Dos.Generic.SYNFlood на 445 и 139 порты. Атака приходит с разных IP адресов. На атакующих машинах установлен антивирус Касперского - вирусов не находит. Сторонних системных процессов на атакующих машин не обнаружено.

Чтобы исключить возможность ложного срабатывания Анти-Хакера, подскажите, пожалуйста, обновлялись ли в последние сутки сигнатуры определения сетевых атак?

Сделайте, пожалуйста, дамп сетевых атак - http://support.kaspersky.ru/faq/?qid=180593361.

Share this post


Link to post
Сделайте, пожалуйста, дамп сетевых атак - http://support.kaspersky.ru/faq/?qid=180593361.
Дампы сетевый атаки сделал и отправил их через Персональный кабинет, номер запроса 309602726. Атака приходит не регулярно, поэтому дампы снимались в течении получаса, в итоге размер архива значительно превышает 300 кБ.

Попутно снятию дампов обнаружено, что на атакованных машинах, в открытых на запись сетевых шарах, появляется исполняемый файл MarioForever.exe. На атакующей машине, в автозагрузке, обнаружен подозрительный файл Startup.exe. Эти два файла не обнаруживаются ни антивирусом Касперского, ни Dr.Web. Файлы также отправлены через Персональный кабинет.

Помогите скорее решить проблему.

 

Share this post


Link to post
Дампы сетевый атаки сделал и отправил их через Персональный кабинет, номер запроса 309602726. Атака приходит не регулярно, поэтому дампы снимались в течении получаса, в итоге размер архива значительно превышает 300 кБ.

Попутно снятию дампов обнаружено, что на атакованных машинах, в открытых на запись сетевых шарах, появляется исполняемый файл MarioForever.exe. На атакующей машине, в автозагрузке, обнаружен подозрительный файл Startup.exe. Эти два файла не обнаруживаются ни антивирусом Касперского, ни Dr.Web. Файлы также отправлены через Персональный кабинет.

Помогите скорее решить проблему.

По поводу этого файла прочтите вот это - http://forum.kaspersky.com/index.php?showtopic=93144.

Share this post


Link to post
По поводу этого файла прочтите вот это - http://forum.kaspersky.com/index.php?showtopic=93144.
Прочел. И также прочел эту http://forum.kaspersky.com/index.php?showtopic=92177 тему.

Сейчас мой антивирус имеет сигнатуры от 26 ноября 2008, 12:59:47 и игнорирует присутствие MarioForever.exe на диске, даже когда непосредственно на этом файле запускается задача "Проверить на вирусы".

Уточню, MarioForever.exe беспрепятственно записывается на сетевую шару компьютера при активном резидентном мониторе Касперского.

Edited by Matthew3000

Share this post


Link to post
По поводу этого файла прочтите вот это - http://forum.kaspersky.com/index.php?showtopic=93144.
Есть информация от Symantec'a:

W32.Mariofev.A

 

Признаки

 

При запуске создает следующие файлы:

 

* %System%\[случайное имя]

* %System%\bmf.cs

* %System%\ccs.so

* %System%\gh.l

* %System%\mn.n

* %System%\ntpl.bin

* %System%\nvrsma.dll

* %System%\yl.po

 

 

Также может создавать следующие файлы:

 

* %System%\acl.exe

* %System%\MarioForever.exe

* %текущий_диск%:\MarioForever.exe

 

 

(Примечание: %System% - системная директория Windows. Например, для NT..Vista это обычно C:\Windows\System32)

 

Модифицирует следующие файлы:

 

* %System%\dllcache\user32.dll

* %System%\user32.dll

 

 

Создает следующие записи в реестре:

 

* HKEY_LOCAL_MACHINE\SOFTWARE\[число]\"[34значное_16ричное_число]" = "[случайные_данные]"

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"ztpInit_Dlls" = "nvrsma"

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\"ccnt" = "[количество_попыток_заражения]"

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\"mid" = "[случайные_16ричные_данные]"

 

 

Может удалять в реестре записи, принадлежащие антивирусным, защитным и некоторым другим приложениям. Определяет их по следующим строкам:

 

* *\shellex\ContextMenuHandlers\NOD32 Context Menu Shell Extension

* AllFilesystemObjects\shellex\ContextMenuHandlers\S pySweeper

* ALWIL Software\Avast

* Arovax AntiSpyware

* Chilkat Software, Inc.

* ComputerAssociates\eTrustPestPatrol

* Doctor Web, Ltd.

* FRISK Software International

* Grisoft\AVGAntiSpyware

* KasperskyLab

* McAfee\McAfee AntiSpyware

* McAfee\VirusScan

* Panda Software

* PepiMK Software\SpybotSnD

* SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\Ad-aware 6 Personal

* SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\Ad-Aware SE Personal

* SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\AntiVir PersonalEdition Classic

* SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\ClamAV

* SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\SpywareBlaster_is1

* SOFTWIN\BitDefender Desktop\Maintenance\Install

* Spyware Begone!

* Symantec\Symantec AntiVirus

* SYSTEM\ControlSet001\Services\avgntflt

* SYSTEM\CurrentControlSet\Services\WinDefend

* Ukranian Antivirus center

* Vba32

* VMware, Inc.

* VMware, Inc.\VMware Tools

 

 

Создает сервис с автоматическим типом запуска, именем SCNa, отображаемым именем "SCNa Service".

 

Регистрирует сервис через реестр, создавая подключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SCNa.

 

Может подключаться к URL для отчета о захвате системы и возможном обновлении себя:

 

* [http://]66.36.241.45/sdb/gate/[удалено]

* [http://]66.36.241.45/sdb/gate/data[удалено]

 

 

Распространяется копированием на совместно используемые сетевые ресурсы.

 

В случае защищенности ресурса паролем, пытается подобрать его по словарю:

 

* !@#

* 1212

* 123

* 123456

* 1313

* 666

* 777

* adm

* admin

* administrator

* asa

* pass

* password

* qaz

* qazxsw

* qqq

* qwerty

* test

* zaq

* zaqwsx

* zzz

 

 

Пытается копировать себя в корень всех дисков, которым присвоена буква, под именем acl.exe.

ЗАЩИТА

 

* Отключить функцию "Восстановление системы" (для Windows ME и XP)

* Найти и остановить сервис, созданный вредоносной программой.

* Полностью проверить систему антивирусом с обновлённой базой сигнатур

* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

 

Действие

 

Червь для платформы Windows. Распространяется копированием себя на совместно используемые сетевые ресурсы (network shares) и диски, которым присвоена буква.

Источник: Symantec.com.

Может быть поможет добавить в сигнатуры все компоненты вируса.

Share this post


Link to post
У нас в сети тоже появилась эта штука и вот что пишет АК в отчете:

 

P2P-Worm.Win32.Bacteraloh.h 26 ноября 2008 г. 11:21:49 C:\ Documents and Settings\ ...\ Мои документы\ приёмка\ MarioForever.exe Файл C:\ Documents and Settings\ ...\ Мои документы\ приёмка\ MarioForever.exe вылечен.

Информация отсюда http://safe.cnews.ru/bugtrack/entry/index....08/05/14/108197

Может подключаться к URL для отчета о захвате системы и возможном обновлении себя:

[http://]66.36.241.45/sdb/gate/[удалено]

[http://]66.36.241.45/sdb/gate/data[удалено]

Должно быть у нас разные версии это червя.

Share this post


Link to post
Дампы сетевый атаки сделал и отправил их через Персональный кабинет, номер запроса 309602726. Атака приходит не регулярно, поэтому дампы снимались в течении получаса, в итоге размер архива значительно превышает 300 кБ.

Попутно снятию дампов обнаружено, что на атакованных машинах, в открытых на запись сетевых шарах, появляется исполняемый файл MarioForever.exe. На атакующей машине, в автозагрузке, обнаружен подозрительный файл Startup.exe. Эти два файла не обнаруживаются ни антивирусом Касперского, ни Dr.Web. Файлы также отправлены через Персональный кабинет.

Помогите скорее решить проблему.

Ваш запрос сейчас уже в вирусной лаборатории. Возможно атака как раз является следствием работы вируса.

Share this post


Link to post
Сделайте, пожалуйста, дамп сетевых атак - http://support.kaspersky.ru/faq/?qid=180593361.
Дампы этой атаки, как я уже писал, были сняты, но с большими трудами. Сразу распространяться о этих трудах я не стал, времени не было, было много работы по ликвидации вирусной эпидемии.

Суть этих трудов состояла в том, чтобы найти компьютер, на котором утилита kldump смогла бы нормально работать в течении какого-нибудь времени.

Из 5 машин, на которых запускалась эта утилита, удачный запуск произошел только на одной! Остальные 4 компьютера, сразу после запуска утилиты уходили на перезагрузку, один с синим экраном, остальные без :wacko: Утилита запускалась командной строкой "kldump.exe -f port139.dmp -l 139 -p tcp" и "kldump.exe -f port445.dmp -l 445 -p tcp".

В общем, kldump не тот инструмент, которым можно уверенно работать :angry:

P.S. Проблема с распространяющимся по сети MarioForever.exe была решена на следующий день, благодаря быстрому добавлению сигнатур нашего экземляра вируса в антивирусные базы. Спасибо.

Share this post


Link to post

Имею такуе жке проблему с DoS.Generic.SYNFlood

Вот скрин

e577446fbc0e9dad276ac6088134de18.png

Проверялкомпьютер касперским, др. веб, AVZ, в логаг не чего подозрительного нет,каждый день выгребаю тонны вирусов, ОС win XP.

 

Что делать ?

Share this post


Link to post

Доброго времени суток, у меня так же появилась данная проблема.

Этот порт был привязан к скайпу, скайп выключен, порт на нем я сменил но "атаки" не прекратились, так же ещё 2 порта атакующих 80 и 443 они же в скайпе работают как резервные, но галочку об использовании данных портов я очень давно снял...

Не подскажите в чем может быть дело ?

Варианты переустановки программы я уже по пробывал не помогло, так же убрал галочку с блокировки атакующих машин, чтобы можно было использовать функцию "Защита от сетевых атак" т.к. с ней компьютер просто загибался до потери пульса...

Share this post


Link to post
Вы пользуетесь домашним антивирусом. Обратитесь в домашний раздел.

Добрый день!

С вчерашнего антивирус Касперского на компьютере в сети блокирует сетевую атаку Dos.Generic.SYNFlood на 445, 49171, 9132 порты. Атака на IP адреса разные но почему то из одного кабинета. На атакующих машинах установлен антивирус Касперского 8.1.0.1042 - вирусов не находит. Сторонних системных процессов на атакующих машин не обнаружено.

Чтобы исключить возможность ложного срабатывания подскажите куда еще посмотреть.

Share this post


Link to post
Добрый день!

С вчерашнего антивирус Касперского на компьютере в сети блокирует сетевую атаку Dos.Generic.SYNFlood на 445, 49171, 9132 порты. Атака на IP адреса разные но почему то из одного кабинета. На атакующих машинах установлен антивирус Касперского 8.1.0.1042 - вирусов не находит. Сторонних системных процессов на атакующих машин не обнаружено.

Чтобы исключить возможность ложного срабатывания подскажите куда еще посмотреть.

Здравствуйте!

Соберите, пожалуйста, дампы сетевых атак и приложите их к запросу в CompanyAccount.

Сообщите нам, пожалуйста, номер запроса.

Спасибо!

Share this post


Link to post
Здравствуйте!

Соберите, пожалуйста, дампы сетевых атак и приложите их к запросу в CompanyAccount.

Сообщите нам, пожалуйста, номер запроса.

Спасибо!

 

Ссылка на скачку архива kldump 32/64 недоступна, файл находился там ранее, так же непонятно для чего утилита WINPCAP

 

с уважением,

Share this post


Link to post
Ссылка на скачку архива kldump 32/64 недоступна, файл находился там ранее, так же непонятно для чего утилита WINPCAP

 

с уважением,

Ссылки в статье поправим, спасибо за собщение!

WinPcap, собственно, необходима для сбора дампов сетевого трафика.

Спасибо!

Share this post


Link to post
Здравствуйте!

Соберите, пожалуйста, дампы сетевых атак и приложите их к запросу в CompanyAccount.

Сообщите нам, пожалуйста, номер запроса.

Спасибо!

 

 

Вот что пишет в журналах, атака идет постоянно на один и тот же адрес в сети причем находятся они в одном кабинете.

 

Тип события: Обнаружена сетевая атака

Программа\Название: Неизвестная программа

Компонент: Защита от сетевых атак

Результат\Описание: Запрещено

Результат\Название: DoS.Generic.SYNFlood

Объект: TCP от 10.13.163.85 на локальный порт 445

Объект\Тип: Сетевой пакет

Объект\Название: TCP от 10.13.163.85 на локальный порт 445

 

 

С уважением,

 

 

Share this post


Link to post
Вот что пишет в журналах, атака идет постоянно на один и тот же адрес в сети причем находятся они в одном кабинете.

 

Тип события: Обнаружена сетевая атака

Программа\Название: Неизвестная программа

Компонент: Защита от сетевых атак

Результат\Описание: Запрещено

Результат\Название: DoS.Generic.SYNFlood

Объект: TCP от 10.13.163.85 на локальный порт 445

Объект\Тип: Сетевой пакет

Объект\Название: TCP от 10.13.163.85 на локальный порт 445

С уважением,

Здравствуйте!

 

Без дампов сетевых атак трудно будет разобраться.

Мы постараемся исправить ссылки в ближайшее время.

Спасибо!

Share this post


Link to post
Здравствуйте!

 

Без дампов сетевых атак трудно будет разобраться.

Мы постараемся исправить ссылки в ближайшее время.

Спасибо!

 

Если можно выслать ссылку от куда скачать или личным сообщением, я был бы очень признателен, хотелось бы этот вопрос закрыть, так как служба безопасности по этому поводу переживает.

 

С уважением,

Share this post


Link to post
Если можно выслать ссылку от куда скачать или личным сообщением, я был бы очень признателен, хотелось бы этот вопрос закрыть, так как служба безопасности по этому поводу переживает.

 

С уважением,

Попробуйте, пожалуйста, посмотреть командой netstat -aon на том хосте, с которого пришла атака, что за процесс висит на 445 порту.

С большой долей вероятности это какое-то безобидное приложение.

В некоторых случаях как DoS.Generic.SYNFlood детектируется специфическое поведение безвредного ПО.

 

Спасибо!

Share this post


Link to post
Попробуйте, пожалуйста, посмотреть командой netstat -aon на том хосте, с которого пришла атака, что за процесс висит на 445 порту.

С большой долей вероятности это какое-то безобидное приложение.

В некоторых случаях как DoS.Generic.SYNFlood детектируется специфическое поведение безвредного ПО.

 

Спасибо!

 

Скорей всего так и есть, просто как устранить данный детект я не совсем понимаю.....

Share this post


Link to post
Ссылка на скачку архива kldump 32/64 недоступна, файл находился там ранее, так же непонятно для чего утилита WINPCAP

 

с уважением,

 

Здравствуйте,

 

Воспользуйтесь следующей статьей, пожалуйста.

 

Спасибо!

Share this post


Link to post
Здравствуйте,

 

Воспользуйтесь следующей статьей, пожалуйста.

 

Спасибо!

 

 

Сейчас атака пропала? дамп я так понимаю нужен когда атака идет?

 

собрал с компьютера с которого шла атака netstat -ano при включении был на этот порт, второй адрес эт контроллер домена спустя минут 10 собрал еще раз netstat и там уже все нормально

 

TCP *.*.*.52:49430 *.*.*.132:445 ESTABLISHED 4

 

Вчера до второй половины дня он вел себя нормально, вообщем стоит посмотреть как он будет вести себя, если начнется такая же история я соберу дамп.

 

Как долго его собирать? Или достаточно пару детектов сетевой атаки?

 

С уважением,

Share this post


Link to post
Сейчас атака пропала? дамп я так понимаю нужен когда атака идет?

 

собрал с компьютера с которого шла атака netstat -ano при включении был на этот порт, второй адрес эт контроллер домена спустя минут 10 собрал еще раз netstat и там уже все нормально

 

TCP *.*.*.52:49430 *.*.*.132:445 ESTABLISHED 4

 

Вчера до второй половины дня он вел себя нормально, вообщем стоит посмотреть как он будет вести себя, если начнется такая же история я соберу дамп.

 

Как долго его собирать? Или достаточно пару детектов сетевой атаки?

 

С уважением,

 

Да, дамп нужно собирать во время воспроизведения атаки. По времени достаточно захватить несколько детектов с промежутками между ними.

 

Спасибо!

Share this post


Link to post

445 - излюбленный порт зловредов. закрывайте если совсем плохо дело.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.