Техподдержка. Вирусная атака и WireShark

Заметки, Софт Оставить комментарий
Теги : , , , ,

WireSharkСегодня, моя сеть из более чем сотни компьютеров была атакована сетевым червём, который был банально загружен с флэшки. Атакой это назвать в принципе нельзя, это скорее “случайное проникновение”. Однако, паника среди пользователей была похожа на панику во время бомбёжки.

Зачинщиком всей суматохи оказался csrcs.exe, который создавал на всех сетевых ресурсах файл albgay.exe с иконкой папки, за счёт чего у пользователей, у которых отключён показ расширения файла, этот вирус выглядел именно как папка. А пользователь в этом случае, естественно интересуясь, что это у него за папка появилась делает двойной клик на этой “папке”. К счастью, такого кликания не произошло из-за того, что я вовремя заметил происходящее.

Мои действия по выявлению источника вирусной атаки.

В первую очередь, я попытался определить источник. Мне нужно было найти компьютер в сети, который “активно” заражён сетевым червём, а именно, на котором этот вирус находился в оперативной памяти и делал своё грязное дело. Для этого, я воспользовался бесплатной программой для сканирования сети WireShark (Очень рекомендую. Это удобная и бесплатная программа). Как только я увидел самый активный компьютер, рассылающий одни и те-же пакеты с большой скоростью по сетке, а IP у меня в сети статические, поэтому я сразу двинулся к заражённому компу.

Нажав “три пальца” выяснил, что на этом компьютере запущено два похожих процесса, csrcs.exe от имени пользователя и csrss.exe от имени SYSTEM. Сразу же убиваю процесс csrcs.exe, т.к. он явно является “левым”, делаю поиск в папке Windows по запросу “csrcs.exe” (файл оказался скрытым), убиваю этот файл, затем запускаю regedit, делаю поиск по запросу “csrcs“, удаляю все строки, которые нашлись по этому запросу. Перегружаю машину - всё в порядке, тишина в эфире и никакого присутствия червя.

Но это ещё не конец, вирус успел “нагадить” во многих сетевых папках на компьютерах пользователей, в которые разрешена запись. Методично перебирая все папки, удалял найденные файлы “albgay.exe” и скрытый файл “khq” (этот не так важен, он нулевого размера).

Причиной заражения стал файл “jsmnaq.exe”, плюс autorun.inf на флэшке пользователя, который хотел “просто распечатать документ”. Самое интересное и смешное в этой истории это то, что на всех компьютерах в сети установлен  антивирус (не буду упоминать его, что бы не делать рекламы или антирекламы), который в большинстве случаев попытки заражения компьютера пользователя по сети просто не давал создать файл “albgay.exe” и вывешивал предупреждение в на экране пользователя, т.е. этот файл червя я удалил  всего с 20-25% сетевых ресурсов в сети.

Скачать программу WireShark можно здесь.

google.com bobrdobr.ru del.icio.us technorati.com linkstore.ru news2.ru rumarkz.ru memori.ru moemesto.ru

Другие статьи на эту тему:

  • Вирус оказался антивирусником!
  • PandaLabs представила десятку наиболее опасных вредоносных кодов
  • «Доктор Веб»: обзор вирусной обстановки за декабрь 2008 г.
  • Анонсирован гигабитный Wi-Fi
  • IP-адреса скоро закончатся
  • 9 Комментариев to “Техподдержка. Вирусная атака и WireShark”

    1. Lesya Написал:

      Программа WireShark может быть и удобная тем, кто знает английский и хорошо разбирается в пересылаемых пакетах. Но как в этом случае быть остальным? Не могли бы Вы написать на какие пакеты обратить внимание чтобы вычислить, что именно этот компьютер является источником бед.

    2. CronoBug Написал:

      Первый из признаков, это большое количество пакетов одного типа исходящих с одного и того же IP. К тому же WireShark отделяет разные типы пакетов разными цветами. Заражённая машина отправляет по несколько пакетов в секунду.

    3. Lesya Написал:

      У меня в сети этот вирус бродит, а программа показывает в среднем одинаковое количество пакетов от каждого компьютера - и от зараженных, и от незараженных. Видимо придется опять ручками чистить.
      Спасибо за статью и за помощь.

    4. Борис Написал:

      Занимательная статья, да и сам сайт я смотрю очень даже не плох. Попал сюда по поиску из Гугла, занес в букмарки :)

    5. Fess Написал:

      хм… а у меня проблемка((
      у меня при поиске в регистре, кароч REGEDIT- выдает 2е строки на запрос csrcs и одна с именем (по умолчанию) не хочет удаляться, пишет “не удается удалить все выделенные параметры” а процессах так и вообще нет этого csrcs… че делать?

    6. CronoBug Написал:

      Fess, Внимательно прочитайте эти рекомендации по удалению вируса csrcs.exe, там и в статье и в комментариях есть практически все решения.

    7. таня Написал:

      помогите срочно я поимала вирус он жрет программы что делать?

    8. SiZ Написал:

      …на всех компьютерах в сети установлен антивирус (не буду упоминать его, что бы не делать рекламы или антирекламы)… сносите Nod32 наф и ставьте KIS =))))))

      в нашей шаражке кстати от автозапусков и “вирусов похожих на папки” зоркий глаз стоит - на правах младшего помошника левой пятки старшего админа рекомендую))

    9. JimMy Написал:

      Люди помогите плиз…почти аналогичная ситуация…с неделю назад начались проблемы…провайдер божится что у них все в поряде и говорит что с моего iP рассылаются пакеты в большом количестве на другие адреса…из-за этого скорость инета падает и пинг около 1000…люблю пошпилить вечерком в дотку через гарену задержка 5-10 секунд…меня енто все вымораживает…поставил качаться WireShark 18метром написано что скачается через двое суток=\\ подскажите что вообще можно сделать..ток не надо умных мыслий аля снеси винду..сейчас нету возможности это зделать=\

    Оставить комментарий

    Все комментарии проходят модерацию!

    Вам необходимо войти чтобы оставить комментарий.

    | © 2008 CronoBug.ru, powered by WordPress
    RSS записей RSS комментариев Войти