Пара вопросов по сетевой активности

[Ma-stiff]

Фигзнаед где тему создавать.
В общем, скачал игру, проверил, АВ сказал что есть not a virus Small HTTP Proxy, удалил из расчёта что если не запустится фиг с ней. Запустилась. Но достаточно стабильно при запуске фаер спрашивает разрешить ли запуск библиотек как приложений, спрашивает про системные библиотеки. Запрещаю, игра вылетает с ошибкой. Запускаю ещё раз всё норм.
След. вопрос. Фаер переодически спрашивает разрешить ли cookies для сайта на который я не заходил, при том что браузер вообще свёрнут.
И ещё фаер спрашивает про подключения по какомуто IP протоколу для локального IP. Пров сказал что не их адрес.
На счёт взаимосвязи не знаю.
В частности интересует, можно ли скрыть подключение от netstat -b и прога для монитоинга что ломится на какой адрес в Нэт.

 

[TheSADIST]

можно ли скрыть подключение от netstat -b

Да, если подключение не постоянное, а периодическое...3

прога для монитоинга что ломится на какой адрес в Нэт

самы просто вариант netstat -a, но опять таки тебе надо смотреть тогда, когда подключение активно... Иначе можешь воспользоваться ольгой и дизасмить свою игрушку... Мож чё наковыряешь...

 

[Ar3s]

Очень похоже на внедрение библиотер в ядро.
Не факт, что ты ничего не поцепил.
Проведи эксперимент. Закрой браузер и посмотри появится ли какая сетевая активность. Только смотри не фаерволом, а снифером.
Например wireshark
Скачать|Download

 

[Ma-stiff]

TheSADIST

Да, если подключение не постоянное, а периодическое...3

Я имею ввиду если в момент просмотра подключение существует.

Иначе можешь воспользоваться ольгой и дизасмить свою игрушку... Мож чё наковыряешь...

Ассемблера не знаю
К тому же я не уверен что всё это взаимосвязано т.к. не помню точно фаер начал выдавать запросы до или после.

 

[TheSADIST]

Ma-stiff
А названия дллок помнишь, на которые фаер ругался?

 

[Ma-stiff]

TheSADIST
Стандартные системные, rundll32 и NVidiaвская.

Ar3s

Проведи эксперимент. Закрой браузер и посмотри появится ли какая сетевая активность.

Сетевая активность появляется, т.к. при выключенных браузере и скачивалке выдавался запрос на cookie. С wireshark разбираюсь.

 

[TheSADIST]

Ma-stiff
Жопа если инжект в эксплорер.....

 

[Ar3s]

Скорее всего так и есть. Одного не понимаю. Если лоадер или бот, то причем тут кукисы? Мало мне верится в бота основанного на куках. Это глупо...
м.б. бот который накручивает статистику/посещаемость, или пытается региться на форумах и досках для спама оных.

 

[Ma-stiff]

TheSADIST
Сейчас вот ещё через раз спрашивает разрешить ли DNS запросы для RunDLL32 при netstat. Если запрещаю netstat имена не выдаёт.
LSASS ломиццо на url вида ip13.hosting.domain через UDP. Страницы по адресу нет.

Ar3s
Cookies с 1 или 2 сайтов.

В общем сейчас буду всё это на VirusTotal закачивать.

 

[Ma-stiff]

Отправил RunDLL32 и LSASS, VT сказал что файлы уже проверены, LSASS без вирусов, RunDLL32 1 из 36
K7AntiVirus 7.10.500 Trojan.Win32.AutoRun.wi
Буду ждать пока проверит мои.
Добавлено в [time]1224838064[/time]
Вообще относительно cookies выглядит как если например медиаплеер загружал онлайн магазин.

 

[TheSADIST]

Ma-stiff
Попробуй связочку AVZ и HijackThis, поочереди... Ну разберёшься сам... =)
Авторанеры достали, я за 2 месяца штук 20 разновидностей уже видел. Самый хреновый который в експлорер инжектится, его руками не реал убить...

 

[Ma-stiff]

TheSADIST
AVZ переодически гоняю.

Проверил фалы.
LSASS 0 из 36, RunDLL32 1 из 36.
Народ, если у кого XP залейте плз на VT, мб просто глюк АВ.

 

[el-]

какие дллки в контексте rundll есть ?

 

[Ma-stiff]

el-
В основном несетевое приложение запрашивает сетевой доступ. Без дополнений.

 

[Ma-stiff]

Cookie с сайта который записан в WMP как магазин. Фигзнаед раньше не замечал.

 

[Ar3s]

Если Проигрыватель Windows Media закрыт то и сетевой активности давать не должен.
Ради чистоты эксперимента попробуй запустить autoruns (хз под вистой работает или нет) и посмотреть полный список запущенных приложений.
"Нечисть" часто выделяется просто на глаз из нормального софта.

 

[Eisenheim]

Ma-stiff
Точно также 1/36
K7AntiVirus---Trojan.Win32.AutoRun.wi

 

[-SMith-]

Странно, что никто не сказал, файл в студию

 

[el-]

в общем если ты думаешь что у тебя какая то фигня на компе ты инфы то дай по больше, сканы от рку, списки процесов, отчет нетстат и тисипидамп, список длл( модулей ) в подозрительных процесах в конце концов список служб из реестра и бхо ... а то мы тут экстросенсорные способности тренеруем

 

[Ma-stiff]

Ar3s

Если Проигрыватель Windows Media закрыт то и сетевой активности давать не должен.

Он открыт, так что тут мб просто я не замечал или чтото изменилось.

(хз под вистой работает или нет)

У меня XP.

Eisenheim
Спс.

el-
В том и дело что я сам толком понять не могу на что смотреть и есть ли на что. Мб это вообще особенности фаера.
Процессов новых вроде нет, некоторые странные записи из netstat скину но это может быть от торрента.
Вполне возможно что я перестраховываюсь

рку

бхо

Расшифруй.
Добавлено в [time]1224875385[/time]

И ещё фаер спрашивает про подключения по какомуто IP протоколу для локального IP. Пров сказал что не их адрес.

Меня вообще интересует локальный IP с которым было соединение через netbios.