Периодически мой файрвол отлавливает программу, которая лезет в интернет. Программа называется по разному, но начинается на iic.
Т.е. - iic??.exe.
У меня Win2K, стоит Маккафи антивирус и файрвол. Гоняю периодически Adaware 6.0.
Что бы это значило? RPC-дыра или троян недобитый?
Thanks.
сисадминам на засыпку
Правила форума
Пожалуйста, ознакомьтесь с правилами данного форума
Пожалуйста, ознакомьтесь с правилами данного форума
-
Проф. Преображенский
- Графоман
- Сообщения: 20276
- Зарегистрирован: 08 ноя 2006, 11:10
-
Vovka
- Завсегдатай
- Сообщения: 250
- Зарегистрирован: 18 фев 2003, 12:17
Re: сисадминам на засыпку
помоему это толи троян толи бэкдор.runner писал(а):Периодически мой файрвол отлавливает программу, которая лезет в интернет. Программа называется по разному, но начинается на iic.
Т.е. - iic??.exe.
У меня Win2K, стоит Маккафи антивирус и файрвол. Гоняю периодически Adaware 6.0.
Что бы это значило? RPC-дыра или троян недобитый?
Thanks.
макафи ацтой.... тот же доктор вэб отловит заразу
-
vg
- Маньяк
- Сообщения: 2803
- Зарегистрирован: 29 май 2003, 22:29
- Откуда: Магадан - Миссиссага
2runner
Инфы Вы дали маловато. Ниже некоторые соображения, обсудив которые можно двигаться дальше. Пока не определимся с простыми вещами – предлагаю забыть про ужасы.
1) То, что каждый раз имя клиента меняется - конечно, немного настораживает. Надо бы знать точнее - это случайные последовательности (как возможно показалось от стаху), или всё ж 2-3 имени.
2) Часто ПО для всякого рода устройств, которые утановлены на компе, старается "по максимуму Вам помочь" с автоматическим обновлением, поиском обновлений в Сети и т.д. Речь идет о ПО для сканеров, принтеров, аудио и т.д. Устанавливая ПО вы могли не руками инсталировать только драйверы, а запустить программу установки с "фирменного" диска. В таких случаях Вам поставят всякой чепухи, которая не нужна в реальной работе. Потом, сие богатство может периодически стучаться в инет к сайтам производителей, чтобы сделать Вас ещё более счастливым.
Даже сама W2k после установки SP3 (4), становится крайне "дружественной по отношению к Вам". Там появляются новые службы автоматического обновления, которые БЕЗ ВАШЕГО ВЕДОМА будут "помогать" удалённо установить критические обновления. Эти службы я бы дисэйблил. То, что указано в этом пункте и выше - сейчас очень модно у производителей. Поэтому, возможно, что за "подозрительную попытку" Вы приняли "услугу" ПО некого девайса.
3) Хорошо в таких случаях взглянуть логи (если таковые имеются) инет трафика icc???. Куда едут пакеты? Какие пакеты? Как едут? Если пакеты были блокированы Вашим фаревалом (трафика нет), то хотя бы посмотреть на удалённый сокет, на который пытались стучаться.
В принципе, наличие нормальных логов почти всегда содежит исчерпывающие ответы на все вопросы.
6) Если знаете, с какого Вашего компа ЭТО пытается «работать», то задача может сильно упроститься. В этом случае, плюс к тому, что сказано выше, я бы посмотрел процессы в таск-манагере (хотя последний может и не показать всё, в случае «хорошего сделанного» деструктивного приложения – не покажет наверняка), посмотрел бы установленные сервисы, посмотрел бы автозапуск (естественно и в реестре тоже). Можно вообще попробовать поискать эти экзешники на хардах. Это самое простое, что вообще не требует никаких затрат, и Вы можете сделать сразу.
PS.
Попытайтесь найти ответы на то, что я пропостил. Можно пообсуждать далее. Разумеется, можно и сейчас продолжать делать более сильные высказывания и предположения (см. у Володи), но вначале надо б определиться с простыми вещами.
Инфы Вы дали маловато. Ниже некоторые соображения, обсудив которые можно двигаться дальше. Пока не определимся с простыми вещами – предлагаю забыть про ужасы.
1) То, что каждый раз имя клиента меняется - конечно, немного настораживает. Надо бы знать точнее - это случайные последовательности (как возможно показалось от стаху), или всё ж 2-3 имени.
2) Часто ПО для всякого рода устройств, которые утановлены на компе, старается "по максимуму Вам помочь" с автоматическим обновлением, поиском обновлений в Сети и т.д. Речь идет о ПО для сканеров, принтеров, аудио и т.д. Устанавливая ПО вы могли не руками инсталировать только драйверы, а запустить программу установки с "фирменного" диска. В таких случаях Вам поставят всякой чепухи, которая не нужна в реальной работе. Потом, сие богатство может периодически стучаться в инет к сайтам производителей, чтобы сделать Вас ещё более счастливым.
Даже сама W2k после установки SP3 (4), становится крайне "дружественной по отношению к Вам". Там появляются новые службы автоматического обновления, которые БЕЗ ВАШЕГО ВЕДОМА будут "помогать" удалённо установить критические обновления. Эти службы я бы дисэйблил. То, что указано в этом пункте и выше - сейчас очень модно у производителей. Поэтому, возможно, что за "подозрительную попытку" Вы приняли "услугу" ПО некого девайса.
3) Хорошо в таких случаях взглянуть логи (если таковые имеются) инет трафика icc???. Куда едут пакеты? Какие пакеты? Как едут? Если пакеты были блокированы Вашим фаревалом (трафика нет), то хотя бы посмотреть на удалённый сокет, на который пытались стучаться.
В принципе, наличие нормальных логов почти всегда содежит исчерпывающие ответы на все вопросы.
4) Если Вы говорите про "недобитых троянов" - так Вы сами пишете, что у Вас утановлено AV. Надеюсь, с актуальность баз тоже всё хорошо.или троян недобитый?
5) Это сложно предположить. Вы сами пишете про фаревол, который, я думаю, установлен не для мебели. Там Вы сами себе хозяин, разрешая те, или другие "локальные" сокеты (в смысле ip+порт).RPC-дыра
6) Если знаете, с какого Вашего компа ЭТО пытается «работать», то задача может сильно упроститься. В этом случае, плюс к тому, что сказано выше, я бы посмотрел процессы в таск-манагере (хотя последний может и не показать всё, в случае «хорошего сделанного» деструктивного приложения – не покажет наверняка), посмотрел бы установленные сервисы, посмотрел бы автозапуск (естественно и в реестре тоже). Можно вообще попробовать поискать эти экзешники на хардах. Это самое простое, что вообще не требует никаких затрат, и Вы можете сделать сразу.
PS.
Попытайтесь найти ответы на то, что я пропостил. Можно пообсуждать далее. Разумеется, можно и сейчас продолжать делать более сильные высказывания и предположения (см. у Володи), но вначале надо б определиться с простыми вещами.
-
Проф. Преображенский
- Графоман
- Сообщения: 20276
- Зарегистрирован: 08 ноя 2006, 11:10
Имена точно меняются iic + 2х буквенный индекс, чаще цифры.
Внутри сидит ссылка на какой-то адвертайзный сайт. И название софтины тоже адвертайзное. Поиск гоглом по имени и этим литералам ничего не дал - то ли плохо искал, то ли неизвестный науке зверь.
Так что это не вирус скорее, а происки адвертайзеров - вотчина ad-aware.
Похоже непосредственно появлению этой программы и попытке выхода ее в инет предшествовала попытка выхода в инет dllhost32, что связано с RPC.
файрвол у меня маккафевский стоит, где все заблокировано и фильтруется. Общаться я разрешал только знакомым программам. Админ я ленивый, пока не припекло - не почешусь. Надо будет посмотреть, что там пишется в логи.
Внутри сидит ссылка на какой-то адвертайзный сайт. И название софтины тоже адвертайзное. Поиск гоглом по имени и этим литералам ничего не дал - то ли плохо искал, то ли неизвестный науке зверь.
Так что это не вирус скорее, а происки адвертайзеров - вотчина ad-aware.
Похоже непосредственно появлению этой программы и попытке выхода ее в инет предшествовала попытка выхода в инет dllhost32, что связано с RPC.
файрвол у меня маккафевский стоит, где все заблокировано и фильтруется. Общаться я разрешал только знакомым программам. Админ я ленивый, пока не припекло - не почешусь. Надо будет посмотреть, что там пишется в логи.
-
vg
- Маньяк
- Сообщения: 2803
- Зарегистрирован: 29 май 2003, 22:29
- Откуда: Магадан - Миссиссага
Так чего мучаешься - убей софтину.Имена точно меняются iic + 2х буквенный индекс, чаще цифры.
Внутри сидит ссылка на какой-то адвертайзный сайт. И название софтины тоже адвертайзное. Поиск гоглом по имени и этим литералам ничего не дал - то ли плохо искал, то ли неизвестный науке зверь.
Так что это не вирус скорее, а происки адвертайзеров - вотчина ad-aware.
Раз ты говоришь - так и есть. Но верится с трудом. dllhost32 - это затычка, которую используют инпрок-севрера, для загрузки своего кода, создания прокси-мокси DCOM и маршалинга до "вызывающего" удалённого хоста. (в отличие от выполнения кода аут-оф-просес серверов). Самостоятель "она" (dllhost32) не может, не умеет не то, что ломиться в инет, но даже выполнить код.инет предшествовала попытка выхода в инет dllhost32, что связано с RPC.
В DCOM по интернет верится с трудом
. Хотя, у вас там всё продвинуто ПС.
Убей ту прогу. Ещё раз посмотри ACL. А потом я бы забил. Всем морду не набъёшь.