Аирганеры Томска

AirGun.Tsk.ru => Курилка => Topic started by: Ded_V on 28.03.09, 11:14:24

Title: Trojan.Flush.M
Post by: Ded_V on 28.03.09, 11:14:24

парни, кто знает защиту от этой заразы?
Trojan.Flush.M
по вечерам вырубает интернет.

Title: Trojan.Flush.M
Post by: ADF on 28.03.09, 13:13:03

а какие антивирусники-файрволы* стоят?

-----------------
* - стояли на момент появления коня.

Title: Trojan.Flush.M
Post by: Ded_V on 28.03.09, 13:24:07

конь данный гуляет в нашей сети, а не на моём компе, но гадит многим пользователям. написано про 1 час, у мну дольше.

Quote

SANS Internet Storm Center сообщает об обнаружении нового троянского приложения, которое создает поддельный DHCP сервер в локальной сети. Основная цель подобного DHCP сервера – распространение клиентам DNS серверов, контролируемых злоумышленниками. В декабре прошлого года SecurityLab сообщал своим читателям о вредоносном приложении Trojan.Flush.M, которое осуществляло подобные действия. Новый экземпляр имеет ряд улучшений по сравнению со своим предшественником. Новая версия вредоносного приложения осуществляет следующие действия:

* Устанавливает время резервирования IP на 1 час
* Устанавливает MAC назначение на широковещательный адрес
* Не указывает доменное имя DNS
* Поле options не содержит опцию END после PAD
* В отличие от Trojan.Flush.M, устанавливается BootP Broadcast Bit

Трафик пользователей перенаправляется на DNS сервера 64.86.133.51 и 63.243.173.162
Взято из http://www.securitylab.ru/news/370187.php

п.с. вир: нод 32, файр: каспер-антихакер

Title: Trojan.Flush.M
Post by: ADF on 28.03.09, 13:27:50

Меня всегда удивляет - а почему никогда не пишут способ распространения заразы? :/ Это же самое первое, о чем надо предупреждать!

Title: Trojan.Flush.M
Post by: divan on 28.03.09, 14:39:09

перовое: прописать все настройки tcp/ip статическими, т.е. не автоматически. делается так: смотришь в состояни яподключения, а потом панель управления/ сетевые подключения/ подключение по локальной сети/ свойства и вписываешь в соответствующее поля значения.
потом берёшь на http://cureit.tsk.ru свежий доктор веб cureit и сканируешь им машину пристрасно. или, если хватит смекалки, качаешь оттуда же liveCD, записываешь на болканку, грузишься с неё и сканируешь всё подряд.

Title: Trojan.Flush.M
Post by: Ded_V on 28.03.09, 16:39:29

вручную прописал ещё днём. сканировал пока что только нодом. попробуем вэбом и авастом.

Title: Trojan.Flush.M
Post by: KirOFF on 28.03.09, 16:54:38

Quote from: divan

перовое: прописать все настройки tcp/ip статическими, т.е. не автоматически. делается так: смотришь в состояни яподключения, а потом панель управления/ сетевые подключения/ подключение по локальной сети/ свойства и вписываешь в соответствующее поля значения.
потом берёшь на http://cureit.tsk.ru свежий доктор веб cureit и сканируешь им машину пристрасно. или, если хватит смекалки, качаешь оттуда же liveCD, записываешь на болканку, грузишься с неё и сканируешь всё подряд.

Начитался, скачал сканер от Др.Веб, запстил полное сканирование, на всякий случай :)))

Title: Trojan.Flush.M
Post by: Паханыч on 29.03.09, 10:22:41

а я сижу с Авастом и не парюсь.
Проблем нету и не было.

Title: Trojan.Flush.M
Post by: KirOFF on 29.03.09, 11:16:15

Quote from: Паханыч

а я сижу с Авастом и не парюсь.
Проблем нету и не было.

До поры, до времени Паша)))  Нет универсальных антивирусников, и под аваст напишут как популярным станет ))

п.с. У меня кстати тоже аваст... проверил Др.вебом, нашел одного трояна в одном только файле, и то это был образ WinLiveCD_6.2_RUS в сборки часто всякую ересь суют. А атк все ок)