Author Topic: Trojan.Flush.M (Read 12474 times)

Ded_V · « **on:** 28.03.09, 11:14:24 »

парни, кто знает защиту от этой заразы?
Trojan.Flush.M
по вечерам вырубает интернет.

ADF · « **Reply #1 on:** 28.03.09, 13:13:03 »

а какие антивирусники-файрволы* стоят?

-----------------
* - стояли на момент появления коня.

Ded_V · « **Reply #2 on:** 28.03.09, 13:24:07 »

конь данный гуляет в нашей сети, а не на моём компе, но гадит многим пользователям. написано про 1 час, у мну дольше.

Quote

SANS Internet Storm Center сообщает об обнаружении нового троянского приложения, которое создает поддельный DHCP сервер в локальной сети. Основная цель подобного DHCP сервера – распространение клиентам DNS серверов, контролируемых злоумышленниками. В декабре прошлого года SecurityLab сообщал своим читателям о вредоносном приложении Trojan.Flush.M, которое осуществляло подобные действия. Новый экземпляр имеет ряд улучшений по сравнению со своим предшественником. Новая версия вредоносного приложения осуществляет следующие действия:

* Устанавливает время резервирования IP на 1 час
* Устанавливает MAC назначение на широковещательный адрес
* Не указывает доменное имя DNS
* Поле options не содержит опцию END после PAD
* В отличие от Trojan.Flush.M, устанавливается BootP Broadcast Bit

Трафик пользователей перенаправляется на DNS сервера 64.86.133.51 и 63.243.173.162
Взято из http://www.securitylab.ru/news/370187.php

п.с. вир: нод 32, файр: каспер-антихакер

ADF · « **Reply #3 on:** 28.03.09, 13:27:50 »

Меня всегда удивляет - а почему никогда не пишут способ распространения заразы? :/ Это же самое первое, о чем надо предупреждать!

divan · « **Reply #4 on:** 28.03.09, 14:39:09 »

перовое: прописать все настройки tcp/ip статическими, т.е. не автоматически. делается так: смотришь в состояни яподключения, а потом панель управления/ сетевые подключения/ подключение по локальной сети/ свойства и вписываешь в соответствующее поля значения.
потом берёшь на http://cureit.tsk.ru свежий доктор веб cureit и сканируешь им машину пристрасно. или, если хватит смекалки, качаешь оттуда же liveCD, записываешь на болканку, грузишься с неё и сканируешь всё подряд.

Ded_V · « **Reply #5 on:** 28.03.09, 16:39:29 »

вручную прописал ещё днём. сканировал пока что только нодом. попробуем вэбом и авастом.

KirOFF · « **Reply #6 on:** 28.03.09, 16:54:38 »

Quote from: divan

перовое: прописать все настройки tcp/ip статическими, т.е. не автоматически. делается так: смотришь в состояни яподключения, а потом панель управления/ сетевые подключения/ подключение по локальной сети/ свойства и вписываешь в соответствующее поля значения.
потом берёшь на http://cureit.tsk.ru свежий доктор веб cureit и сканируешь им машину пристрасно. или, если хватит смекалки, качаешь оттуда же liveCD, записываешь на болканку, грузишься с неё и сканируешь всё подряд.

Начитался, скачал сканер от Др.Веб, запстил полное сканирование, на всякий случай

))

Паханыч · « **Reply #7 on:** 29.03.09, 10:22:41 »

а я сижу с Авастом и не парюсь.
Проблем нету и не было.

KirOFF · « **Reply #8 on:** 29.03.09, 11:16:15 »

Quote from: Паханыч

а я сижу с Авастом и не парюсь.
Проблем нету и не было.

До поры, до времени Паша))) Нет универсальных антивирусников, и под аваст напишут как популярным станет ))

п.с. У меня кстати тоже аваст... проверил Др.вебом, нашел одного трояна в одном только файле, и то это был образ WinLiveCD_6.2_RUS в сборки часто всякую ересь суют. А атк все ок)

Аирганеры Томска

News:

Author Topic: Trojan.Flush.M (Read 12474 times)

Ded_V

Trojan.Flush.M

ADF

Trojan.Flush.M

Ded_V

Trojan.Flush.M

ADF

Trojan.Flush.M

divan

Trojan.Flush.M

Ded_V

Trojan.Flush.M

KirOFF

Trojan.Flush.M

Паханыч

Trojan.Flush.M

KirOFF

Trojan.Flush.M