Tomsk Sysadmins Forum
Windows => Администрирование => Topic started by: Слава on August 17, 2012, 14:35:16
-
Достатотчно давно где-то подхватил трояна. Он прицепился к VisualStudio и периодически, раз в 1-2 месяца, активируется. Обращается к неким адресам, разным в каждой активации. Например, в эту активацию к deploy.akamaitechnologies.com (это видно через TCPView). После нескольких дней неудачных соединений (я ему не даю) он опять на некоторое время прекращает действовать.
Ждал, что вот-вот он появиться в базах антивирусов, но этого всё никак не случается.
Как мне его отцепить?
Запустить VisualStudio под отладчиком? Практически это малореально...
Может, есть какие-то утилиты, позволяющие отследить гада...
-
Курицей пробовали склевать?
Ой...простите. CureIT drweb бесплатной просканьте систему.
Это может софт ваш на офсайт конектится куданибудь за обновлениями или еще чем. Если есть фаевол, запретите исходящие на этот адрес и включите логи и смотрите периодически. Вирусня обычно гораздо чаще себя проявляет если заражает систему.
-
deploy.akamaitechnologies.com - это хостинг большинства софтверных компаний, в т.ч. мелкомягких.
Софт без обновлений плесневеет, IMHO. Хотя может я по своему Арчу сужу ;)
-
deploy.akamaitechnologies.com - это хостинг большинства софтверных компаний
Этот адрес (плюс еще два) только в этой автивации. До этого другие были...
Если есть фаевол, запретите ...
Я пока через hosts пробовал запретить, но, похоже связь идёт по ip а не имена, поэтому не срабатывает. Сильно выручает отсутствие внешки!
Я тут попробовал ProcMon из SysInternals - отследить, кто конкретно делает обращение, однако, он у меня почему то не смог отследить сетевые запросы. Файлы, запуски и т.д. нормально отлавливал, а сеть - нет. Может, это потому, что у меня Server2003. Хотя TcpView же работает. А может это троян блокирует ProcMon?
-
По-моему, у вас не троян, а тупо ВС пытается обновиться или проверить себя на обновления. Впрочем, последнее обычно идёт через WU.
-
По-моему, у вас не троян, а тупо ВС пытается обновиться ...
Против этой версии:
1. Адреса разные в разных активациях - вот некоторые из них:
92.123.155.72
92.123.155.25
23.60.69.136
23.60.69.150
92.122.208.193
92.122.208.176
213.248.124.82
213.248.124.51
Это за последние три активации.
2. Эта штука появляется не только в VisualStudio, она срабатывает по закрытию многих программ. Просто в VS это ПРОЯВЛЯЕТСЯ в виде затыка, когда я закрываю из под него программу, которую пишу - VS не может получить управление, пока по timeout не вылетит запрос трояна. Т.е., например, при отладке каждое завершение сопровождается ~30 сек. затыком. Когда закрываешь обычные проги, этот зависон просто не видно - визуально окно закрылось, а то, что там процесс ещё не заверщён и идёт сетевой запрос, заметно только с помощью TcpView.
3. Вряд ли запрос обновлений кем-то проектируется так, что-бы неответ вызывал затыки. Особенно в VS. Обычно всё идёт параллельным процессом...
-
Хорошо, а через Wireshark вы не пробовали посмотреть характеристику посылаемых пакетов?
-
Wireshark? Пока нет, просто не в курсе, что это. Спасибо за наводку.
Пытался отследить процесс, который инициирует запрос, но, как отписал выше, почему-то ProcMon ОТКАЗАЛСЯ вообще ловить сетевую активность. А другой утилиты я пока не нашёл.
-
Посмотрел, Wareshark - это, конечная, мощная штука, но немного не то - она не поможет добраться до файла, инициировавшего запросы.
P.S. Активность вируса уже пропала, опять не успел его поймать. Теперь только ждать до следующей активации месяца через полтора...