Преглед за печат
На няколко машини съм забелязъл чрез командата netstat -an, че компютъра има активна връзка към някой сървър на порт 6667, този е стандартен за IRC, но няма пуснат никакъв клиент или каквото и да е, по регистрите не го намира, както и в services. с ХР са компютрите. Някои да го е срещал или идея как да се провери кое го стартира?
Ако наистина нямаш пуснат IRC клиент, ситуацията не е нормална.
Мирише на Korgo.Z - вариация на Korgo от вчера, 27.07.2004 г.
Има и 5-6 троянеца, които слушат през 6667, ама пък казваш, че в registry не си открил нищо... Все пак би ли проверил, дали в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run нямаш някой подозрителен ключ?
Възможно е. Провери дали няма активен някой подозрителен процес, който не познаваш. Казвам го от личен опит, защото когато си пуснах кабелен нет през НЕТ-ИС-САТ първото нещо което се случи беше, че в момента когато се опитах да се свържа с windows update и ми се лепна червей, подвизаващ се като процеса win64.exe. Имаше същите симптоми, свързваше се на този порт с разни IRC съсрвъри. След като инсталирах firewall, разбрах че атаката идва от различни други клиенти на същата фирма, които вече са заразени и червеят се опитва да се разпространява. Положението си е същото и до днес, но вече съм конфигурирал добре firewall-а. Така че всички потребители на горепосочената фирма трябва много да внимават.
Не е от това много добре съм прегледал регистри процеси, сканирал съм с НАВ с дефиниции от 26.07.04, с последни дефиниции до вчера на Ad-aware, Trojan remover. Възможно е да е Korgo.Z, но поне от описанието не съвпада, трябва да го видя и на място и ще го търся пак какво е точно.
Приемам всякакви идеи и т.н.