трафик през порт 2869

[Raid]

Вече около две седмици компютърът ми генерира изходящ мрежови трафик в обем от около 20Mb и входящ от около 150 Mb дневно (за 9-10 часа работа). Сървисът е SVCHOST, който слуша порт 5000 и изпраща на порт 2869.



1. Компютърът е Notebook HP-Compaq nx9010, с Win XP-SP1 (и всички ъпдейти към 15.09.2003). Обикновено вървят и Apache 2.0, YahooPOPs, ICQ Lite, Desease Popper (network chat) и NAV, но и при спирането им (без NAV) резултатът е същият.



2. Антивирусно сканиране с NAV (дефиниции от 10.09.2003) и Panda не открива нищо.



3. На рутъра - Win XP-SP1 (и всички ъпдейти към 15.09.2003), е инсталиран ZoneAlarm 4.0.146.029.



4. При инсталиране на ZoneAlarm на ноутбука успешно забранявам изходящия трафик през порт 2869, но след около 5-6 мин. компютърът забива. При опит за блокиране на входящия трафик от 2869 на рутъра нищо не се променя.



5. При физическо прекъсване на Интернет-връзката (на рутъра) трафикът изчезва.



6. При работещи всички изброени по-горе приложения има стартирани 4 svchost процеса, като подозрителният е SYSTEM-процес и заема променлива част от паметта (между 8200 и 8600 Kb)



Може ли някой да ми каже как мога да открия приложението, което използва сървисите на svchost, генерира трафик към порт 2869 и кара компютъра ми да работи със скоростта на Правец 8?

[HGD]

И при мен имаше подобен проблем. AVG 6 откри Worm/Nachi . Премахна го, но пък се появи Worm/Lovsan.A (MSBlast.exe). Премахнах го ръчно (ехе - 6 кв в директория /system32). Сложих и пача за Win2k - Windows2000-KB824146-x86-ENU.exe. и вече от 4 часа нямам проблеми, май (поне не е забивал).

[Raid]

@HGD



С NAV открих на един от другите ноутбуци Welchia (който между другото ликвидира MSBlast). Човекът с този ноутбук не си признава, че е имал MSBlast, ама нещо не му вярвам... Патчът е инсталиран на всички компютри с XP в мрежата.



Що се отнася до Nachi (който също утрепва blast-a), той се помещава в dllhost.exe. Оригиналният dllhost.exe е с размер около 5 Kb, докато този на Nachi е 10240 b. Моят си е ОК. Освен това този worm инсталира 2 сървиса - WINS Client (dllhost.exe) и Network Connections Sharing (svchost.exe), които при мен ги няма...



Така, че не ми е това случаят []. Все пак благодаря за желанието да помогнеш [].

[HGD]

В www.data.bg има една програма Hyena 5.2. Ето инфото и:



"Hyena e една доста интересна и забавна програма. Работи в мрежа където са инсталирани Win 2000 или WinXP. С нея може да влизате в не share-нати директории на компютрите по мрежата. Можете да гасите РС-тата, програмите и да прекъсвате процесите на РС-то в което сте влезнали. Има много интересни функции, препоръчвам ви я. Това НЕ Е ТРОЯНСКИ КОН. Състои се само от 1 файл, не е необходим друг за другите РС-та както при троянците."



http://filipov.data.bg/Programs/Hyena 5.0/hyena 5.0c+crack.zip



Чрез нея видях кои програми използват услугата svchost.exe. Тя ИМА и много други плюсове. Виж я!



Name Display Name Status Type Startup Account Dependencies Executable

RpcSs Remote Procedure Call (RPC) Running Service (Shared Process) Manual LocalSystem C:\WINNT\system32\svchost -k rpcss

BITS Background Intelligent Transfer Service Running Service (Shared Process) Automatic LocalSystem LanmanWorkstation;Rpcss;SENS;Wmi C:\WINNT\System32\svchost.exe -k BITSgroup

EventSystem COM+ Event System Running Service (Shared Process) Manual LocalSystem RPCSS C:\WINNT\System32\svchost.exe -k netsvcs

Netman Network Connections Running Service (Shared Process) Manual LocalSystem RpcSs C:\WINNT\System32\svchost.exe -k netsvcs

NtmsSvc Removable Storage Running Service (Shared Process) Automatic LocalSystem RpcSs C:\WINNT\System32\svchost.exe -k netsvcs

RasAuto Remote Access Auto Connection Manager Stopped Service (Shared Process) Manual LocalSystem RasMan;Tapisrv C:\WINNT\System32\svchost.exe -k netsvcs

RasMan Remote Access Connection Manager Running Service (Shared Process) Manual LocalSystem Tapisrv C:\WINNT\System32\svchost.exe -k netsvcs

RemoteAccess Routing and Remote Access Stopped Service (Shared Process) Disabled LocalSystem RpcSS;+NetBIOSGroup C:\WINNT\System32\svchost.exe -k netsvcs

SENS System Event Notification Running Service (Shared Process) Automatic LocalSystem EventSystem C:\WINNT\system32\svchost.exe -k netsvcs

SharedAccess Internet Connection Sharing Running Service (Shared Process) Automatic LocalSystem RasMan C:\WINNT\System32\svchost.exe -k netsvcs

TapiSrv Telephony Running Service (Shared Process) Manual LocalSystem PlugPlay;RpcSs C:\WINNT\System32\svchost.exe -k netsvcs

wuauserv Automatic Updates Running Service (Shared Process) Automatic LocalSystem C:\WINNT\system32\svchost.exe -k wugroup

[Malone]

HGD

Ще я пробваме програмката, само дето crack-а не е за нея.

От написаното, ми се струва, че е за версия 5.0

А тази е 5.2с

Намерих работещ за нея.

Ако някой иска, ще му го кача някъде.

Малко съмнителен е алгоритъма, по точно странен, но проработи [keygen-а].

Първо се въвежда информацията, patch-ва се [в инсталационната директория], след това при поискване на рег. информация се въвежда тази, с която си patch-нал. Така, че е добре да се запомни или запише какво точно си въвел и какво е генерирано.

[HGD]

Съжалявам Malone, но не съм опитал да я регистрирам. Благодаря за корекцията - прав си. Засега и така ми върши работа - neregistrirana. А за рагистрацията - има си достатъчно сайтове за кракове, хакове и др.

[MetalMilitia]

Hmm... Interesno zvu4i taq Hyena. 6te q probvam

[Suren]

А върши ли цялата тази работа, която са написали и на какъв принцип след като не е троянски кон и се състои само от клент без сървър т.е. не е и програма за отдалечено управление?

[Malone]

Поне аз не установих да прави това, което е написано.

Може би аз не правя нещо както трябва.



HGD при теб как е?

Имам достъп само до шернатите ресурси. До другите нямам.

При опит за рестарт на отдалечената машина дава съобщение за грешка.

Нито една от сервизните или административни възможности на програмата не работи за отдалечен компютър.



HGD, искаш ли keygen-a, че ми се струваш нещо обиден.



Ти не си длъжен да знаеш, че keygen-а не работи. Не те критикувам...



Ако сайта е твоя просто качи работещия.

[HGD]

Здравей Malone, сайта не е мой. Не съм обиден на никого. Аз го тествах само на Win2k мрежа и си работи нормално. На ХР може и някои неща да не работят. Не знам, още не съм опитал в такава мрежа. Ако си администратор на мрежата, всичко си работи (то пък ако беше админ щеше ли да ти трябва тази програма . При използване с цел хакване, би трябвало да се изпирват определени трудности - ТОВА НЕ Е ХАКЕРСКИ ИНСТРУМЕНТ, а инструмент който да олесни живота на Админа.

Това са си само мои разсъждения. Може и да не са напълно верни .



Опитай да си поиграеш с настройките на програмата, а и с десния бутон на мишката.



А по повод темата за порт 2869 - едни приятел спомена, че има подобно червейче с троянски наклонности, но не помни точните портове. Опитай с някои по-неизвестни антивирусни програми, но мисля че и КАV ще свърши работа. NAV не е най-доброто решение, а най-популярното.

[klamer]

Програмчето ползва SMB Pass Bug

При опит за свързване със шернат ресурс win хоста изпраща паролата в зашифрован вид на клиента , и тази програма го разшифрова.

Макар че аз съм го пробвал само за 98, явно има подобен проблем и в ХР

[Raid]

@HGD

Благодаря за програмката! От около час вече се боря с нейна помощ, но засега без резултат. Имам 31 работещи в момента инстанции на svchost и всички имат "легитимно" на пръв поглед описание (и поведение). Сега ще почвам един по един да ги спирам (на първо време само тези, които нямат dependencies), за да видя кой от тях се ползва от червейчето. За съжаление не успях да разбера (нито чрез Hyena, нито по друг начин) кой процес ползва съответните сървиси.



Не знам дали е за съжаление или не, но от сутринта мрежовият ми трафик е общо 15 Mb - нещо червейчето се е прибрало в дупчицата си и не се показва []. Да му се не види! Две седмици ме тормози и след като се оплаках се покри. Може би отворкото от другата страна на линията си е изключил компа, знам ли... Или пък му е станало съвестно след като ми е прочел post-а [].



@Malone

При мен също по принцип не позволява да ползвам ресурси, които не са шернати, НО - пусна ме като у дома в router-a(?!?): C:\, Users, Services - всичко! А той на всичкото отгоре е и с firewall. Вярно, че съм му trusted network, ама не е редно... Сега ще пробвам при разрешен Guest-account каква е случката при другите компютри...



@suren

Това си Е програма за отдалечено управление, независимо че не инсталира клиентски модул - просто ползва NT сървиси (RPC).



@klamer

Кое "програмче" ползва SMB Pass Bug? Какъв е тоя bug? След като се знае, че е bug, няма ли "кръпка"?



Продължавам да се боря. Всякакви предложения са добре дошли. Пак благодарности на HGD []

[Malone]

HGD

Радвам се.

Не, не искам да тровя никого, нито пък да хаквам някого от общата ни приятелска мрежичка. После ще има The Enemy Strike Back и така до безкрайност. За други мрежи нямам толкова изразени скрупули.

Просто ми е интересно да си видя грешката, ако аз правя някаква.

В мрежата има всякакви OS, ще търся някаква закономерност.

[klamer]

Всъщност това не е бъг а е "Вискотехнологично решение за вашите мтежови проблеми..."

Лично съм се убедил в това като съм използвал smbclient пачнат с http://void.ru/cgi-bin/fget?/files/backrush.tgz и съм се свързвал с 98 без да знам паролата

Повече по въпроса:

http://lists.insecure.org/lists/bugt.../Jan/0224.html

http://www.securitytracker.com/alert...r/1006608.html

Не съм срещал машина с 98 да откаже достъп , така че не знам дали има патч за 98, а на ХР не съм го пробвал

[Suren]

SMB бъга на Windows 9х се решава с патч Q273991

http://support.microsoft.com/default...NoWebContent=1



klamer: след като се сложи този патч трудно ще влезеш в share-ната папка без да знаеш паролата.