Вирус шлет от меня письма. Я бессилен. - Безопасность

tolpa · 22.07.2004, 14:53

Проблема в сабже.
О том, что письма уходят, я узнаю из писем системного админа (пишутся автоматом) о том, что "остановлена отправка письма с запрещенным приложением" (сначала вирус пытался отправить SCR, потом COM). А сколько прошло незапрещенных я и не знаю.

Никаких признаков отправки писем, кроме ругательств админа не обнаруживаю.

Причем вирус их шлет на один и тот же свой адрес, не из моей адресной книги. Защита сервера их давит вне зависимости от того есть в теле вирус или нет, - запрещенный тип аттачей.
Дело происходит на работе. У нас реализована авторизация перед отправкой ("Обычный метод"). Так что, скорее всего, что идет от меня (Вирус, очевидно, берет настройки и пароль на отправку из Оутлука, я юзаю с недавних пор Бат).
Запущен 5-й КАВ в постоянку.
Проверил все диски 5-тым Каспером и Вэбом. Ни фига не находят.
По моему, возможны 2 решения:
1. Стереть все настройки в Аутлуке и смириться с тем, что гад где-то затихарился (если это поможет)
2 Ловить "на живца", то бишь поставить какой-нить фаервол (ZoneAlarm 5, как думаете подойдет?)
Кроме того, у меня стоит Новел, но пароля не знаю. Не помешает ли он фаерволу?
Что посоветуете?

ЗЫ В связи с этим долбаным вирусом в любой момент может нагрянуть служба безопасности, лишить меня незаконных админовских прав, предъявить логи походов в инет (в частности на этот форум) и отключить от всемирной паутины

ЗЗЫ А письма всё идут. Пока это набивал пришло еще одно письмо от админа.

dr-evil · 22.07.2004, 15:06

хм....
процессы левые не висят?

AKM-47 · 22.07.2004, 15:39

http://www.sysinternals.com/ntw2k/fr.../procexp.shtml
процесы посмотреть, но ты наверно ето уже делал..но взглянь на loaded dll's на всякий пожарный...
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
а етим можно вместо фаера коннекты посмотреть...фаер конечно тоже хорошо

Цитата:

Кроме того, у меня стоит Новел, но пароля не знаю

не понял, у тебя на компутере os==novell? и какой пасс..?

Merlin Cori · 22.07.2004, 15:41

первым делом - стенку.....
а там смотреть, кто ломится на мейл

SinClaus · 22.07.2004, 15:41

А в письмах админа написано, что они идут с твоего IP или с твоего почтового адреса? Вирусы их почти всегда комбинируют.

Merlin Cori · 22.07.2004, 15:42

AKM-47 на рабочем месте новел не может стоять.... только клиент

tolpa · 22.07.2004, 16:18

Цитата:

Merlin Cori:
процессы левые не висят?

Как достоверно узнать какие из них левые? Я уже попытался сравнить процессы данной 2000-ной с соседними, пока мимо. Еще перезайду как админ посмотрю в сервисах, кто без мелкософтового описалова - тех прикрою.
Сижу на модеме, и етот гад периодически улучает момент и шлет.

Цитата:

SinClaus:
А в письмах админа написано, что они идут с твоего IP или с твоего почтового адреса?

С адреса, в ругательствах админа IP не фигурирует.

С помощью SpiderMail от DrWeb (сам Spider не встает) просек след-щее

Цитата:

[07/22/04 14:49:38 00000314] c:\documents and settings\user\local settings\temp\drw35.tmp - архив MAIL
[07/22/04 14:49:38 00000234] Сообщение от <postmaster@cpitransport.com.ph> (drw35.tmp) - вирусов не обнаружено

Именно на этот адрес и идут письма.

Цитата:

AKM-47:
а етим можно вместо фаера коннекты посмотреть

Щас скачал попробую.

Цитата:

AKM-47:
взглянь на loaded dll's на всякий пожарный

Не понял.

Это делается с помощью указанного выше софта? Или как?

Michael · 22.07.2004, 16:49

Скорей всего вирусы идут вообще не с твоего компьютера, а от кого-то, у кого ты есть в адресной книге. А вообще была какая-то программа, которая независимо от стен спрашивает каждый раз разрешение отправить письмо.

tolpa · 22.07.2004, 17:13

Цитата:

Michael:
Скорей всего вирусы идут вообще не с твоего компьютера

Нет. - SpiderMail зафиксировал коннект.

Anarchist · 22.07.2004, 17:18

По моему стенка это должна отловить, ставить надо по любому ...

Не повредит скачать McAfee AVERT Stinger ,
програмка маленькая, всю последнюю гадость чистит отлично.

tolpa · 22.07.2004, 18:00

Поставил ZoneAlarm5. Ждемс.

Я щас перечитал логи SpiderMail. Так процитированный выше лог был по 110 порту, то бишь на получение почты! А письма идут на самом деле на pol.castillo@cpitransport.com.ph То бишь будет 25-й порт. Его пока в логах не обнаружил.
То есть я помимо моей воли получаю письма от postmaster@cpitransport.com.ph и отсылаю на pol.castillo@cpitransport.com.ph, но уже с вложенном COM-ом.
Абсурд какой-то

dominos · 22.07.2004, 19:05

tolpa
Мне несколько раз приходили поддельные ответы от почтового сервера, будто-бы мое письмо не дошло и отправлено мне обратно. Конечно, в письмах были вирусы. Советую хорошенько проверить заголовки этих писем и сравнить с настоящим ответом этого мейл-сервера.

vicyo · 22.07.2004, 19:57

Цитата:

tolpa:
Цитата:
Merlin Cori:
процессы левые не висят?

Как достоверно узнать какие из них левые? Я уже попытался сравнить процессы данной 2000-ной с соседними, пока мимо.

А Google для чего придуман? Рассчитываешь на доброго дядю-телепата?

tolpa · 22.07.2004, 20:29

to Dominos Я же привожу логи SpiderMail. По-моему сомнения снимаются.

Цитата:

vicyo:
А Google для чего придуман?

Никогда бы не подумал, что гугли придумали для этого

Что, каждый exe-шник вписать в поиск? Завтра попробую.

По-моему, вирус "присоседивается" к портам, открываемым Батом. - Возможна ли такая чупуховина или что-нить подобное?

А вообще, если бы это произошло дома (а может и происходит), то мне бы пожалуй никакой админ сервера ничего отписывать не стал и я бы ва-аще ничего не заметил. - Потому как прога траффик не жрет. - Одно-два мелких письма в день.
Задумайтесь над етим в смысле собственной безопасности.

dominos · 22.07.2004, 22:18

[b]tolpa[/]

Цитата:

процитированный выше лог был по 110 порту, то бишь на получение почты! А письма идут на самом деле на pol.castillo@cpitransport.com.ph То бишь будет 25-й порт

Я так понял, что на 25-й ничего не ушло. Кроме того, если это вирус посылает письма, значит Др.Веб его не знает, иначе бы уже нашел, значит и в письмах он его найти не может. Имхо.

KalaSh · 23.07.2004, 06:36

У Касперского на сайте лежит бесплатная утилита, которая позволяет отлавливать около сотни самых распространённых вирусов. Можешь скачать здесь _http://www.kaspersky.ru/removaltools?vtopen=146410248#open
Распакуй zip на диск c:\ потом в строке выполнить напиши c:\clrav.com /s. Должно помочь. Удачи.

Interceptor · 23.07.2004, 11:57

tolpa
Так, стенка уже что-нить отловила, что стучится на 25 порт?

tolpa · 23.07.2004, 12:42

to KalaSh
clrav на С: и в сервисах ничего не нашла, щас работает на Д:
"

Цитата:

Interceptor:
Так, стенка уже что-нить отловила, что стучится на 25 порт?

Кроме Бата (и соотв-но SpiderMail) ничего.
Но писем от админа пока не получал.
В логах SpiderMail пока тоже "чисто".
to dominos
С установкой SpiderMail я чуток опоздал, с момента его установки пока ничего не уходило, поэтому записей о 25-том порту нет. А Spider от DrWeb не устанавливается (c 2000-ной это бывает). Пользую Каспера.

Люди, у кого установлен SpiderMail, посмотрите плз, это он создает временный файл в момент приема-отправки c:\documents and settings\user\local settings\temp\drw??.tmp или нет? (где ?? - две цифры)
Это можно увидеть в его логах.

Interceptor · 23.07.2004, 13:05

tolpa
Некоторые вирусы "впадают в спячку", если видят присутствие стенки
Могу предложить поюзать TCP-view: тоже показывает кто на каком порту что делает, но стенкой как таковой не является.
Посмотри в автострате: нет ли чего подозрительного

tolpa · 23.07.2004, 13:24

Цитата:

dominos:
Советую хорошенько проверить заголовки этих писем и сравнить с настоящим ответом этого мейл-сервера.

Чёта я совсем плохой стал. Наконец-то внял этому совету, и понял, что мне пишет админ этого филлипинского сервака postmaster@cpitransport.com.ph, а не наш, конторский. Фу, отлегло.

Всё. Теперя, я практически уверен, что туда шлет письма вообще хрен хнает кто, а не я и, скорее всего, не кто-либо из нашей конторы.
Спасабо всем

.
Думаю проблема частично снята и этому постмастеру не хватит ума связываться с нашим админом с целью выяснения причин отправки писем с запрещенными аттачами.
Наверное найти реального автора этих писем невозможно?

22.07.2004, 14:53	# 1
tolpa Junior Member Регистрация: 23.06.2004 Адрес: СПб Сообщения: 116	Вирус шлет от меня письма. Я бессилен. Проблема в сабже. О том, что письма уходят, я узнаю из писем системного админа (пишутся автоматом) о том, что "остановлена отправка письма с запрещенным приложением" (сначала вирус пытался отправить SCR, потом COM). А сколько прошло незапрещенных я и не знаю. Никаких признаков отправки писем, кроме ругательств админа не обнаруживаю. Причем вирус их шлет на один и тот же свой адрес, не из моей адресной книги. Защита сервера их давит вне зависимости от того есть в теле вирус или нет, - запрещенный тип аттачей. Дело происходит на работе. У нас реализована авторизация перед отправкой ("Обычный метод"). Так что, скорее всего, что идет от меня (Вирус, очевидно, берет настройки и пароль на отправку из Оутлука, я юзаю с недавних пор Бат). Запущен 5-й КАВ в постоянку. Проверил все диски 5-тым Каспером и Вэбом. Ни фига не находят. По моему, возможны 2 решения: 1. Стереть все настройки в Аутлуке и смириться с тем, что гад где-то затихарился (если это поможет) 2 Ловить "на живца", то бишь поставить какой-нить фаервол (ZoneAlarm 5, как думаете подойдет?) Кроме того, у меня стоит Новел, но пароля не знаю. Не помешает ли он фаерволу? Что посоветуете? ЗЫ В связи с этим долбаным вирусом в любой момент может нагрянуть служба безопасности, лишить меня незаконных админовских прав, предъявить логи походов в инет (в частности на этот форум) и отключить от всемирной паутины ЗЗЫ А письма всё идут. Пока это набивал пришло еще одно письмо от админа. __________________ Энто как же, вашу мать, извиняюсь, понимать? Мы ж не Хранция какая, чтобы смуту подымать! (С) Филатов

22.07.2004, 15:06	# 2
dr-evil ::VIP:: Регистрация: 17.02.2002 Адрес: /home/dr-evil Пол: Male Сообщения: 2 212	хм.... процессы левые не висят? __________________ Сеть - это диагноз... а сисадмин - состояние души. Питер! Все на сходку!!! \| Обзоры порталов. Добавь свою любимую систему!

22.07.2004, 15:41	# 4
Merlin Cori Moderator Регистрация: 29.04.2002 Адрес: Moscow Пол: Male Сообщения: 2 980	первым делом - стенку..... а там смотреть, кто ломится на мейл __________________ Есть две бесконечные вещи, Вселенная и глупость. Впрочем, на счет Вселенной, я не уверен Вклад IMHO.WS в медицину и науку Присоединяйтесь!!!!!

22.07.2004, 15:41	# 5
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 328	А в письмах админа написано, что они идут с твоего IP или с твоего почтового адреса? Вирусы их почти всегда комбинируют. __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

22.07.2004, 15:42	# 6
Merlin Cori Moderator Регистрация: 29.04.2002 Адрес: Moscow Пол: Male Сообщения: 2 980	AKM-47 на рабочем месте новел не может стоять.... только клиент __________________ Есть две бесконечные вещи, Вселенная и глупость. Впрочем, на счет Вселенной, я не уверен Вклад IMHO.WS в медицину и науку Присоединяйтесь!!!!!

22.07.2004, 16:49	# 8
Michael Junior Member Регистрация: 22.11.2001 Адрес: Russia SPB Сообщения: 161	Скорей всего вирусы идут вообще не с твоего компьютера, а от кого-то, у кого ты есть в адресной книге. А вообще была какая-то программа, которая независимо от стен спрашивает каждый раз разрешение отправить письмо. __________________ sport

22.07.2004, 17:18	# 10
Anarchist ::VIP:: Регистрация: 29.01.2004 Адрес: Israel Сообщения: 1 268	По моему стенка это должна отловить, ставить надо по любому ... Не повредит скачать McAfee AVERT Stinger , програмка маленькая, всю последнюю гадость чистит отлично.

22.07.2004, 18:00	# 11
tolpa Junior Member Регистрация: 23.06.2004 Адрес: СПб Сообщения: 116	Поставил ZoneAlarm5. Ждемс. Я щас перечитал логи SpiderMail. Так процитированный выше лог был по 110 порту, то бишь на получение почты! А письма идут на самом деле на pol.castillo@cpitransport.com.ph То бишь будет 25-й порт. Его пока в логах не обнаружил. То есть я помимо моей воли получаю письма от postmaster@cpitransport.com.ph и отсылаю на pol.castillo@cpitransport.com.ph, но уже с вложенном COM-ом. Абсурд какой-то __________________ Энто как же, вашу мать, извиняюсь, понимать? Мы ж не Хранция какая, чтобы смуту подымать! (С) Филатов Последний раз редактировалось tolpa; 22.07.2004 в 18:02.

22.07.2004, 19:05	# 12
dominos Junior Member Регистрация: 10.02.2003 Сообщения: 96	tolpa Мне несколько раз приходили поддельные ответы от почтового сервера, будто-бы мое письмо не дошло и отправлено мне обратно. Конечно, в письмах были вирусы. Советую хорошенько проверить заголовки этих писем и сравнить с настоящим ответом этого мейл-сервера.

23.07.2004, 06:36	# 16
KalaSh Moderator Регистрация: 30.10.2003 Адрес: 2men'57°10'N65°33'E Сообщения: 2 165	У Касперского на сайте лежит бесплатная утилита, которая позволяет отлавливать около сотни самых распространённых вирусов. Можешь скачать здесь _http://www.kaspersky.ru/removaltools?vtopen=146410248#open Распакуй zip на диск c:\ потом в строке выполнить напиши c:\clrav.com /s. Должно помочь. Удачи. __________________ Правила раздела "ICQ, IRC, Trillian, Miranda, &RQ и прочие.." Вклад IMHO.WS в медицину и науку Присоединяйтесь

23.07.2004, 11:57	# 17
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	tolpa Так, стенка уже что-нить отловила, что стучится на 25 порт?

23.07.2004, 13:05	# 19
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	tolpa Некоторые вирусы "впадают в спячку", если видят присутствие стенки Могу предложить поюзать TCP-view: тоже показывает кто на каком порту что делает, но стенкой как таковой не является. Посмотри в автострате: нет ли чего подозрительного