Mike A. Kuznetsov (ex_mikevmk) wrote in ru_root,
Mike A. Kuznetsov
ex_mikevmk
ru_root

Categories:

мистика: tcp-пакеты от спам-бота, появляющиеся ниоткуда

Сразу прошу меня извинить, если я не вижу чего-то очевидного и туплю.

В локальной сети есть компьютер под управлением ОС Windows XP pro, компьютер имеет ip-адрес N и выходит в интернет через шлюз.

В один день на шлюзе становится заметна паразитная сетевая активность с ip N на 25 порт во внешний мир (разумеется, зарезаемая). Делается вывод, что на машине действует спам-бот. Ну, как говорится, действует и действует, но неприятно, что установленный на машине (как и на других windows-машинах сети) антивирус eset nod32 2.7 с актуальными базами сигнатур такового не обнаружил.
Это не так интересно, интересно следующее.

Запущенный на машине wireshark (бывш. ethereal) никаких пакетов, уходящих на 25 порт через единственный интерфейс (с ip N) не фиксирует. Одновременно с этим на шлюзе они видны.

Выключаю машину (при этом поток соединений на 25 порт прекращается) и пытаюсь найти еще кого-нибудь в сети с тем же ip. Не нахожу. Включаю машину - поток на шлюзе снова фиксируется, а на машине - нет.

Предположения два:

1. Маленькие зеленые человечки с программатором прошили бота в сетевуху.
2. Winpcap, который используется программой wireshark, как-то можно обойти
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 30 comments