Статья в формате Microsoft Word.
advertisement
Обнаружение спам-бота в локальной сети организации. Интернет-провайдер сообщает об аномальной активности и рассылки нежелательных электронных сообщений “спама” с моего/нашего IP-адреса. Почему? Вероятнее всего причиной является компьютерный вирус, каким либо образом попавший на один или более компьютеров в Вашей локальной сети. Что необходимо сделать в первую очередь для устранения проблемы? Если на всех компьютерах установлено антивирусное ПО, то необходимо произвести обновление антивирусных баз и выполнить полную проверку компьютеров. Проведена полная проверка компьютеров, а вируса, осуществляющего рассылку спама, не обнаружено. Что же делать? Как же выявить компьютер, на котором вирус осуществляет свою вредоносную деятельность? Вариант 1. В общем случае придётся проверить все компьютеры вашей сети, имеющие выход в интернет. Используем команду netstat Операционной системы. Нажмите кнопку ПУСК и запустите Программы -> Стандартные -> Командная строка. Появится чёрное окно с мигающим курсором, напишите там netstat –nb и нажмите клавишу Enter. В появившейся таблице найдите строчки, в которых в третьем столбце («Внешний адрес») после двоеточия стоит 25 (см. рис.1). Рис.1. Такую операцию необходимо произвести НА ВСЕХ компьютерах локальной сети. Если на каком-либо компьютере таких строчек много, скажем, больше 10, то вероятнее всего данный компьютер заражен спам-ботом, и его необходимо лечить (см. далее вопрос «Как вылечить»). Так же для просмотра активных соединений компьютера можно использовать программу TCPView. Скачиваем её с сайта sysinternals.com http://download.sysinternals.com/Files/TcpView.zip, запускаем по очереди на всех компьютерах. Перед запуском утилиты рекомендуется выключить программы, активно работающие с сетью, в первую очередь это торрентклиенты или другие подобные программы. Далее в окне программы TcpView ищем строки, у которых в столбце Remote port написано smtp. При Спам-активности такие строки появляются в реальном времени и исчезают. Пример показан на рис.2. Рис.2. Так же, если в трее показывается индикатор подключения к локальной сети “два монитора”, и экраны их постоянно светятся голубым, это говорит о постоянной сетевой активности компьютера, что может служить дополнительным признаком зараженности компьютера. Вариант 2. В некоторых случаях, если у вас в качестве интернет шлюза установлен маршрутизатор, обнаружение инфицированного компьютера может быть осуществлено им. Покажем, как это сделать на примере маршрутизатора D-Link Dir-100. Заходим в роутер, в верхней строке переходим на вкладку “STATUS”, слева выбираем “ACTIVE SESSION”, далее смотрим напротив какого ip-адреса много “TCP session”, нажимаем кнопку “Detail” справа, откроется окно, показанное на рис.3. Здесь нас интересуют строчки, в столбце Dest Port которых стоит значение 25. Нажимая кнопку Refresh, можно увидеть, как количество таких строк изменяется, одни исчезают, появляются новые. Рис.3. Вариант 3. Если в качестве интернет шлюза локальной сети используется сервер под ОС Windows или Linux, то для определения инфицированного компьютера можно установить на него Анализатор трафика (снифер). Рассмотрим, как это сделать программой Wireshark, скачать которую можно здесь: http://www.wireshark.org/download.html . Устанавливаем её и запускаем. В поле filter: пишем smtp или smtp.req, далее идём в меню capture->Interfaces, выбираем одну сетевую карту, например ту, которая смотрит на провайдера. Далее смотрим, с какого локального компьютера наблюдается высокая SMTP активность. В поле from как правило указываются электронные ящики с абсурдным именем рис.4. Рис.4. Компьютер с вредоносным ПО вычислен. Что же делать дальше? Как его вылечить? Идём на сайт компании Drweb http://www.freedrweb.com/cureit/?lng=ru и скачиваем бесплатную утилиту лечения CureIt! Установки она не требует, ее необходимо просто запустить. Осуществляем с помощью нее полную проверку компьютера. Компьютер лучше отключить от локальной сети. Может случиться, что утилита ничего не найдет. Причина банальна - просто вирус новый, и антивирусные компании о нём ещё не знают. Идём на один из форумов по борьбе с вредоносным ПО, например, http://forum.kaspersky.com/index.php?showforum=18, http://virusinfo.info/ регистрируемся там и просим помощи, в общем случае понадобится сделать логи программой AVZ.
