Куда лезет svchost? Деревенские "чудо хакеры" или очередной подставной сервак

интернет безопасность сеть ip svchost

И так, собственно, снова этот "svchost" (прочёл про этот процесс уже прочёл, знаю что это и для чего нужно). Настораживает следующие: данный процесс передаёт куда-то на сторону 16-30 Кб инфы (может и больше, ибо как я понимаю передаёт он её с каким-то интервалом, как мне кажется не постоянным /может несколько раз в день, а может и раз в несколько, всё зависит от того, какой собственно процесс в svchost это делает/) в одностороннем порядке, включаясь секунд на 10-20 и затем выключаясь.

Насколько я понял, наблюдал 2-3 раза, запускается он вместе с скрытым процессом обновления винды :). Сейчас вы мне скажите, что всё нормально, что это винда отсылает себе статистику или ещё что. Да только вот я отключал эту опцию изначально, так что это мало вероятно. Собственно, виндовский процесс обеспечивающий обновление идёт по 443 порту на https, айпи, куда идёт обращение действительно является одним из серверов обновления виндовс - претензий нет, но вот второй по 80-е идёт явно на чей-то комп (дальше объясню почему так решил).

Проверил айп: попытался обратится на прямую (если сайт, то можно зайти по айпу) через браузер - встретил "стенку", думал проверить через "хуиз" - зависло (минут 5-ь обрабатывало запрос - что вызвало Ооочень огромное удивление). Благо есть другие ресурсы для этих целей (пользовался этим http://2ip.ru/whois/) - сказали что Франция, и выдали кое-какую инфу:
<a href="http://iphotka.ru/share-D394_4B1AE073.html"><img src="http://iphotka.ru/thumb-D394_4B1AE073.jpg" border="0"></a>

Примечание:
Больше всего заинтересовал диапазон доступных айпов: 87.248.194.0 - 87.248.223.255 (сразу бросается в глаза их небольшое количество /30 х 256=7 680/, да и сама информация о владельце настораживает). Собственно расположение данного "провайдера" тоже улыбнуло (http://2ip.ru/geoip/?ip=87.248.217.138, попробуйте вид со спутника и постепенно увеличьте масштаб). Предположение, что это небольшой городок - косвенно подтвердилось.
Что было дальше? Дальше кинулся проверять нарушителя на вшивость (вирустотал, вирскан, каперский да и доктор вёб в один голос заявили - ни какой гадости нет). Такое положение дел заставило задуматься: первое, что пришло в голову - создать правило "блокировки" данного адреса (но в итоге, заменено на "отслеживание" сетевой активности с данным ресурсом). После создания данного правила сразу же создал правило на "отслеживание" активности со всем доступным диапазоном адресов (вспомнил про "стенку"). Мысль: буду следить, и что? байтики, то будут уходить.. в итоге ещё одно правило, но уже на "блокировку" данного диапазона адресов.
Ну а дальше - "пробил" процесс, прочёл про него и не много успокоился: все активные svchost запускались из папки system32 (проверено в Process Explorer 11.33), 6 штук /от 1,5М до 3М, и самый увесистый до 30М/. Скачал прогу Svchost Process Analyzer 1.1 (www.neuber.com), запустил, выдала, что 2 из 6 определить не может, сказала, что эти 2-а процесса не принадлежат винде и запущены от имени администратора, чем собственно вызвала ещё большее удивление.

Примечание:
Там же для точного определения этих процессов советовали скачать Security Task Manager (http://www.neuber.com/taskmanager/). Скачал портативную триал версию, запустил, глаза стали квадратные: вместе с оценкой приложение выдал мне неудовлетворительные оценки по надстройкам к ие (??? которые у меня отключены, да и вообще сам ИЕ приведён в полную не дееспособность путём принудительного обращения к "мифическому" прокси), пометил как опасные некоторые службы антивируса и прочие нужные программы /нужно отметить, что в низу программы есть важное замечание - гласящие: что не все программы оценённые как потенциально опасные, являются таковыми, они могут быть и хорошими, просто механизм оценки такой вот :) /, а вот интересующие процесс "svchost" не показал, зато при закрытие выдал интригующую инфу: мол в системе есть подозрительные длл и запущенные процессы, но они вот в триал версии не отображаются :) - купите лицензию за 29$ и посмотрите на них.

После подобного заявления, программа была списана как хлам, и снова был применён Process Explorer 11.33, который в отличие от платного собрата СМОГ!!! таки определить подозрительных нарушителей, ими оказались RpcSs, которая по ТСР прослушивала сама себя и была запущена от имени Network Service и Webclnt, запущеный от имени Local Service, и не проявляющая ни какой сетевой активности.

На этом можно было бы поставить жирную точку в данном деле, и по прочтению выше изложенного в коментах поругать автора за кучу написанного бреда, который пришлось читать, возможно, добавив, мол, сам разобрался - и то хорошо.. Да вот не задача, вчера, часов в 10-ь заорал антивирь, мол лезет падла какая-то туда, куда нельзя. Посмотрел отчёт, стучалась "какая-то падла" по 80-е по этим адресам: 87.248.218.206, 87.248.218.207, 87.248.218.234, 87.248.219.135, 87.248.219.149, 87.248.217.71, 87.248.216.40; сюда в этот раз не стучала 87.248.217.138 (это только один из пойманных ранее адресов).

Примечание:
Смотря на такое вот разнообразие адресов приходит лишь одна мысль, что "не известная" прога стучится по всему доступному диапазону, который, скорей всего, принадлежит одной машине (либо одному человеку, причём если он не владеет всем диапазоном, то он либо контролирует "машины" с данными адресами, либо в программе прописаны все доступные для него динамические адреса, в чём я сомневаюсь). И так вывод: он владеет всем диапазоном адресов (либо через сервак, владельцем которого он является, либо через подчинённые нему машины, которые он админит или которые он зомбировал, не суть дела).

И вот собственно вопрос: как узнать, какая именно программа через svchost отсылает данные? Ибо сидеть и ждать, пялясь в монитор, когда она снова будет лезть не подходит.

P.S. Напомню, если обнаружите у себя, что какой-либо процесс стучит в данный диапазон адресов: 87.248.194.0 - 87.248.223.255 - принимайте меры! Если вы знаете, что за программа стучится туда - пишите, а то, вдруг, получится, что у вас что-то украли, а вы об этом даже и не знали, будет очень обидно. /Кстати, очень даже вероятно, что это очередной хакерский сервак/

Примечание:
ДА, ВОТ СОБСТЕННО УЗНАЛ ЧТО К ЧЕМУ...

Итак, собственно, ситуация разрешилась давно, точнее когда пришлось некоторые программы обновлять. При запрещение данного диапазона -> 87.248.194.0 - 87.248.223.255 страдают:
1. виндовс апдейт (по не известным мне причинам, сайт хостится на одном диапозоне адресов, а вот апдейты, фиксы закачиваются непосредственно с этого)
2. NormanMailware - он тоже сидит в этом диапазоне
3. JDownloader – (апрещение этого диапозона чревато не возможностью использовать дыры при загрузке c megaupload и megarotic, без премиума)
4. Что-то ещё было, но уже не помню

З.Ы. А вот инфу на сторону сливает один из сервисов винды (это не эксплорер, не медиа плейер, не офис, а что-то наподобие утильки по аутентификации, ибо помимо 80-и, стучится и 443-у), какой точно не выяснил, нужно будет поставить снифер и проверить :)))
Ответы:
Ой ты и накатал) Проверь msconfig для начала, что бы никаких левых программ и сервисов не запускалось. Проверь _планировщик событий. И поставь какой нибудь сниффер, главное что бы он перехватывал пакеты до стены, иначе ничего не отследишь что он там отправляет. Вообщем смотришь что он там отправляет и ищешь от какого вируса/трояна это могут быть следы. Как узнать откуда был запущен svchost не знаю, самого этот вопрос интересует. Попробуй не сидеть под админом.
А еще проще всего переставить систему и проверить загрузочные сектора. Я бы лучше не рисковал, тем более если деньги хранишь в вебе.
Фейрвол + Антивирус-решение всех Ваших проблем
Можно ещё попробовать spywareterminator, показывает все процессы и по своей базе данных проверяет на вшивость. Не конфликтует с антивирусами. На слабой машине я обходился только им и проблем не было. Скачать можно с оффсайта, программа бесплатная, есть русский язык.
Недавно обнаружил на чужой машине в папке Temp (!) файлы с именами a.exe - f.exe (включительно). Решил убить. Фиг вам! Удалились все, кроме c.exe, разблокировать не удалось. Посмотрел список программ с помощью ZoneAlarm, оказалось, что для c.exe был открыт доступ в интернет. Установил для неё с помощью ZoneAlarm условие kill, после чего смог удалить её. (Это - информация к размышлению).
А теперь - самый цимус. Вся эта хрень появилась после посещения сайта _http://warezhere.com/_ и скачивания оттуда ключей. Как выяснил, при запуске кейгена, взятого с этого сайта, ничего не происходило, а сам файл кейгена удалялся. Но зато он создавал вот такие файлы в папке Temp. Бойтесь данайцев, приносящих яйцев!
Аффтару пасибо. Мосг — решение всех наших проблем!
Ну, автор, крут. Слепым десятипальцевым методом печатаешь? :)


15 лет назад

RPI.su - самая большая русскоязычная база вопросов и ответов. Наш проект был реализован как продолжение популярного сервиса otvety.google.ru, который был закрыт и удален 30 апреля 2015 года. Мы решили воскресить полезный сервис Ответы Гугл, чтобы любой человек смог публично узнать ответ на свой вопрос у интернет сообщества.

Все вопросы, добавленные на сайт ответов Google, мы скопировали и сохранили здесь. Имена старых пользователей также отображены в том виде, в котором они существовали ранее. Только нужно заново пройти регистрацию, чтобы иметь возможность задавать вопросы, или отвечать другим.

Чтобы связаться с нами по любому вопросу О САЙТЕ (реклама, сотрудничество, отзыв о сервисе), пишите на почту [email protected]. Только все общие вопросы размещайте на сайте, на них ответ по почте не предоставляется.