1

Примечание: пожалуйста, не выключайте и не закрывайте мод. Я не тупой пользователь ПК, который просит исправить мою проблему с компьютером. Я заинтригован и имею глубокий технический взгляд на то, что происходит.

Я столкнулся с машиной Windows XP, которая отправляет нежелательный трафик p2p.

Я выполнил команду netstat -b, а explorer.exe отправляет трафик. Когда я убиваю этот процесс, трафик останавливается и, очевидно, Windows Explorer умирает.

Вот заголовок потока из дампа Wireshark (xxxx) - это IP машины. 

GNUTELLA CONNECT/0.6
Listen-IP: x.x.x.x:8059
Remote-IP: 76.164.224.103
User-Agent: LimeWire/5.3.6
X-Requeries: false
X-Ultrapeer: True
X-Degree: 32
X-Query-Routing: 0.1
X-Ultrapeer-Query-Routing: 0.1
X-Max-TTL: 3
X-Dynamic-Querying: 0.1
X-Locale-Pref: en
GGEP: 0.5
Bye-Packet: 0.1

GNUTELLA/0.6 200 OK
Pong-Caching: 0.1
X-Ultrapeer-Needed: false
Accept-Encoding: deflate
X-Requeries: false
X-Locale-Pref: en
X-Guess: 0.1
X-Max-TTL: 3
Vendor-Message: 0.2
X-Ultrapeer-Query-Routing: 0.1
X-Query-Routing: 0.1
Listen-IP: 76.164.224.103:15649
X-Ext-Probes: 0.1
Remote-IP: x.x.x.x
GGEP: 0.5
X-Dynamic-Querying: 0.1
X-Degree: 32
User-Agent: LimeWire/4.18.7
X-Ultrapeer: True
X-Try-Ultrapeers: 121.54.32.36:3279,173.19.233.80:3714,65.182.97.15:5807,115.147.231.81:9751,72.134.30.181:15810,71.59.97.180:24295,74.76.84.250:25497,96.234.62.221:32344,69.44.246.38:42254,98.199.75.23:51230

GNUTELLA/0.6 200 OK

Таким образом, похоже, что вредоносная программа зацепилась за explorer.exe и спряталась, так как Norton Scan ничего не обнаружил.

Я посмотрел в брандмауэре Windows, и он не должен пропускать этот трафик.

Я просмотрел сообщения, которые explorer.exe отправляет в Spy++, и единственные связанные с ними сообщения, которые я вижу, - это сокетные соединения и т.д.

У меня вопрос, что я могу сделать, чтобы заглянуть в это глубже? Чего добивается вредоносное ПО, отправляя трафик p2p?

Я знаю, что для решения проблемы проще всего переустановить Windows, но сначала я хочу разобраться с ней, просто из интереса.

Редактировать:

Посмотрел Deoendency Walker и Process Explorer.

Оба отличных инструмента. Вот изображение TCP-соединений для explorer.exe в Process Explorer:

|источник

3 ответа3

1

Скорее всего, троян использует сеть p2p в качестве канала управления и контроля. Поскольку p2p - это все о распределении, нет единой точки, которую можно отключить, чтобы отключить ботнет.

то, что вы видите, вероятно, ваш любимый бот ищет заказы.

Еще одна идея - запустить средство обхода зависимостей на explore.exe, чтобы увидеть, какие библиотеки он использует, одной из них может быть бот.

|источник
1

Вредоносная программа, вероятно, подключается к explorer.exe.

Попробуйте использовать Processexplorer от Sysinternals, чтобы узнать больше:http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Sysinternals также имеет руткит-сканер, который находит скрытые файлы / записи реестра.

|источник
-1

Я пытался уничтожить вредоносное ПО и думаю, что оно прошло успешно.

Пожалуйста, найдите C:\Windows\halperf10.exe или любой файл .exe с относительно новой временной меткой, похожей на него.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .