Вирусные блокировки

В нашей сети работает автоматическая антивирусная система, отслеживающая сетевую активность абонентов. Если за короткое время фиксируется значительное количество «подозрительных» соединений, то учетная запись абонента блокируется за нарушение Регламента:

АБОНЕНТ обязуется:
4.2.4 Соблюдать правила пользования услугой:

  • Не организовывать действий, способных помешать нормальной работе других АБОНЕНТОВ, оборудованию ИСПОЛНИТЕЛЯ или всей сети («хакерские» атаки);
  • Не распространять вирусные программы и программы «троянских коней»;
  • Не распространять в сети материалы рекламного или коммерческого содержания, осуществляемые не по установленным правилам распространения коммерческой информации, СПАМ;

Перед снятием блокировки необходимо очистить компьютер от вирусов: Методика лечения.

Внимание! Ни одна антивирусная программа не обеспечивает абсолютной защиты! Подробная инструкция по защите компьютера от вирусов есть в статье «Антивирусная защита».

Снять первую вирусную блокировку можно самостоятельно на сайте статистики в разделе «Антивирусная защита». Снять повторную блокировку Вы уже не сможете. Если блокировка Вами была снята, но появилась вновь, то это свидетельствует о том, что вирус с компьютера не был удален, либо компьютер заразился повторно. Нужно пролечить компьютер и сообщить в отдел технической поддержки о принятых мерах. После этого блокировка будет снята специалистами отдела.

Примеры логов, на основании которых ставится блокировка:

Лог, характерный для вируса Downadup:

dstIP 	          prot   srcPort   dstPort   octets   packets
194.67.45.124 	  6 	 2164 	   80 	     673      5
194.67.45.60 	  6 	 2244 	   80 	     1095     8
195.189.226.252   6 	 2388 	   80 	     856      5
74.125.79.147 	  6 	 2024 	   80 	     2948     17
83.222.4.247 	  6 	 2413 	   80 	     664      5
183.36.197.50 	  6 	 2062 	   445 	     96       2
157.81.24.88 	  6 	 2068 	   445 	     96       2
207.37.148.28 	  6 	 2069 	   445 	     96       2
198.75.210.70 	  6 	 2073 	   445 	     96       2
112.112.191.75 	  6 	 2072 	   445 	     96       2
22.119.39.37 	  6 	 2071 	   445 	     96       2
18.59.30.2 	  6 	 2060 	   445 	     96       2
83.80.138.101 	  6 	 2063 	   445 	     96       2
207.57.39.23 	  6 	 2065 	   445 	     96       2
112.31.230.39 	  6 	 2075 	   445 	     96       2
133.107.204.44 	  6 	 2432 	   445 	     96       2
49.97.123.79 	  6 	 2434 	   445 	     96       2
121.63.51.18 	  6 	 2438 	   445 	     96       2
222.126.81.117 	  6 	 2441 	   445 	     96       2
84.40.219.126 	  6 	 2444 	   445 	     96       2
111.101.91.9 	  6 	 2442 	   445 	     96       2
203.88.35.21 	  6 	 2437 	   445 	     96       2

Определяется антивирусами как Worm:W32/Downadup.AL, Net-Worm.Win32.Kido, Worm:Win32/Conficker, Win32.HLLW.Shadow.based. Вирус очень опасен, может воровать пароли, блокировать работу антивирусов и доступ к сайтам антивирусных программ. Распространяется через уязвимости ОС, на USB-носителях.

Методика лечения:

  1. Скачайте программу Dr.Web CureIt!.
  2. С помощью автоконфигуратора настройте автоматическое обновление Windows.
  3. Загрузите компьютер в безопасном режиме (для этого нажмите F8 при загрузке компьютера).
  4. Полностью проверьте компьютер с помощью Dr.Web CureIt!, удалите найденный вирусы.
  5. Загрузите операционную систему в стандартном режиме, установите все обновления безопасности для операционной системы.
  6. Повторно проверьте компьютер с помощью Dr.Web CureIt!.

Существует множество вариаций этого вируса, приведенный алгоритм не является гарантией избавления от вируса. Установка обновлений резко снижает вероятность заражения.

Поиск почтовых серверов, через которые можно рассылать спам:

dstIP 	          prot   srcPort   dstPort   octets   packets
216.39.53.3 	  6 	 4612 	   25 	     3943     16
216.239.59.27 	  6 	 4540 	   25 	     350      6
216.239.59.27 	  6 	 4622 	   25 	     480      9
137.131.200.29 	  6 	 4620 	   25 	     487      9
216.221.81.26 	  6 	 4548 	   25 	     3913     16
207.226.181.213   6 	 4625 	   81 	     1044     5
24.234.189.116 	  6 	 4551 	   25 	     4265     16
138.108.63.14 	  6 	 4552 	   25 	     3938     16
85.214.63.251 	  6 	 4555 	   25 	     3973     16
206.169.232.158   6 	 4557 	   25 	     482      9
207.226.181.213   6 	 4559 	   81 	     1090     6
206.169.232.158   6 	 4561 	   25 	     482      9
66.232.113.61 	  6 	 4562 	   80 	     548      8
216.139.67.47 	  6 	 4568 	   25 	     3995     17
66.249.93.27 	  6 	 4569 	   25 	     488      9
66.43.110.6 	  6 	 4570 	   25 	     3918     16
128.121.85.2 	  6 	 4631 	   25 	     3913     16
65.54.245.72 	  6 	 4632 	   25 	     233      5
205.178.149.7 	  6 	 4571 	   25 	     503      9
208.66.62.126 	  6 	 4577 	   25 	     501      9

Здесь, видимо, идет DoS-атака на определенный хост:

dstIP 	        prot   srcPort   dstPort   octets   packets
83.136.240.98   17     3191 	 122 	   1028     1
83.136.240.98   17     3196 	 326 	   1028     1
83.136.240.98   17     1204 	 917 	   1028     1
83.136.240.98   17     3200 	 85 	   1028     1
83.136.240.98   17     1200 	 642 	   1028     1
83.136.240.98   17     1205 	 472 	   1028     1
83.136.240.98   17     3208 	 105 	   1028     1
89.108.73.118   6      2215 	 80 	   60       1
83.136.240.98   17     3216 	 921 	   1028     1
83.136.240.98   17     4041 	 224 	   1028     1
83.136.240.98   17     3228 	 791 	   1028     1
83.136.240.98   17     3247 	 965 	   1028     1
89.108.104.3    6      4056 	 80 	   180 	    3
83.136.240.98   17     4071 	 569 	   1028     1
83.136.240.98   17     3272 	 997 	   1028     1
83.136.240.98   17     3291 	 102 	   1028     1
83.136.240.98   17     4081 	 655 	   1028     1
83.136.240.98   17     3318 	 963 	   1028     1
83.136.240.98   17     1237 	 403 	   1028     1
83.136.240.98   17     2976 	 730 	   1028     1
83.136.240.98   17     2991 	 1011 	   1028     1
83.136.240.98   17     2458 	 903 	   1028     1
83.136.240.98   17     4094 	 298 	   1028     1
83.136.240.98   17     2996 	 132 	   1028     1
83.136.240.98   17     3337 	 677 	   1028     1

Здесь идет сканирование сети; это можно определить по сканируемым IP-адресам (из одного диапазона), совпадает количество октетов:

dstIP 	          prot   srcPort   dstPort   octets   packets
219.248.95.195 	  1 	 8 	   0 	     61       1
219.248.85.18 	  1 	 8 	   0 	     61       1
219.248.237.72 	  1 	 8 	   0 	     61       1
219.248.46.109 	  1 	 8 	   0 	     122      2
219.248.250.172   1 	 8 	   0 	     122      2
219.248.10.88 	  1 	 8 	   0 	     122      2
219.248.234.250   1 	 8 	   0 	     122      2
219.248.125.69 	  1 	 8 	   0 	     122      2
219.248.138.253   1 	 8 	   0 	     122      2
219.248.208.3 	  1 	 8 	   0 	     122      2
219.248.13.162 	  1 	 8 	   0 	     122      2
219.248.153.102   1 	 8 	   0 	     122      2
219.248.155.208   1 	 8 	   0 	     122      2
219.248.253.155   1 	 8 	   0 	     122      2
219.248.160.18 	  1 	 8 	   0 	     122      2
219.248.213.215   1 	 8 	   0 	     122      2
219.248.129.2 	  1 	 8 	   0 	     122      2
219.248.52.169 	  1 	 8 	   0 	     122      2
219.248.169.45 	  1 	 8 	   0 	     122      2
219.248.206.47 	  1 	 8 	   0 	     122      2
219.248.126.216   1 	 8 	   0 	     122      2
219.248.208.3 	  6 	 1724 	   4899      144      3

Вирус ищет компьютеры с незакрытыми уязвимостями (например, Windows XP без Service Pack 2/3). Идет сканирование 135, 445 портов (вирус msblast и его аналоги):

dstIP 	         prot   srcPort   dstPort   octets   packets
92.224.193.163   6 	2748 	  135 	    362      6
92.224.154.243 	 6 	2766 	  135 	    1826     7
92.3.2.54 	 6 	2477 	  135 	    92 	     2
92.115.21.138 	 6 	2854 	  445 	    186      4
92.40.202.129 	 6 	2888 	  135 	    362      6
92.115.21.138 	 6 	2897 	  445 	    4753     13
92.40.202.129 	 6 	2310 	  135 	    280      6
92.115.20.84 	 6 	2454 	  135 	    188      4
92.12.95.187 	 6 	3019 	  135 	    1826     7
92.40.202.129 	 6 	3071 	  135 	    1826     7
92.41.82.159 	 6 	3217 	  135 	    186      4
92.41.82.159 	 6 	3285 	  135 	    362      6
92.227.182.80 	 6 	3432 	  135 	    186      4
92.227.182.80 	 6 	3494 	  135 	    1780     6
92.67.175.203 	 6 	3497 	  135 	    362      6
92.67.175.203 	 6 	3533 	  135 	    1826     7
92.41.82.159 	 6 	3564 	  135 	    1826     7
92.20.251.73 	 6 	3180 	  135 	    96 	     2
92.156.66.23 	 6 	3021 	  135 	    96 	     2
92.183.181.156 	 6 	3023 	  135 	    96 	     2
92.145.162.23 	 6 	2083 	  135 	    96 	     2
92.110.14.96 	 6 	3025 	  135 	    96 	     2
92.65.180.130 	 6 	3026 	  135 	    96 	     2
92.145.162.23 	 6 	2084 	  445 	    96 	     2
92.145.162.23 	 6 	2085 	  135 	    96 	     2
92.145.162.23 	 6 	2082 	  135 	    96 	     2
92.228.138.15 	 6 	4187 	  445 	    96 	     2
92.151.85.46 	 6 	2518 	  445 	    96 	     2

Такой лог часто свидетельствует о необходимости обновить операционную систему, установить пакеты обновлений. Это не избавит Вас от вируса, но заметно снизит вероятность повторного заражения компьютера.

Абсолютно прозрачный сканер сети:

dstIP 	        prot   srcPort   dstPort   octets   packets
217.76.230.26   1      8 	 0 	   64 	    1
217.76.230.33 	1      8 	 0 	   64 	    1
217.76.230.27 	1      8 	 0 	   64 	    1
217.76.230.28 	1      8 	 0 	   64 	    1
217.76.230.29 	1      8 	 0 	   64 	    1
217.76.230.43 	1      8 	 0 	   64 	    1
217.76.230.30 	1      8 	 0 	   64 	    1
217.76.230.31 	1      8 	 0 	   64 	    1
217.76.230.32 	1      8 	 0 	   64 	    1
217.76.230.63 	1      8 	 0 	   64 	    1
217.76.230.35 	1      8 	 0 	   64 	    1
217.76.230.36 	1      8 	 0 	   64 	    1
217.76.230.40 	1      8 	 0 	   64 	    1
217.76.230.45 	1      8 	 0 	   64 	    1
217.76.230.46 	1      8 	 0 	   64 	    1
217.76.230.47 	1      8 	 0 	   64 	    1
217.76.230.48 	1      8 	 0 	   64 	    1
217.76.230.65 	1      8 	 0 	   64 	    1

Вирус ищет DNS-сервера:

dstIP 	         prot   srcPort   dstPort   octets   packets
192.31.80.30 	 17 	1969 	  53 	    60 	     1
212.9.224.1 	 17 	2329 	  53 	    64 	     1
213.5.17.20 	 17 	1968 	  53 	    56 	     1
69.64.145.225 	 17 	1695 	  53 	    61 	     1
202.12.27.33 	 17 	1697 	  53 	    49 	     1
192.36.125.2 	 17 	1699 	  53 	    53 	     1
192.5.5.241 	 17 	1700 	  53 	    49 	     1
87.245.156.72 	 17 	2003 	  53 	    61 	     1
194.226.96.30 	 17 	2006 	  53 	    55 	     1
192.36.125.2 	 17 	2014 	  53 	    58 	     1
193.232.128.6 	 17 	1709 	  53 	    54 	     1
212.188.8.37 	 17 	1710 	  53 	    54 	     1
195.2.64.38 	 17 	1712 	  53 	    53 	     1
194.67.2.109 	 17 	1713 	  53 	    53 	     1
85.202.113.17 	 17 	1714 	  53 	    55 	     1
192.93.0.4 	 17 	2630 	  53 	    60 	     1
67.18.215.43 	 17 	2022 	  53 	    64 	     1
192.52.178.30 	 17 	2023 	  53 	    56 	     1
77.222.40.2 	 17 	2335 	  53 	    58 	     1
212.57.106.242   17 	1718 	  53 	    55 	     1
212.57.96.10 	 17 	1721 	  53 	    58 	     1
195.2.83.38 	 17 	2034 	  53 	    56 	     1
192.42.93.30 	 17 	1730 	  53 	    56 	     1
192.58.128.30 	 17 	2036 	  53 	    49 	     1

Вирус ищет открытые почтовые адреса и рассылает спам:

dstIP 	          prot   srcPort   dstPort   octets   packets
65.54.244.232 	  6 	 3893 	   25 	     424      8
60.248.9.226 	  6 	 3876 	   25 	     632      12
194.40.127.75 	  6 	 3896 	   25 	     186      4
195.117.50.24 	  6 	 3897 	   25 	     529      10
216.40.42.4 	  6 	 3899 	   25 	     232      5
12.33.21.33 	  6 	 3900 	   25 	     591      8
203.188.197.10 	  6 	 3902 	   25 	     186      4
205.188.252.17 	  6 	 3905 	   25 	     278      6
213.203.199.134   6 	 3911 	   25 	     507      9
203.138.181.112   6 	 3910 	   25 	     186      4
213.165.64.100 	  6 	 3915 	   25 	     186      4
203.0.178.173 	  6 	 3914 	   25 	     186      4
213.165.64.100 	  6 	 3889 	   25 	     186      4
72.232.38.122 	  6 	 3851 	   25 	     614      8
63.209.10.233 	  6 	 3892 	   25 	     614      8
62.142.5.28 	  6 	 3894 	   25 	     615      8
62.101.0.227 	  6 	 3875 	   25 	     723      9
204.15.120.160 	  6 	 3883 	   25 	     278      6
216.32.180.22 	  6 	 3886 	   25 	     689      9

Для лечения подобного рода вирусов часто помогает программа Ad-Aware.