Короче я вирус такой подхватил загадочный, но избавляться от него пока не хочу. Мне интересно как-же он, падло, функционирует. Знаю точно что он формирует пакеты и постоянно держит связб с неким обьектом в сети. Короче пока врублен Файрволл усе в поряде, но когда его выключаю происходят чудеса, но это не важно. Короче еще известно что он формирует не http-пакеты, как большинство порядочных сетевых вирусов, так как Навископ молчит и прочая хрень которая сканит и фильтрует 80 порт тоже ничего подозрительного не находят,да и я логи все перепахал.
Нуно на более низком уровне, уровне ip-пакетов, посмотреть и профильтрить весь исходящий трафик и пофиг от какого приложения, и пофиг с каких портов, тупо весь исходящий трафик и в любом виде, хоть бинарный хоть хекс, хоть на языке жестов. Расшивровка то уже дело другое, а счас нужно перхват организовать.
Да, smtp, icq, и еще много стандартных каналов обмена трафиком тоже проверено - ихние порты молчат.

телнет посмотри, ссх, рав.
и еще, а ты уверен, что 80 у тебя есть? мож ты его перенаправил? я себе так сделал - все стандартные нахрен переименовал. нп: 21 в 8821.,23 в 9923 - понял?
закрой на зонеалярм все нахрен и ты увидишь.
и еще . щас линк дам -My Webpage+My Webpage
и еще дам сайт. на котором есть много чего полезного в этом роде. http://killprog.com/ обрати внимание на нетвью. авось поможет

зы. это на троян похоже.

последнее что скажу - тлл проверь. када шото/кудато отправляешь. сумма должна сойтись.


Сообщение отредактировал ~Pick@chu!!! - 9. 09. 2006, 12:22 PM

Shadow_IM_S_4.06 - тоже не плох.

To: ARSnake
Хм, советую поставить Аутпост он показывает все: кто, откуда, куда и чего отправляет. Просто можно вычислить приложение а дальше mailto:newvirus@kaspersky.com.

Советую проверь порты старше 2000... Вряд ли оно будет отправлять что-то через стандартные порты